MS02-008: MSXML 2.6'daki XMLHTTP Denetimi yerel dosyalara erişime izin verebilir

Makale çevirileri Makale çevirileri
Makale numarası: 318202 - Bu makalenin geçerli olduğu ürünleri görün.
Bu güvenlik açığı hakkında ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:
317244MS02-008: MSXML 4. 0'daki XMLHTTP Denetimi yerel dosyalara erişime izin verebilir
318203MS02-008: MSXML 3. 0'daki XMLHTTP Denetimi yerel dosyalara erişime izin verebilir
Hepsini aç | Hepsini kapa

Belirtiler

Özel olarak hatalı biçimlendirilmiş bir Web sitesini ziyaret eden kullanıcıların yerel dosya sistemindeki dosyaların bir saldırgan tarafından okunmasına olanak sağlayarak bilgilerin açığa çıkmasına yol açan bir güvenlik açığı bulunmaktadır.

Saldırgan, dosya ekleyemez, değiştiremez ve silemez. Ayrıca saldırgan, bu saldırıyı gerçekleştirmek için e-posta kullanamaz; güvenlik açığından yalnızca bir Web sitesi aracılığıyla yararlanılabilir. Gezerken dikkatli olan ve bilinmeyen veya güvenilmeyen siteleri ziyaret etmekten kaçınan müşterilerimiz bu güvenlik açığından daha az etkilenir.

Neden

Güvenlik açığı, Microsoft XML Çekirdek Hizmetleri'ndeki XMLHTTP denetiminin Internet Explorer Güvenlik Bölgesi kısıtlamalarına uygun davranmaması nedeniyle oluşur. Bu, bir Web sayfasının kullanıcının yerel sistemindeki bir dosyayı okumak için dosyayı bir XML veri kaynağı olarak belirtmesine olanak sağlar.

Çözüm

Microsoft desteklenen bir düzeltme yayımladı, ancak yalnızca bu makalede anlatılan sorunu gidermesi amaçlanmaktadır. Yalnızca saldırı riski bulunduğunu düşündüğünüz sistemlere uygulayın. Bilgisayarın risk düzeyini belirlerken, fiziksel erişilebilirliğini, ağ ve Internet bağlanabilirliğini ve diğer etkenleri göz önüne alın. Risk düzeyini belirlemek için ilişkili Microsoft Security Bulletin ' ne bakın. Bu düzeltmeye ek sınama uygulanabilir. Bilgisayar belirli bir düzeyde risk altındaysa, bu düzeltmeyi hemen uygulamanız önerilir.

Bu sorunu hemen çözümlemek için, bu makalenin sonraki bölümlerinde yer alan yönergeleri izleyerek düzeltmeyi karşıdan yükleyin veya Microsoft Ürün Destek Hizmetleri'ne başvurup düzeltmeyi edinin. Microsoft Ürün Destek Hizmetleri'nin telefon numaralarının tam listesi ve destek ücretleriyle ilgili bilgi için, aşağıdaki Microsoft Web sitesini ziyaret edin:
http://support.microsoft.com/contactus/?ws=support
Not Özel durumlarda, Microsoft Destek Uzmanı özel bir güncelleştirmenin sorununuzu çözümleyeceğini belirlerse, destek aramaları için normalde uygulanan ücretler iptal edilebilir. Ek destek sorularına ve söz konusu güncelleştirme için geçerli olmayan sorunlara normal destek ücretleri uygulanır. Aşağıdaki dosya Microsoft Yükleme Merkezi'nden yüklenebilir:
Bu resmi kapatBu resmi aç
Download
Download Q318202_MSXML26_x86_en.exe now
Yayım Tarihi: 21 Şubat 2002

Microsoft destek dosyalarını karşıdan yükleme konusunda ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
119591Microsoft Destek Dosyaları Çevrimiçi Hizmetler'den Nasıl Alınır
Microsoft bu dosyada virüs taraması yapmıştır. Microsoft, dosyanın kullanıma sunulduğu tarihteki en güncel virüs tarama yazılımını kullanmıştır. Dosya, üzerinde herhangi bir yetkisiz değişiklik yapılmasını engellemeye yardım eden geliştirilmiş güvenliğe sahip sunucularda depolanır. Bu düzeltmenin İngilizce sürümünde aşağıdaki dosya öznitelikleri veya üstü bulunur:
   Date         Version     Size     File name     Platform
   --------------------------------------------------------
   08-Jan-2002  8.2.8307.0  689,424  Msxml2.dll    x86
				
Not Düzeltme ekini sessizce ve yeniden yüklemek için <a0></a0>, aşağıdaki anahtarları kullanın: / q: / c: "dahotfix /q / n"

Durum

Microsoft, bu sorun Microsoft XML 2. 0'da bir ölçüde güvenlik açığına neden olabileceğini onaylamıştır.

Daha fazla bilgi

MSXML'nin etkilenen sürümleri birkaç ürünün parçası olarak gelir. Düzeltme ekini, aşağıdaki Microsoft ürünlerinden biri bulunan sistemlere uygulamanız gerekir:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
MSXML ayrı olarak da yüklenebilir. MSXML, Windows işletim sistemi klasörünün System32 alt klasörüne bir DLL dosyası olarak yüklenir. Çoğu sistemde bu C:\Windows veya C:\winnt klasörü olacaktır. System32 klasöründe aşağıdaki dosyalardan biri veya tümü varsa düzeltme ekini uygulamalısınız:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Yalnızca Msxml.dll dosyası varsa, daha eski ve etkilenmeyen bir sürüm olduğu için düzeltme ekini uygulamanız gerekmez.

Bu güvenlik açığı hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesine bakın:
http://www.microsoft.com/technet/security/bulletin/MS02-008.mspx
Katılımsız modda bu düzeltmenin yüklenebilmesi için <a0></a0>, aşağıdaki komut satırı bağımsız değişkenleri'ni kullanın.

Katılımsız yükleme düzeltmenin görüntüleme "düzeltme iletişim ayıklama" hem bir son yeniden başlatma iletişim kutusu görüntüleme:
Q318202_MSXML20_x86.exe /q /c:"dahotfix.exe /q"
				
düzeltme ancak bir son yeniden başlatma iletişim kutusu görüntüleme, tümüyle sessiz bir katılımsız kurulum:
Q318202_MSXML20_x86.exe /q:a /c:"dahotfix.exe /q"
				
bastırılmış son yeniden başlatma iletişim ile ilgili düzeltme, tümüyle sessiz bir katılımsız kurulum:
Q318202_MSXML20_x86.exe /q:a /c:"dahotfix.exe /q /n"
				

Özellikler

Makale numarası: 318202 - Last Review: 7 Nisan 2006 Cuma - Gözden geçirme: 6.2
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft XML Parser 2.6
Anahtar Kelimeler: 
kbmt kbqfe kbhotfixserver kbbug kbfix kbsecbulletin kbsechack kbsecurity kbsecvulnerability KB318202 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:318202

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com