MS02-008: Controle XMLHTTP no MSXML 2.6 Pode Permitir o Acesso a Arquivos Locais

Traduções deste artigo Traduções deste artigo
ID do artigo: 318202 - Exibir os produtos aos quais esse artigo se aplica.
Para obter informações adicionais sobre essa vulnerabilidade, clique nos seguintes números para visualizar os artigos na Base de Dados de Conhecimento da Microsoft:
317244 MS02-008: XMLHTTP Control in MSXML 4.0 Can Allow Access to Local Files
318203 MS02-008: XMLHTTP Control in MSXML 3.0 Can Allow Access to Local Files
Expandir tudo | Recolher tudo

Sintomas

Há uma vulnerabilidade na divulgação das informações que pode permitir a um invasor ler os arquivos contidos no sistema de arquivos local de um usuário que visite uma página da Web mal-intencionada.

O invasor não poderia adicionar, alterar ou excluir arquivos. Além disso, ele não poderia usar e-mails para realizar esse ataque; a vulnerabilidade só pode ser explorada por meio de um site da Web. Clientes que tomam cuidado ao navegar e evitam visitar sites desconhecidos ou não-confiáveis têm menos chances de serem prejudicados por essa vulnerabilidade.

Causa

A vulnerabilidade existe porque o controle XMLHTTP no Microsoft XML Core Services não respeita as restrições de Zona de segurança do Internet Explorer. Isso permite que uma página da Web especifique um arquivo no sistema local de um usuário como fonte de dados XML para poder ler o arquivo.

Resolução

Uma correção suportada já está disponível na Microsoft, porém destina-se a corrigir somente o problema descrito neste artigo. Aplique-a somente em computadores que correm o risco de ataque. Avalie a acessibilidade física de seu computador, a conectividade de rede e Internet, e outros fatores para determinar o risco que o seu computador corre. Consulte o Microsoft Security Bulletin correspondente para ajudar a determinar o grau de risco. Essa correção deve passar por mais testes. Caso o seu computador corra um risco considerável, a Microsoft recomenda a aplicação dessa correção agora.

Para resolver esse problema imediatamente, faça o download da correção clicando no link ao final desse artigo ou entre em contato com o Serviço de Suporte de Produto da Microsoft para obtê-la. Para obter uma lista completa dos números de telefone do Atendimento Microsoft e as informações sobre os custos de suporte, visite o seguinte site da Microsoft na Web:
http://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS
NOTA: Em casos especiais, as cobranças resultantes das chamadas de suporte podem ser canceladas se um Profissional de Suporte Microsoft determinar que uma atualização específica resolverá o problema. Os custos habituais do suporte serão aplicados a questões e problemas de suporte que não se qualificam à atualização específica em questão.

O arquivo a seguir está disponível para download no Centro de Download da Microsoft:
Recolher esta imagemExpandir esta imagem
Download
Fazer download de Q318202_MSXML26_x86_en.exe agora
Data de Lançamento: 21 de fevereiro de 2002

Para obter informações adicionais sobre como fazer o download de arquivos do Suporte da Microsoft, clique no número abaixo para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
119591 Como Obter Arquivos de Suporte da Microsoft nos Serviços On-line
A Microsoft verificou esse arquivo em busca de vírus. A Microsoft utilizou o software de detecção de vírus mais recente disponível na data em que o arquivo foi publicado. O arquivo está armazenado em servidores de segurança avançada que ajudam a evitar qualquer alteração não-autorizada no arquivo. A versão em inglês desta correção deverá ter os seguintes atributos de arquivo ou posteriores:
   Data         Versão     Tamanho     Nome do arquivo     Plataforma
   --------------------------------------------------------
   08-Jan-2002  8.2.8307.0  689.424  Msxml2.dll    x86
				
Nota Para instalar o patch de forma silenciosa e sem reinicialização, use as seguintes opções: /q:a /c:"dahotfix /q /n"

Situação

A Microsoft confirmou que esse problema pode causar um certo nível de vulnerabilidade no Microsoft XML 2.0.

Mais Informações

Versões afetadas do MSXML acompanham vários produtos. Você deve aplicar o patch a sistemas com os seguintes produtos Microsoft:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
MSXML também pode ser instalado separadamente. Ele é instalado como uma DLL na subpasta System32 da pasta do sistema operacional Windows. Na maioria dos sistemas, é provável que ele esteja em C:\Windows ou C:\winnt. Se tiver algum ou todos estes arquivos na pasta System32, você precisará do patch:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Se tiver apenas Msxml.dll, você não precisa do patch porque se trata de uma versão mais antiga, que não foi afetada.

Para obter mais informações sobre essa vulnerabilidade, acesse o seguinte site da Microsoft na Web:
http://www.microsoft.com/technet/security/bulletin/MS02-008.asp
Para instalar esse hotfix em modo autônomo, use os seguintes argumentos de linha de comando.

A instalação autônoma do hotfix exibe tanto uma caixa de diálogo de extração do hotfix quanto uma mensagem de reinicialização final.
Q318202_MSXML20_x86.exe /q /c:"dahotfix.exe /q"
				
Instalação autônoma totalmente silenciosa do hotfix, embora exiba uma caixa de diálogo de reinicialização:
Q318202_MSXML20_x86.exe /q:a /c:"dahotfix.exe /q"
				
Instalação autônoma totalmente silenciosa do hotfix sem a caixa de diálogo de reinicialização:
Q318202_MSXML20_x86.exe /q:a /c:"dahotfix.exe /q /n"
				

Propriedades

ID do artigo: 318202 - Última revisão: segunda-feira, 17 de abril de 2006 - Revisão: 4.0
A informação contida neste artigo aplica-se a:
  • Microsoft XML Parser 2.6
Palavras-chave: 
kbqfe kbhotfixserver kbbug kbfix kbsecbulletin kbsechack kbsecurity kbsecvulnerability KB318202

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com