MS02-008: MSXML 2.6의 XMLHTTP 컨트롤이 로컬 파일에 대한 액세스를 허용할 수 있다

기술 자료 번역 기술 자료 번역
기술 자료: 318202 - 이 문서가 적용되는 제품 보기.
이 보안 취약점에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
317244 MS02-008: MSXML 4.0의 XMLHTTP 컨트롤이 로컬 파일에 대한 액세스를 허용할 수 있다
318203 MS02-008: MSXML 3.0의 XMLHTTP 컨트롤이 로컬 파일에 대한 액세스를 허용할 수 있다
모두 확대 | 모두 축소

현상

사용자가 특수하게 변형된 웹 사이트를 방문한 경우 공격자는 해당 방문자의 로컬 파일 시스템에 있는 파일을 읽을 수 있는 정보 누출 보안 취약점이 있습니다.

공격자는 파일을 추가, 변경 또는 삭제할 수는 없으며 전자 메일을 사용하여 이 공격을 수행할 수도 없습니다. 이 보안 취약점은 오직 웹 사이트를 통해서만 악용됩니다. 알 수 없거나 신뢰할 수 없는 사이트를 방문하지 않는 등 사이트 탐색에 주의를 기울이는 사용자는 이러한 보안 취약점에 노출될 위험이 적습니다.

원인

이 보안 취약점이 발생하는 이유는 Microsoft XML Core Services의 XMLHTTP 컨트롤이 Internet Explorer 보안 영역 제한을 고려하지 않기 때문입니다. 따라서 웹 페이지는 사용자의 로컬 시스템에 있는 파일을 XML 데이터 원본으로 지정하여 읽을 수 있습니다.

해결 방법

현재 지원되는 수정 프로그램을 Microsoft에서 구할 수 있지만 이 문서에서 설명하는 문제를 해결하기 위한 것일 뿐입니다. 공격 위험이 있다고 판단된 컴퓨터에만 적용해야 합니다. 컴퓨터의 실제 액세스 가능성, 네트워크와 인터넷 연결성 및 기타 요인을 평가하여 컴퓨터가 위험에 노출된 정도를 확인하십시오. 컴퓨터가 위험에 노출된 정도를 확인하는 데 유용한 정보는 관련 Microsoft Security Bulletin을 참조하십시오. 이 수정 프로그램은 나중에 추가 테스트를 받아야 할 수도 있습니다. 컴퓨터가 충분히 위험에 노출되어 있다고 생각되면 수정 프로그램을 적용하는 것이 좋습니다.

이 문제를 즉시 해결하려면 이 문서의 뒷부분에 나와 있는 다운로드 링크를 눌러 수정 프로그램을 다운로드하거나 Microsoft 고객기술지원부에 문의하여 수정 프로그램을 구하십시오. Microsoft 고객기술지원부 전화 번호의 전체 목록과 지원 비용에 대한 정보는 다음 Microsoft 웹 사이트를 참조하십시오.
기술 지원 서비스 안내
참고: 특정 업데이트로 문제를 해결할 수 있다고 Microsoft 기술 지원 전문가가 판단할 경우 지원 요청에 따른 일반적 비용이 취소될 수도 있습니다. 특정 업데이트가 필요하지 않은 추가 지원 질문과 문제에는 일반 지원 비용이 적용됩니다.

Microsoft 다운로드 센터에서 다음 파일을 다운로드할 수 있습니다.
그림 축소그림 확대
다운로드
지금 Q318202_MSXML26_x86.exe 다운로드
릴리스 날짜: 2002년 2월 21일

Microsoft 지원 파일을 다운로드하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
119591 온라인 서비스로부터 Microsoft 지원 파일을 구하는 방법
Microsoft는 파일을 게시한 날짜에 사용할 수 있는 최신의 바이러스 예방 프로그램으로 이 파일을 검사했습니다. 이 파일은 무단으로 변경할 수 없는 보안이 향상된 서버에 보관됩니다. 이 수정 프로그램의 영어 버전은 아래와 같거나 그 이상의 파일 특성을 가집니다.
표 축소표 확대
날짜버전크기파일 이름플랫폼
2002-01-088.2.8307.0689,424Msxml2.dllx86

참고 패치를 자동으로 설치하고 다시 시작하지 않으려면 /q:a /c:"dahotfix /q /n" 스위치를 사용하십시오.

현재 상태

Microsoft는 이 문제로 인해 Microsoft XML 2.6에서 일부 보안 취약점이 발생할 수 있음을 확인했습니다.

추가 정보

이러한 보안 취약점의 영향을 받는 MSXML의 버전이 일부 제품과 함께 제공됩니다. 다음 Microsoft 제품이 설치된 시스템에는 패치를 적용해야 합니다.
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
또한 MSXML을 별도로 설치할 수도 있습니다. MSXML은 Windows 운영 체제 폴더의 System32 하위 폴더에서 DLL로 설치됩니다. 대부분의 시스템에서 운영 체제 폴더 경로는 C:\Windows 또는 C:\winnt입니다. System32 폴더에 다음 파일 중 하나라도 설치되어 있으면 패치가 필요합니다.
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Msxml.dll은 영향을 받지 않는 이전 버전이기 때문에 Msxml.dll만 설치되어 있는 경우에는 패치가 필요하지 않습니다.

이 보안 취약점에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하십시오.
http://www.microsoft.com/korea/technet/security/bulletin/MS02-008.asp
이 핫픽스를 자동 모드에서 설치하려면 다음 명령줄 인수를 사용하십시오.

"핫픽스 압축 해제 중 대화 상자"와 최종 다시 부팅 대화 상자를 모두 표시하는 핫픽스의 자동 설치:
Q318202_MSXML26_x86.exe /q /c:"dahotfix.exe /q"
				
핫픽스를 완전 자동 설치하지만 최종 다시 부팅 대화 상자를 표시하는 자동 설치:
Q318202_MSXML26_x86.exe /q:a /c:"dahotfix.exe /q"
				
최종 다시 부팅 대화 상자를 표시하지 않고 핫픽스를 완전 자동 설치:
Q318202_MSXML26_x86.exe /q:a /c:"dahotfix.exe /q /n"
				




Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹에 참여하시기 바랍니다.

속성

기술 자료: 318202 - 마지막 검토: 2006년 4월 17일 월요일 - 수정: 4.0
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft XML Parser 2.6
키워드:?
kbdownload kbbug kbfix kbsecvulnerability kbqfe kbsecurity kbsecbulletin kbsechack kbhotfixserver KB318202

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com