Windows Live
Facebook
Twitter
Linkedin
Digg it
Yahoo
Delicious
StumbleUpon
Yammer
Reddit
Technorati
FriendFeed
Email文書番号: 318202 - 最終更新日: 2006年4月17日 - リビジョン: 2.1 [MS02-008] MSXML 2.6 のXMLHTTP コントロールにより、ローカル ファイルにアクセスすることができる
この記事は、以前は次の ID で公開されていました: JP318202 この脆弱性の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base)
をクリックしてください。 317244?
(http://support.microsoft.com/kb/317244/JA/
)
[MS02-008] MSXML 4.0 のXMLHTTP コントロールにより、ローカル ファイルにアクセスすることができる 318203?
(http://support.microsoft.com/kb/318203/JA/
)
[MS02-008] MSXML 3.0 のXMLHTTP コントロールにより、ローカル ファイルにアクセスすることができる 現象 情報漏えいの脆弱性が存在し、悪意のある Web サイトを訪れたユーザーのローカル ファイル
システム上のファイルが攻撃者によって読み取られる可能性があります。 攻撃者は、この脆弱性を利用してもファイルの追加、変更、および削除を行うことはできません。また電子メールを使用してこの脆弱性を利用することはできず、Web サイトを介してのみ利用することができます。インターネットを参照するときに常に警戒を怠らず、不明なサイトおよび信頼できないサイトを訪れないように気をつけているユーザーについては、この脆弱性による危険性は軽減されます。 原因 Microsoft XML Core Services に含まれる XMLHTTP コントロールは Internet
Explorer のセキュリティ ゾーンの制限を守りません。このため、ユーザーのローカル システム上のファイルを XML データ ソースとしてWeb
ページ側から指定し、ファイルを読むことができます。 解決方法
マイクロソフトでは、現在この問題を修正する修正プログラムを提供中ですが、この修正プログラムはこの資料に記載されている問題の修正のみを目的としているため、攻撃されるおそれがあると判断したシステムにのみ適用してください。コンピュータの物理的なアクセス可能性、ネットワークやインターネットの接続性などの要因を評価してコンピュータの危険度を判断してください。この判断には、
マイクロソフト
セキュリティ情報
(http://www.microsoft.com/japan/technet/security/bulletin/ms02-008.mspx)
が役立ちます。この修正プログラムは、製品の品質保証のために今後さらにテストを受ける場合があります。システムの危険性が高い場合は、この修正プログラムを適用することを推奨します。
この問題を解決するには、次の手順に従って修正プログラムをダウンロードするか、Microsoft Product Support Services にお問い合わせの上、修正プログラムを入手してください。Microsoft Product Support Services の電話番号リストおよびサポート料金については、次の Web ページを参照してください。 http://www.microsoft.com/japan/support/supportnet/default.asp
(http://www.microsoft.com/japan/support/supportnet/default.asp)
注 : Microsoft Support Professional
が、特定のアップデートを適用することにより問題が解決されると判断した場合、まれに、通常サポート依頼にかかる料金が免除されることがあります。ただし、特定のアップデートの対象とならない追加の質問および問題については、通常のサポート料金が適用されます。
下記のファイル (日本語版) は、「Microsoft ダウンロードセンター」からダウンロードできます。 元に戻す  マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。 119591?
(http://support.microsoft.com/kb/119591/JA/
)
オンライン サービスからマイクロソフトのサポート ファイルを入手する方法 マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス
チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。
修正プログラム (日本語版) の属性は次のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。 日付 バージョン サイズ ファイル名 プラットフォーム -------------------------------------------------------- 2002/01/07 8.2.8307.0 689,424 Msxml2.dll x86 状況 マイクロソフトでは、この問題により Microsoft XML 2.0
のセキュリティにある程度の脆弱性が生じる可能性があることを確認しています。 詳細 この脆弱性に影響を受ける MSXML
のバージョンは多くの製品に同梱されています。次のいずれかのマイクロソフト製品を使用している場合は、システムに修正プログラムを適用する必要があります。
この脆弱性の詳細については、下記のマイクロソフトの Web サイトを参照してください。 http://www.microsoft.com/japan/technet/security/bulletin/ms02-008.mspx
(http://www.microsoft.com/japan/technet/security/bulletin/ms02-008.mspx)
このホットフィックスを無人モードでインストールするには、次のコマンド
ラインの引数を使用してください。「extracting hotfix dialog」 およびインストール後の再起動ダイアログの両者を表示させる、ホットフィックスの無人インストール Q318202_MSXML20_x86_en.exe /q /c:"dahotfix.exe /q" Q318202_MSXML20_x86_en.exe /q:a /c:"dahotfix.exe /q" Q318202_MSXML20_x86_en.exe /q:a /c:"dahotfix.exe /q /n" 関連情報
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。" | サポート情報 その他のサポートサイトコミュニティサポート技術情報の翻訳
|
先頭へ戻る
