MS02-008: Il controllo XMLHTTP in MSXML 2.6 pu˛ consentire l'accesso ai file locali

Traduzione articoli Traduzione articoli
Identificativo articolo: 318202 - Visualizza i prodotti a cui si riferisce l?articolo.
Per ulteriori informazioni su questo problema di protezione, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportati di seguito (il contenuto potrebbe essere in inglese):
317244 MS02-008: Il controllo XMLHTTP in MSXML 4.0 pu˛ consentire l'accesso a file locali
318203 MS02-008: Il controllo XMLHTTP in MSXML 3.0 pu˛ consentire l'accesso a file locali
Espandi tutto | Chiudi tutto

Sintomi

Esiste un problema di protezione relativo alla divulgazione di informazioni che potrebbe consentire a un utente malintenzionato di leggere file del file system locale di un utente che sta visitando un sito Web intenzionalmente modificato a tale scopo.

L'utente malintenzionato non sarÓ tuttavia in grado di aggiungere, modificare o eliminare file nel computer locale della vittima, nÚ sarÓ in grado di utilizzare la posta elettronica per sferrare tale attacco. Il problema di protezione in questione pu˛ infatti essere sfruttato solo tramite un sito Web. Gli utenti particolarmente attenti durante l'esplorazione del Web, che evitano di visitare siti sconosciuti o non attendibili, corrono naturalmente minori rischi a causa di questo tipo di problema di protezione.

Cause

Questo problema si verifica in quanto il controllo XMLHTTP contenuto nei servizi di base di Microsoft XML non rispetta le impostazioni delle aree di protezione di Internet Explorer. Ci˛ consente a una pagina Web di specificare come origine dati XML un file nel sistema locale di un utente al fine di poterlo leggere.

Risoluzione

╚ disponibile una correzione supportata da Microsoft, che Ŕ tuttavia destinata esclusivamente alla correzione del problema descritto in questo articolo. Applicarla solo ai computer che si ritengono soggetti al rischio di attacchi. Per determinare il livello di rischio cui Ŕ soggetto il computer, valutarne attentamente il grado di accessibilitÓ fisica, la connessione di rete e a Internet e altri fattori. Vedere il relativo Bollettino Microsoft sulla sicurezza all'indirizzo Bollettino Microsoft sulla sicurezza (informazioni in lingua inglese) per determinare il livello di rischio. ╚ possibile che su questa correzione vengano eseguite ulteriori verifiche. Se il computer Ŕ a rischio, si consiglia di applicare la correzione dell'errore immediatamente.

Per risolvere immediatamente questo problema, scaricare la correzione come indicato in questo articolo oppure contattare il Servizio Supporto Tecnico Clienti Microsoft. Per un elenco completo di numeri di telefono del Servizio Supporto Tecnico Clienti Microsoft (PSS) e per informazioni sui costi dell'assistenza, visitare il sito Web Microsoft all'indirizzo:
http://support.microsoft.com/default.aspx?scid=fh;IT;CNTACT
NOTA: in casi particolari, le spese normalmente addebitate per le chiamate al servizio di supporto potrebbero essere annullate qualora un addetto del Supporto Tecnico Clienti Microsoft dovesse determinare che uno specifico aggiornamento risolverÓ il problema. I normali costi del Servizio Supporto Tecnico Clienti verranno applicati per eventuali ulteriori domande e problemi che non dovessero rientrare nello specifico aggiornamento in questione.

Il seguente file Ŕ disponibile per il download dall'Area download Microsoft (l'installazione Ŕ in inglese):
Download del file Q318202_MSXML26_x86_en.exe
Data di rilascio: 21 febbraio 2002

Per ulteriori informazioni sul download di file di supporto Microsoft, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
119591 Come ottenere file di supporto Microsoft dai servizi online
Il file Ŕ stato controllato e non contiene virus. Microsoft ha utilizzato il software antivirus pi¨ recente disponibile alla data di pubblicazione del file. Il file viene salvato su server con un livello di protezione avanzata che impedisce modifiche non autorizzate. La versione in lingua inglese di questa correzione deve avere i seguenti attributi di file (o successivi):
   Data         Versione     Dimensione   Nome file    Piattaforma
   ---------------------------------------------------------------
   08/01/2002   8.2.8307.0   689.424      Msxml2.dll   x86
				
Nota: per installare automaticamente la patch senza eseguire il riavvio, utilizzare i seguenti parametri: /q:a /c:"dahotfix /q /n"

Status

Microsoft ha confermato che questo problema potrebbe comportare rischi di protezione in Microsoft XML 2.0.

Informazioni

Questo problema interessa varie versioni di MSXML fornite con prodotti diversi. Si consiglia di installare questa patch nei sistemi in cui sono in uso i seguenti prodotti Microsoft:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
MSXML pu˛ essere installato anche separatamente. MSXML Ŕ installato come DLL nella sottocartella System32 della cartella del sistema operativo Windows. Nella maggior parte dei sistemi, tale cartella sarÓ C:\Windows o C:\winnt. Installare la patch se nella cartella System32 sono presenti uno o pi¨ dei seguenti file:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Se nella cartella Ŕ presente solo il file Msxml.dll, non sarÓ necessario installare la patch, in quanto si tratta di una versione precedente, non interessata dal problema in questione.

Per ulteriori informazioni su questo problema di protezione, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
http://www.microsoft.com/technet/security/bulletin/MS02-008.asp
Per installare questa correzione rapida in modalitÓ automatica, utilizzare i seguenti argomenti della riga di comando.

Installazione automatica della correzione rapida durante la quale viene visualizzata la finestra relativa all'estrazione della correzione rapida e una finestra di dialogo di riavvio finale:
Q318202_MSXML20_x86.exe /q /c:"dahotfix.exe /q"
				
Installazione completamente automatica della correzione rapida senza interazione con l'utente, nella quale viene comunque visualizzata una finestra di dialogo di riavvio finale:
Q318202_MSXML20_x86.exe /q:a /c:"dahotfix.exe /q"
				
Installazione completamente automatica della correzione rapida senza interazione con l'utente e senza la visualizzazione della finestra di dialogo di riavvio finale:
Q318202_MSXML20_x86.exe /q:a /c:"dahotfix.exe /q /n"
				

ProprietÓ

Identificativo articolo: 318202 - Ultima modifica: lunedý 17 aprile 2006 - Revisione: 4.0
Le informazioni in questo articolo si applicano a
  • Microsoft XML Parser 2.6
Chiavi:á
kbqfe kbhotfixserver kbbug kbfix kbsecbulletin kbsechack kbsecurity kbsecvulnerability KB318202
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com