MS02-008:MSXML 2.6 中的 XMLHTTP 控件允许访问本地文件

文章翻译 文章翻译
文章编号: 318202 - 查看本文应用于的产品
有关此漏洞的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
317244 MS02-008:MSXML 4.0 中的 XMLHTTP 控件允许访问本地文件
318203 MS02-008:MSXML 3.0 中的 XMLHTTP 控件允许访问本地文件
展开全部 | 关闭全部

症状

有一种信息暴露安全漏洞;在用户访问一个特别构建的别有用心的网站时,此漏洞可使攻击者能够读取该用户的本地文件系统上的文件。

攻击者不能添加、更改或删除文件。另外,攻击者也不能使用电子邮件执行这种攻击,因为攻击者只能通过一个 Web 站点利用这种安全漏洞。如果客户在浏览时能够谨慎操作并能够避免访问未知的或不受信任的站点,就能减小此安全漏洞带来的风险。

原因

存在这种安全漏洞是因为,Microsoft XML 核心服务中的 XMLHTTP 控件没有考虑 Internet Explorer 安全区域的限制。这使得 Web 页能够指定用户本地系统上的某个文件作为一个 XML 数据源,藉此读取该文件。

解决方案

Microsoft 提供了受支持的修复程序,但该程序只用于解决本文所介绍的问题。只应对确实存在被攻击危险的计算机应用此修复程序。请评估您的计算机的物理可访问性、网络和 Internet 连接以及其他因素,以便确定您的计算机遭受危险的程度。请参阅相关的 Microsoft 安全公告 以帮助确定遭受危险的程度。此修复程序可能还会接受其他一些测试。如果确定您的计算机有危险,Microsoft 建议您立即应用此修复程序。

如果想立即解决此问题,请单击本文中后面的下载链接以下载此修复程序,或与 Microsoft 产品支持服务联系以获取此修复程序。有关 Microsoft 产品支持服务电话号码和支持费用信息的完整列表,请访问下面的 Microsoft Web 站点:
http://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS
注意:特殊情况下,如果 Microsoft 支持专业人员确定某个特定的更新程序能够解决您的问题,可免收通常情况下收取的电话支持服务费用。对于特定的更新无法解决的其他支持问题和事项,将正常收取支持费用。

从 Microsoft 下载中心可以下载以下文件:
收起这个图片展开这个图片
下载
立即下载 Q318202_MSXML26_x86_en.exe
发布日期:2002 年 2 月 21 日

有关如何下载 Microsoft 支持文件的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591 如何通过联机服务获得 Microsoft 支持文件
Microsoft 已对此文件进行了病毒扫描。Microsoft 使用的是该文件发布时可以获得的最新病毒检测软件。该文件存储在安全性得到增强的服务器上,以防止在未经授权的情况下对其进行更改。 该修复程序的英文版应具有以下或更新的文件属性:
日期         版本       大小    文件名       平台
   --------------------------------------------------------
08-Jan-2002  8.2.8307.0  689,424  Msxml2.dll    x86
				
注意:要以安静模式安装此修补程序并且不重新启动,请使用以下参数:/q:a /c:"dahotfix /q /n"

状态

Microsoft 已确认此问题可能会在 Microsoft XML 2.0 中造成一定程度的安全漏洞。

更多信息

受影响的 MSXML 版本通常是作为几种产品的一部分提供的。应当对包含以下任何 Microsoft 产品的系统应用此修补程序:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
MSXML 也可以独立安装。MSXML 作为一个 DLL 安装在 Windows 操作系统文件夹中的 System32 子文件夹中。在多数系统上,Windows 操作系统文件夹一般是 C:\Windows 或 C:\winnt。如果 System32 文件夹中具有以下任一文件或全部文件,则说明您需要此修补程序:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
如果只有 Msxml.dll,则不需要此修补程序,因为这是一个较早的、不受影响的版本。

有关此漏洞的更多信息,请访问以下 Microsoft Web 站点:
http://www.microsoft.com/technet/security/bulletin/MS02-008.asp
如要以无人参与模式安装此修复程序,请使用以下命令行参数。

以无人参与模式安装修复程序时可显示两个对话框:一个对话框说明“正在提取修复程序文件”,一个对话框在最后要求重新启动:
Q318202_MSXML20_x86.exe /q /c:"dahotfix.exe /q"
				
以完全无人参与的“安静”模式安装修复程序,但最后显示要求重新启动的对话框:
Q318202_MSXML20_x86.exe /q:a /c:"dahotfix.exe /q"
				
以完全无人参与的“安静”模式安装修复程序,不显示最后要求重新启动的对话框:
Q318202_MSXML20_x86.exe /q:a /c:"dahotfix.exe /q /n"
				

属性

文章编号: 318202 - 最后修改: 2006年4月17日 - 修订: 4.0
这篇文章中的信息适用于:
  • Microsoft XML Parser 2.6
关键字:?
kbbug kbfix kbsecvulnerability kbqfe kbsecurity kbsecbulletin kbsechack kbhotfixserver KB318202
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com