MS02-008: El control XMLHTTP en MSXML 2.6 puede permitir el acceso a archivos locales

Id. de artículo: 318202 - Ver los productos a los que se aplica este artículo
Para obtener información adicional acerca de esta vulnerabilidad, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
317244
(http://support.microsoft.com/kb/317244/ )
MS02-008: El control XMLHTTP en MSXML 4.0 puede permitir el acceso a archivos locales
318203
(http://support.microsoft.com/kb/318203/ )
MS02-008: El control XMLHTTP en MSXML 3.0 puede permitir el acceso a archivos locales
Expandir todo | Contraer todo

Síntomas

Existe una vulnerabilidad de revelación de información que podría permitir a un intruso leer archivos del sistema local de un usuario que visite un sitio Web mal construido.

El intruso no podría agregar, cambiar ni eliminar archivos. Además, tampoco podría utilizar el correo electrónico para llevar a cabo su ataque; sólo puede aprovecharse de la vulnerabilidad mediante un sitio Web. Los clientes que sean cautos al explorar y eviten visitar sitios Web desconocidos o que no son de confianza tienen menos riegos de verse perjudicados por esta vulnerabilidad.
Volver al principio | Enviar comentarios

Causa

La vulnerabilidad existe debido a que el control XMLHTTP en Microsoft XML Core Services no respeta las restricciones de zona de seguridad de Internet Explorer. Esto permite que una página Web especifique un archivo del sistema local de un usuario como origen de datos XML para poder leer el archivo.
Volver al principio | Enviar comentarios

Solución

Ahora hay disponible una revisión para la que Microsoft proporciona soporte técnico, pero sólo se diseñó para corregir el problema descrito en este artículo. Únicamente debe aplicarse en equipos que se consideren vulnerables a ataques. Para determinar el grado de vulnerabilidad de un equipo, debe tener en cuenta su accesibilidad física, la conectividad de red y a Internet, y otros factores. Consulte el boletín de seguridad Microsoft Security Bulletin
(http://www.microsoft.com/technet/security/bulletin/MS02-008.asp)
asociado como ayuda para determinar el grado de riesgo. Se efectuarán pruebas adicionales de esta revisión. Si su equipo está en riesgo, Microsoft recomienda que aplique la revisión lo antes posible.

Para solucionar este problema inmediatamente, haga clic en el vínculo de descarga de la revisión, que encontrará más adelante en este artículo, o póngase en contacto con los Servicios de soporte técnico de Microsoft con el fin de obtener la revisión. Para obtener una lista completa de la información y números de teléfono del Servicio de soporte técnico de Microsoft acerca de los costos del soporte técnico, visite el siguiente sitio Web de Microsoft:
http://support.microsoft.com/default.aspx?scid=fh;ES;CNTACTMS
(http://support.microsoft.com/default.aspx?scid=fh;es;cntactms)
NOTA: en casos especiales, los costos derivados normalmente de las llamadas al soporte técnico pueden cancelarse si un profesional de soporte técnico de Microsoft determina que una actualización específica resolverá el problema. Los costos habituales de soporte se aplicarán a las preguntas y temas de soporte técnico adicionales que no reúnan las condiciones necesarias para la actualización en cuestión.

El archivo siguiente se puede descargar desde el Centro de descarga de Microsoft:
Contraer esta imagenAmpliar esta imagen
Descargar
Descargue ahora Q318202_MSXML26_x86_en.exe
(http://www.microsoft.com/windows/ie/downloads/critical/q317244/download.asp)
Fecha de lanzamiento: 21 de febrero de 2002

Para obtener información adicional acerca de cómo descargar los archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
119591
(http://support.microsoft.com/kb/119591/ )
Cómo obtener Archivos de soporte técnico de Microsoft desde los servicios en línea
. Microsoft exploró este archivo en busca de virus con el software de detección de virus más reciente disponible en la fecha de publicación. Asimismo, el archivo se almacenó en servidores seguros que ayudan a impedir la realización de cambios no autorizados. La versión en inglés de esta revisión debe tener los atributos de archivo siguientes u otros posteriores:
Contraer esta tablaAmpliar esta tabla
FechaVersiónTamañoNombre de archivoPlataforma
-------------------------------------------------------------------------------------------
08-ene-20028.2.8307.0689.424Msxml2.dllx86

Nota para realizar una instalación silenciosa de la revisión, sin reiniciar el equipo, utilice los modificadores siguientes: /q:a /c:"dahotfix /q /n"
Volver al principio | Enviar comentarios

Estado

Microsoft ha confirmado que este problema puede causar cierto grado de vulnerabilidad de la seguridad en Microsoft XML 2.0.
Volver al principio | Enviar comentarios

Más información

Las versiones afectadas de MSXML se suministran con varios productos. Debe aplicarse la revisión a sistemas que tengan instalado cualquiera de estos productos de Microsoft:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
MSXML también se puede instalar por separado. MSXML se instala como una DLL en la subcarpeta System32 de la carpeta del sistema operativo Windows. En la mayoría de los sistemas suele ser C:\Windows o C:\winnt. Se necesita la revisión si la carpeta System32 contiene alguno de estos archivos o todos ellos:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Si sólo contiene el archivo Msxml.dll, no se necesita la revisión ya que se trata de una versión anterior que no se ve afectada.

Para obtener más información acerca de esta vulnerabilidad, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS02-008.asp
(http://www.microsoft.com/technet/security/bulletin/MS02-008.asp)
para instalar esta revisión en modo desatendido, utilice los argumentos de la línea de comandos siguientes.

Instalación desatendida de la revisión mostrando el cuadro de diálogo "extrayendo la revisión" y mostrando un cuadro de diálogo de reinicio al finalizar: 
Q318202_MSXML20_x86.exe /q /c:"dahotfix.exe /q"
Instalación desatendida totalmente silenciosa de la revisión, pero mostrando un cuadro de diálogo de reinicio al finalizar: 
Q318202_MSXML20_x86.exe /q:a /c:"dahotfix.exe /q"
La instalación desatendida totalmente silenciosa de la revisión sin el cuadro de diálogo de reinicio al finalizar: 
Q318202_MSXML20_x86.exe /q:a /c:"dahotfix.exe /q /n"
Volver al principio | Enviar comentarios

Propiedades

Id. de artículo: 318202 - Última revisión: lunes, 17 de abril de 2006 - Versión: 4.0
La información de este artículo se refiere a:
  • Microsoft XML Parser 2.6
Palabras clave: 
kbqfe kbhotfixserver kbbug kbfix kbsecbulletin kbsechack kbsecurity kbsecvulnerability KB318202
Volver al principio | Enviar comentarios

Enviar comentarios

 
Volver al principioVolver al principio