MS02-008 : Un contrôle XMLHTTP de MSXML 2,6 peut autoriser l'accès à des fichiers locaux

Traductions disponibles Traductions disponibles
Numéro d'article: 318202 - Voir les produits auxquels s'applique cet article
Pour plus d'informations concernant ce problème, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft.
317244 MS02-008 : Un contrôle XMLHTTP de MSXML 4,0 peut autoriser l'accès à des fichiers locaux
318203 MS02-008 : Un contrôle XMLHTTP de MSXML 3,0 peut autoriser l'accès à des fichiers locaux
Agrandir tout | Réduire tout

Symptômes

Il existe un problème de sécurité concernant la divulgation d'informations qui pourrait permettre à un utilisateur malveillant de lire des fichiers du système de fichiers local d'un utilisateur qui visite un site Web particulièrement mal configuré.

L'utilisateur malveillant ne serait pas en mesure d'ajouter, de modifier ni de supprimer des fichiers. En outre, il ne pourrait pas utiliser de message électronique pour exécuter son acte malveillant car ce problème de sécurité n'est exploitable que par le biais du site Web. Les clients précautionneux qui évitent de visiter des sites inconnus ou douteux lorsqu'ils naviguent sur le Web risquent moins de s'exposer à ce problème de sécurité.

Cause

Ce problème de sécurité vient d'un contrôle XMLHTTP des services noyau de Microsoft XML qui ne respecte pas les restrictions des zones de sécurité d'Internet Explorer. Cela permet à une page Web de spécifier un fichier sur le système local de l'utilisateur en tant que source de données XML comme moyen de lecture du fichier.

Résolution

Un correctif est désormais disponible auprès de Microsoft, mais il ne vise qu'à résoudre le problème décrit dans cet article. Il ne doit être appliqué qu'aux ordinateurs susceptibles de subir une attaque. Vérifiez l'accessibilité physique de votre ordinateur, la connectivité réseau et Internet, ainsi que d'autres facteurs afin de déterminer le niveau de risque auquel est soumis votre ordinateur. Reportez-vous au bulletin de sécurité Microsoft associé pour vous aider à déterminer le niveau de risque. Ce correctif peut être soumis à des tests supplémentaires. Si votre ordinateur est réellement exposé, Microsoft vous recommande d'utiliser ce correctif dès à présent.

Pour résoudre ce problème dès à présent, téléchargez ce correctif en cliquant sur le lien donné plus loin dans cet article ou procurez-vous le correctif auprès des services de Support technique Microsoft. Pour obtenir une liste complète des numéros de téléphone des services de support technique Microsoft, ainsi que des informations relatives aux frais de support technique, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS
REMARQUE : dans certains cas, aucuns frais de support technique par téléphone ne vous seront facturés si un technicien du Support technique Microsoft détermine qu'une mise à jour spécifique peut résoudre votre problème. Les coûts habituels du support technique s'appliqueront aux autres questions et problèmes non traités par la mise à jour en question.

Vous pouvez télécharger le fichier suivant à partir du Centre de téléchargement Microsoft :
Réduire cette imageAgrandir cette image
Télécharger
Télécharger Q318202_MSXML26_x86.exe maintenant
Date de publication : 21.02.02

Pour plus d'informations sur la façon de télécharger des fichiers du Support technique Microsoft, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
119591 Comment faire pour obtenir des fichiers de support technique Microsoft auprès des services en ligne
Microsoft a analysé ce fichier en vue de détecter la présence de virus. Microsoft a utilisé les logiciels de détection de virus les plus récents disponibles à la date de publication de ce fichier. Le fichier est conservé sur des serveurs sécurisés, empêchant toute modification non autorisée du fichier. La version anglaise de ce correctif doit avoir les attributs de fichier suivants ou ceux d'une version ultérieure :
   Date        Version     Taille   Nom de fichier     Plate-forme
   --------------------------------------------------------------------
   08/01/02    8.2.8307.0  689 424  Msxml2.dll         x86
				
Remarque Pour installer le correctif en mode silencieux sans redémarrage, utilisez les commutateurs suivants : /q:a /c:"dahotfix /q /n"

Statut

Microsoft a confirmé que ce problème pouvait entraîner une certaine faille de sécurité dans Microsoft XML 2.0.

Plus d'informations

Des versions affectées de MSXML sont livrées en tant qu'éléments de plusieurs produits. Vous devez appliquer le correctif logiciel sur des systèmes équipés d'un des produits Microsoft suivants :
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
MSXML peut également être installé séparément. MSXML est installé en tant que DLL dans le sous-dossier System32 du dossier du système d'exploitation Windows. Pour la plupart des systèmes, il s'agit du dossier C:\Windows ou C:\winnt. Si l'un ou l'ensemble des fichiers suivants sont présents dans le dossier System32, vous avez besoin du correctif logiciel :
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Si seul Msxml.dll est présent, le correctif logiciel n'est pas utile car il s'agit d'une version antérieure non affectée.

Pour plus d'informations sur ce problème de sécurité, reportez-vous au site Web de Microsoft à l'adresse suivante : Pour installer ce correctif en mode sans assistance, utilisez les arguments de ligne de commande suivants.

Installation sans assistance du correctif avec affichage d'une boîte de dialogue "extraction du correctif en cours" et d'une boîte de dialogue de redémarrage final :
Q318202_MSXML20_x86.exe /q /c:"dahotfix.exe /q"
				
Installation sans assistance et complètement silencieuse du correctif, mais avec boîte de dialogue de redémarrage final :
Q318202_MSXML20_x86.exe /q:a /c:"dahotfix.exe /q"
				
Installation sans assistance et complètement silencieuse du correctif sans boîte de dialogue de redémarrage final :
Q318202_MSXML20_x86.exe /q:a /c:"dahotfix.exe /q /n"
				

Propriétés

Numéro d'article: 318202 - Dernière mise à jour: lundi 17 avril 2006 - Version: 5.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft XML Parser 2.6
Mots-clés : 
kbqfe kbhotfixserver kbbug kbfix kbsecbulletin kbsechack kbsecurity kbsecvulnerability KB318202
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com