Artikel-ID: 318203 - Geändert am: Montag, 29. Oktober 2007 - Version: 4.1

MS02-008: XMLHTTP-Steuerelement in MSXML 3.0 kann Zugriff auf lokale Dateien zulassen

Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
318203  (http://support.microsoft.com/kb/318203/EN-US/ ) MS02-008: XMLHTTP Control in MSXML 3.0 Can Allow Access to Local Files
Weitere Informationen zu dieser Sicherheitsanfälligkeit finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
317244  (http://support.microsoft.com/kb/317244/DE/ ) MS02-008: XMLHTTP-Steuerelement in MSXML 4.0 kann Zugriff auf lokale Dateien zulassen
318202  (http://support.microsoft.com/kb/318202/DE/ ) MS02-008: XMLHTTP Control in MSXML 2.0 Can Allow Access to Local Files
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Problembeschreibung

Es besteht eine Anfälligkeit für die Offenlegung von Informationen, die es einem Angreifer ermöglichen könnte, Dateien auf dem lokalen Dateisystem eines Benutzers zu lesen, der eine vorsätzlich falsch formatierte Website besucht.

Der Angreifer wäre allerdings nicht in der Lage, Dateien hinzuzufügen, zu ändern oder zu löschen. Zudem könnte der Angreifer diesen Angriff nicht per E-Mail ausführen; diese Anfälligkeit kann nur über eine Website ausgenutzt werden. Kunden können das mit dieser Anfälligkeit verbundene Risiko reduzieren, indem sie beim Browsen im Internet Vorsicht walten lassen und es vermeiden, unbekannte oder nicht vertrauenswürdige Sites zu besuchen.
Zum Anfang

Ursache

Diese Sicherheitsanfälligkeit tritt auf, da das XMLHTTP-Steuerelement in den Microsoft XML Core Services die Einstellungen und Einschränkungen der Sicherheitszonen in Internet Explorer fehlerhaft interpretiert. Dadurch kann über eine Webseite eine Datei auf dem lokalen System des Benutzers als XML-Datenquelle angegeben und somit gelesen werden.
Zum Anfang

Lösung

Installieren Sie das neueste Service Pack für Internet Explorer 6, um dieses Problem zu beheben. Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base:
328548  (http://support.microsoft.com/kb/328548/DE/ ) Wie Sie das neueste Service Pack für Internet Explorer 6 erhalten
Die folgende Datei steht im Microsoft Download Center zum Download zur Verfügung:
Bild minimierenBild vergrößern
Download
Q318203_MSXML30_x86_en.exe jetzt herunterladen (http://download.microsoft.com/download/xml/patch/3.0/w9xnt4mexp/en-us/q318203_msxml30_x86.exe)
Datum der Freigabe: 21. Februar 2002

Weitere Informationen über das Downloaden von Microsoft Support-Dateien finden Sie in folgendem Artikel der Microsoft Knowledge Base:
119591  (http://support.microsoft.com/kb/119591/DE/ ) So erhalten Sie Microsoft Support-Dateien im Internet
Microsoft hat diese Datei auf Viren überprüft. Microsoft hat dazu die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war. Die Datei befindet sich auf Servern mit verstärkter Sicherheit, wodurch nicht autorisierte Änderungen an der Datei weitestgehend verhindert werden. Die englische Version dieses Updates sollte die folgenden Dateiattribute (oder höher) aufweisen:
   Datum       Version      Größe      Dateiname   Plattform
   ---------------------------------------------------------
   15.02.2002  8.20.9415.0  1.120.768  Msxml3.dll  x86
Hinweis: Wenn Sie die folgende Befehlszeile verwenden, wird der Patch automatisch installiert, ohne dass ein Neustart erforderlich ist: /q:a /c:"dahotfix /q /n"
Zum Anfang

Status

Microsoft hat bestätigt, dass dieses Problem in gewissem Maße ein Sicherheitsproblem in Microsoft XML 3.0 zur Folge haben kann. Dieses Problem wurde erstmals in Internet Explorer 6 Service Pack 1 behoben.
Zum Anfang

Weitere Informationen

Betroffene Versionen von MSXML werden als Bestandteil verschiedener Produkte ausgeliefert. Der Patch muss auf Systeme angewendet werden, auf denen eines der folgenden Microsoft-Produkte installiert ist:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
MSXML kann auch separat installiert werden. MSXML wird in diesem Fall als DLL im Unterordner "System32" des Ordners für das Windows-Betriebssystem installiert. Dies ist bei den meisten Systemen der Ordner "C:\Windows" oder "C:\winnt". Wenn sich in Ihrem Ordner "System32" eine oder alle der folgenden Dateien befinden, benötigen Sie den Patch:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Wenn sich lediglich die Datei "Msxml.dll" in dem Ordner befindet, benötigen Sie den Patch nicht, da es sich dabei um eine ältere Version handelt, die nicht betroffen ist.

Weitere Informationen zu dieser Anfälligkeit finden Sie auf folgender Microsoft-Website:
http://www.microsoft.com/technet/security/bulletin/MS02-008.asp (http://www.microsoft.com/technet/security/bulletin/MS02-008.asp)
Zum Anfang
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft XML Parser 3.0
  • Microsoft XML Parser 3.0 Service Pack 1
  • Microsoft XML Parser 3.0 Service Pack 2
Zum Anfang
Keywords: 
kbdownload kbbug kbfix kbqfe kbwin2000sp3fix kbsecurity kbsqlserv2000sp3fix kbwinxpsp1fix kbhotfixserver kbproductlink KB318203
Zum Anfang
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
 

Get Help Now

Contact a support professional by E-mail, Online, or Phone

SPRACHE AUSWÄHLEN