MS02-008: O controlo XMLHTTP do MSXML 2.6 pode permitir o acesso a ficheiros locais

Traduções de Artigos Traduções de Artigos
Artigo: 318202 - Ver produtos para os quais este artigo se aplica.
Para obter informações adicionais sobre esta vulnerabilidade, clique números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft:
317244MS02-008: O controlo XMLHTTP do MSXML 4.0 pode permitir o acesso a ficheiros locais
318203MS02-008: O controlo XMLHTTP do MSXML 3.0 pode permitir o acesso a ficheiros locais
Expandir tudo | Reduzir tudo

Sintomas

Existe uma vulnerabilidade de divulgação de informações que poderia permitir que um intruso ler ficheiros no sistema de ficheiros local de um utilizador que visite um site web especialmente mal formado.

O atacante não poderá adicionar, alterar ou eliminar ficheiros. Além disso, o atacante não poderá utilizar o correio electrónico para executar este ataque; a vulnerabilidade só pode ser explorada por intermédio de um Web site. Os clientes que tenha muito cuidado quando procura e evitar evitem visitar sites desconhecidos ou não fidedignos correm menos susceptíveis a esta vulnerabilidade.

Causa

A vulnerabilidade existe porque o controlo XMLHTTP no Microsoft XML Core Services não respeitam as restrições de zona de segurança do Internet Explorer. Isto permite que uma página Web para especificar um ficheiro no sistema local do utilizador como uma origem de dados XML como meio de ler o ficheiro.

Resolução

Agora é disponibilizada pela Microsoft uma correcção suportada, mas destina-se apenas a corrigir o problema descrito neste artigo. Aplique-a apenas em sistemas que considere estarem em risco de ataque. Avalie a acessibilidade física do computador, rede e conectividade da Internet e outros factores para determinar o grau de risco para o computador. Consulte o Microsoft Security Bulletin associado para ajudar a determinar o grau de risco. Esta correcção poderá submetida a testes adicionais. Se o computador está suficientemente em risco, recomendamos que aplique esta correcção agora.

Para resolver este problema imediatamente, transfira a correcção, seguindo as instruções deste artigo ou contacte o suporte técnico da Microsoft para obter a correcção. Para obter uma lista completa de números de telefone do suporte técnico da Microsoft e informações sobre os custos de suporte, visite o seguinte Web site da Microsoft:
http://support.microsoft.com/contactus/?ws=support
Nota Em casos especiais, os custos normalmente inerentes às chamadas de suporte poderão ser anulados, se um técnico de suporte da Microsoft determinar que uma actualização específica resolverá o problema. Os custos normais do suporte serão aplicados a problemas adicionais e questões de suporte que não se enquadrem na atualização específica em questão. O ficheiro seguinte está disponível para transferência a partir do Centro de transferências da Microsoft:
Reduzir esta imagemExpandir esta imagem
Download
Download Q318202_MSXML26_x86_en.exe now
Data de edição: 21 de Fevereiro de 2002

Para obter informações adicionais sobre como transferir ficheiros de suporte da Microsoft, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
119591Como obter ficheiros de suporte da Microsoft a partir de serviços on-line
Microsoft procedeu de vírus neste ficheiro. Microsoft utilizou o mais recente software de detecção de vírus que estava disponível na data em que o ficheiro foi publicado. O ficheiro é alojado em servidores com segurança avançada que o ajudam a impedir alterações não autorizadas ao ficheiro. A versão inglesa desta correcção deverá ter os seguintes atributos de ficheiro ou posteriores:
   Date         Version     Size     File name     Platform
   --------------------------------------------------------
   08-Jan-2002  8.2.8307.0  689,424  Msxml2.dll    x86
				
Nota Para instalar o patch silenciosamente e sem reiniciar o computador, utilize os seguintes parâmetros: / q: um/c: "dahotfix /q / n"

Ponto Da Situação

A Microsoft confirmou que este problema poderá provocar um grau de vulnerabilidade da segurança no Microsoft XML 2.0.

Mais Informação

Versões afectadas do MSXML é enviado com vários produtos. Deve aplicar o patch aos sistemas com qualquer um dos seguintes produtos da Microsoft:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
O MSXML também pode ser instalado separadamente. O MSXML é instalado como uma DLL na subpasta System32 da pasta do sistema operativo Windows. A maior parte dos sistemas, este será provavelmente C:\Windows ou C:\Winnt. Se tiver um ou todos os seguintes ficheiros na pasta System32, necessita do patch:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Se tiver apenas MSXML.dll, não é necessário o patch porque se trata de uma versão anterior, não está afectada.

Para mais informações sobre esta vulnerabilidade, consulte o seguinte Web site da Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS02-008.mspx
Para instalar esta correcção no modo automático, utilize os seguintes argumentos de linha de comandos.

Instalação da correcção automática apresentar "extrair correcção diálogo" tanto apresenta um diálogo de reinício final:
Q318202_MSXML20_x86.exe /q /c:"dahotfix.exe /q"
				
automática instalação totalmente silenciosa do correcção mas apresentar o diálogo de reinício final:
Q318202_MSXML20_x86.exe /q:a /c:"dahotfix.exe /q"
				
instalação totalmente silenciosa automática da correcção com o diálogo de reinício final suprimido:
Q318202_MSXML20_x86.exe /q:a /c:"dahotfix.exe /q /n"
				

Propriedades

Artigo: 318202 - Última revisão: 7 de abril de 2006 - Revisão: 6.2
A informação contida neste artigo aplica-se a:
  • Microsoft XML Parser 2.6
Palavras-chave: 
kbmt kbqfe kbhotfixserver kbbug kbfix kbsecbulletin kbsechack kbsecurity kbsecvulnerability KB318202 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 318202

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com