MS02-008: 在 MSXML 2.6 XMLHTTP 控制項可以讓本機檔案的存取權

文章翻譯 文章翻譯
文章編號: 318202 - 檢視此文章適用的產品。
取得更多資訊有關這項弱點按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中發行項]:
317244MS02-008: 在 MSXML 4.0 XMLHTTP 控制項可以讓本機檔案的存取權
318203MS02-008: XMLHTTP 在 MSXML 3.0 中的控制項可以讓本機檔案的存取權
全部展開 | 全部摺疊

徵狀

資訊洩漏弱點存在,可以讓造訪蓄意格式不正確的網站上讀取使用者的本機檔案系統上的檔案的攻擊。

攻擊者就不能新增、 變更,或刪除檔案。在另外攻擊者就無法使用電子郵件來執行這項攻擊 ; 可以只有利用此弱點的網站。客戶對於小心瀏覽並避免造訪不明或授信網站時沒有這項弱點所產生的低風險。

發生的原因

這項弱點存在,是因為 XMLHTTP 控制項在 [Microsoft XML 核心服務並不尊重網際網路總管安全性區域限制。這可讓 Web 網頁,以使用者的本機系統上的檔案指定為 XML 資料來源讀取檔案的方法。

解決方案

支援的 Hotfix 現在可以從 Microsoft,但只能用來修正本文所描述的問題。因此只提供給您判斷風險的攻擊的系統。請評估電腦的實體存取設定、 網路和網際網路連線能力以及其他因素,以判斷電腦的風險程度。請參閱相關的 Microsoft Security Bulletin,以協助您判斷風險程度。此 Hotfix 可能會接受其他測試。如果電腦是夠風險,我們建議您立即套用此 Hotfix。

如果要立即解決這個問題,下載 Hotfix,請遵循本文中的指示,或洽詢 Microsoft 技術支援部以取得該 Hotfix。如需 Microsoft 產品支援服務電話號碼及支援成本的相關資訊的完整清單,請造訪下列 Microsoft 網站]:
http://support.microsoft.com/contactus/?ws=support
附註 在特殊情況下通常會因支援電話所產生的費用可能就不收取,如果 Microsoft 支援人員認為某特定更新程式可以解決您的問題。平常的支援成本將會套用到其他支援問題是所做不限定特定有問題的更新程式。下列檔案是可以從 Microsoft 下載中心 」 下載:
摺疊此圖像展開此圖像
Download
Download Q318202_MSXML26_x86_en.exe now
發行日期: 2002 年 2 月 21日,

如需有關如何下載 Microsoft 支援檔案的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
119591如何從線上服務取得 Microsoft 支援檔案
Microsoft 已掃描這個檔案有無病毒。Microsoft 使用已張貼檔案的日期中的 [可用的最新病毒偵測軟體。檔案儲存在安全性強化的伺服器上,以避免任何未經授權的更改至檔案。 此修正程式的英文版應該具有下列檔案屬性或更新版本:
   Date         Version     Size     File name     Platform
   --------------------------------------------------------
   08-Jan-2002  8.2.8307.0  689,424  Msxml2.dll    x86
				
附註以無訊息模式且不重新開機的情況下安裝補充程式,使用下列參數: / q: /c: dahotfix/q/n"

狀況說明

Microsoft 已確認此問題可能會一定程度的安全性弱點造成 Microsoft XML 2.0 中。

其他相關資訊

受影響的版本的 MSXML 交運數個產品的一部分。您應該將補充程式套用至任何下列的 Microsoft 產品的系統:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
也可以分別安裝 MSXML。MSXML 安裝成 Windows 作業系統資料夾的 [System32] 子資料夾中的 DLL。在大多數的系統上這可能會是 C:\Windows 或 C:\winnt。如果您在 [System32] 資料夾中有任一或所有下列檔案,您需要補充程式:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
如果您只 Msxml.dll 您並不需要修補程式,因為這是版本之前,不會受到影響。

如需有關這項弱點的詳細資訊,請參閱下列 Microsoft 網站]:
http://www.microsoft.com/technet/security/bulletin/MS02-008.mspx
如果要在自動安裝模式下安裝此 Hotfix,使用下列命令列的引數。

自主式的安裝的 Hotfix 同時顯示"解壓縮 Hotfix 對話方塊 」 並顯示最後的重新開機] 對話方塊:
Q318202_MSXML20_x86.exe /q /c:"dahotfix.exe /q"
				
的 Hotfix,但顯示最後的重新開機] 對話方塊的自動安裝完全無訊息安裝:
Q318202_MSXML20_x86.exe /q:a /c:"dahotfix.exe /q"
				
的 Hotfix 時抑制最後的重新開機] 對話方塊的自動安裝完全無訊息安裝:
Q318202_MSXML20_x86.exe /q:a /c:"dahotfix.exe /q /n"
				

屬性

文章編號: 318202 - 上次校閱: 2006年4月7日 - 版次: 6.2
這篇文章中的資訊適用於:
  • Microsoft XML Parser 2.6
關鍵字:?
kbmt kbqfe kbhotfixserver kbbug kbfix kbsecbulletin kbsechack kbsecurity kbsecvulnerability KB318202 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:318202
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com