MS02-008: Элемент управления XMLHTTP в MSXML 2.6 позволяет получить доступ к локальным файлам

Переводы статьи Переводы статьи
Код статьи: 318202
Щелкните для получения дополнительных сведений о данной уязвимости Приведенные ниже номера базы знаний Майкрософт Основание:
317244MS02-008: Элемент управления XMLHTTP в MSXML 4.0 позволяет получить доступ к локальным файлам
318203 MS02-008: Элемент управления XMLHTTP в MSXML 3.0 позволяет получить доступ к локальным файлам
Развернуть все | Свернуть все

Проблема

Существует уязвимость раскрытия информации, которая может позволяет злоумышленнику просматривать файлы в локальной файловой системе пользователь посещает специально разработанном веб-узле.

Злоумышленник не сможет добавить, Изменение или удаление файлов. Кроме того злоумышленник не сможет использовать Электронная почта для выполнения атаки; уязвимостью можно воспользоваться только способ веб-узла. Пользователям соблюдать осторожность при просмотре и избежать посетив неизвестного или ненадежного веб-узлы, менее подвержены риску из-за этой уязвимости.

Причина

Существует уязвимость, так как элемент управления XMLHTTP в Службы MSXML не имеют отношения к безопасности Internet Explorer Ограничения зоны. Это позволяет веб-страницы для указания локального файла на пользователя системы, как источник данных XML в качестве средства чтения файла.

Решение

Корпорация Майкрософт выпустила исправление, но в данной статье описывается проблема может быть решена. Предлагаемое исправление должно применяться исключительно в системах, который может подвергнуться нападению. Оценка физическая доступность, сеть и подключения к Интернету и других факторов для определения степени риска для компьютера. Просмотреть связанные Бюллетень корпорации Майкрософт по безопасности для определения степени риска. Это исправление находится на стадии дополнительного тестирования. Компьютер, достаточно риску, корпорация Майкрософт рекомендует применить это исправление сейчас.

Для немедленного решения этой проблемы загрузите исправление, следуя инструкциям, приведенным далее в этой статье, или обратитесь в службу технической поддержки корпорации Майкрософт для получения исправления. Полный список телефонов службы поддержки продуктов Майкрософт и сведения о стоимости поддержки посетите следующий веб-узел корпорации Майкрософт:
http://support.Microsoft.com/contactus/?ws=Support
Примечание В особых случаях, предусмотренная для звонков в службу поддержки может быть отменена, если специалистом службы поддержки Майкрософт определяет, какого-либо обновления решения проблемы. Затраты на обычные службы поддержки будут применяться дополнительные вопросы и проблемы, которые не соответствуют требованиям особым обновлением. Следующий файл доступен для загрузить с веб-узла центра загрузки корпорации Майкрософт:
Свернуть это изображениеРазвернуть это изображение
Загрузить
Загрузить Q318202_MSXML26_x86_en.exe
Дата выпуска: 21 Февраля 2002 г.

Для получения дополнительных сведений о загрузке Файлы поддержки корпорации Майкрософт щелкните следующий номер статьи в Microsoft Knowledge Base:
119591 Как загрузить файлы поддержки Майкрософт из Интернета
Корпорация Майкрософт проверила этот файл на наличие вирусов. Корпорация Майкрософт использует наиболее текущего антивирусного программного обеспечения на дату, файл была учтена. Файл хранится на защищенных серверах, которые помогают для файла предотвращает его несанкционированное изменение. Английская версия данного исправления должны иметь следующие атрибуты файла или более поздней версии.
   Date         Version     Size     File name     Platform
   --------------------------------------------------------
   08-Jan-2002  8.2.8307.0  689,424  Msxml2.dll    x86
				
Примечание Чтобы установить исправление без вмешательства пользователя и перезагрузки компьютера, используйте следующие параметры командной строки: / q: / c: "/ n/q dahotfix"

Статус

Корпорация Майкрософт подтверждает, что эта проблема может послужить причиной повышения уязвимости системы безопасности в Microsoft XML 2.0.

Дополнительная информация

Уязвимые версии модуля MSXML входят в рамках нескольких продукты. Следует установить данное обновление для систем с любым из следующих Продукты корпорации Майкрософт:
  • Microsoft Windows XP
  • Обозреватель Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
Также можно отдельно установить MSXML. MSXML установлена как Библиотеки DLL в папке System32 каталога операционной системы Windows. В большинстве системы, скорее всего, приведет быть C:\Windows или C:\winnt. Если у вас есть все следующие файлы в папку System32 необходимые исправления:
  • MSXml2.dll
  • Msxml3.dll
  • Msxml4.dll
Если Msxml.dll, вам не нужно, поскольку Это версия.

Для получения дополнительных сведений об этом уязвимость, посетите веб-узел корпорации Майкрософт:
http://www.Microsoft.com/TechNet/Security/Bulletin/MS02-008.mspx
Данное исправление для установки в автоматическом режиме, используйте следующие аргументы командной строки.

Автоматической установки исправлений и Отображение «извлечение диалогового окна исправлений» и отображение окончательную перезагрузки диалогового окна:
Q318202_MSXML20_x86.exe /q /c:"dahotfix.exe /q"
				
Автоматическом режиме полностью автоматической установки исправления, но Отображение диалогового окна последней перезагрузки:
Q318202_MSXML20_x86.exe /q:a /c:"dahotfix.exe /q"
				
Автоматическая полностью автоматическая установка исправлений с окончательный вариант Вывод диалогового окна перезагрузки:
Q318202_MSXML20_x86.exe /q:a /c:"dahotfix.exe /q /n"
				

Свойства

Код статьи: 318202 - Последний отзыв: 7 июня 2011 г. - Revision: 4.0
Ключевые слова: 
kbqfe kbhotfixserver kbbug kbfix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbmt KB318202 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:318202

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com