MS02-054: Nekontrolovaná vyrovnávací paměť ve funkcích pro dekomprimaci souborů by mohla útočníkovi umožnit spustit kód

Překlady článku Překlady článku
ID článku: 329048 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Příznaky

Když použijete soubor komprimovaný pomocí metody ZIP (tj. soubor s příponou ZIP), znamená to, že v tomto souboru ZIP se nacházejí soubory, které byly komprimovány v zájmu úspory místa na pevném disku. V systému Windows 98 se sadou Plus! 98 a v systémech Windows Millennium Edition (ME) a Windows XP funkce Komprimované složky umožňuje, aby byly soubory ZIP považovány za složky. Pomocí funkce Komprimované složky můžete vytvářet soubory ZIP, přidávat do nich soubory a extrahovat z nich soubory.

Ve funkci Komprimované složky existuje následující chyba zabezpečení:
  • V programu existuje nekontrolovaná vyrovnávací paměť, která zpracovává dekompresi souborů ze souboru ZIP. Pokud se program pokusí otevřít soubor ZIP, který obsahuje soubor se speciálním nebezpečným názvem, může dojít k chybě programu Průzkumník Windows nebo může být útočník schopen spustit libovolný kód. Tím je ohroženo zabezpečení.
  • Funkce pro dekompresi může některý soubor umístit do jiné složky, než je cílová složka zadaná uživatelem jako umístění souborů dekomprimovaných ze souboru ZIP, nebo do podřízené složky cílové složky zadané uživatelem. To může umožnit, aby útočník umístil určitý soubor do známého umístění v počítači uživatele. Mohl by například umístit program do složky programů spouštěných po spuštění počítače.

Řešení

Další informace o možnostech vyřešení této chyby zabezpečení získáte klepnutím na jeden z následujících odkazů (podle používaného systému).

Informace o aktualizaci Windows XP Service Pack

Problém vyřešíte instalací nejnovější aktualizace Service Pack pro systém Microsoft Windows XP. Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
322389 Jak získat nejnovější aktualizaci Service Pack pro systém Windows XP

Informace o opravě hotfix pro systém Windows XP

Společnost Microsoft má nyní k dispozici podporovanou opravu hotfix, která je však určena pouze k opravě problému popsaného v tomto článku. Použijte ji pouze u systémů, které jsou podle vašeho názoru ohroženy útokem. Vyhodnoťte fyzickou dostupnost počítače, možnost připojení k síti a k Internetu a další faktory určující míru ohrožení počítače. Další informace, které vám mohou pomoci určit stupeň rizika, naleznete v připojeném bulletinu Microsoft Security Bulletin. Tato oprava hotfix může být dále testována. Je-li váš počítač výrazně ohrožen, doporučujeme nainstalovat tuto opravu hotfix ihned.

Potřebujete-li odstranit tento problém okamžitě, stáhněte si opravu hotfix (podle pokynů uvedených dále v tomto článku) nebo se obraťte na oddělení technické podpory společnosti Microsoft, kde můžete tuto opravu hotfix získat. Úplný seznam telefonních čísel služeb technické podpory společnosti Microsoft a informace o cenách technické podpory naleznete na tomto webu společnosti Microsoft:
http://support.microsoft.com/contactus/?ws=support
Poznámka: Ve zvláštních případech nemusí být poplatky za poskytnutí telefonické podpory účtovány, pokud pracovník služeb podpory společnosti Microsoft potvrdí, že tato konkrétní aktualizace odstraní váš problém. Další dotazy a žádosti o podporu, které se netýkají této konkrétní aktualizace, podléhají běžným sazbám za poskytnutí podpory.

Informace o souborech ke stažení

Oprava chyby způsobené nekontrolovanou vyrovnávací pamětí při zpracování souborů ZIP je součástí aktualizace Windows XP Service Pack 1 (SP1). Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
322389 Jak získat nejnovější aktualizaci Service Pack pro systém Windows XP
Na webu služby Stažení softwaru je k dispozici ke stažení následující soubor:

Angličtina (USA):
Zmenšit tento obrázekZvětšit tento obrázek
Stáhnout
Stáhnout balíček Q329048

Arabština:
Zmenšit tento obrázekZvětšit tento obrázek
Stáhnout
Stáhnout balíček Q329048

Čínština (zjednodušená):
Zmenšit tento obrázekZvětšit tento obrázek
Stáhnout
Stáhnout balíček Q329048

Čínština (tradiční):
Zmenšit tento obrázekZvětšit tento obrázek
Stáhnout
Stáhnout balíček Q329048

Čeština:
Zmenšit tento obrázekZvětšit tento obrázek
Stáhnout
Stáhnout balíček Q329048

Dánština:
Zmenšit tento obrázekZvětšit tento obrázek
Stáhnout
Stáhnout balíček Q329048

Holandština:
Zmenšit tento obrázekZvětšit tento obrázek
Stáhnout
Stáhnout balíček Q329048

Finština:
Zmenšit tento obrázekZvětšit tento obrázek
Stáhnout
Stáhnout balíček Q329048

Francouzština:
Zmenšit tento obrázekZvětšit tento obrázek
Stáhnout
Stáhnout balíček Q329048

Němčina:
Zmenšit tento obrázekZvětšit tento obrázek
Stáhnout
Stáhnout balíček Q329048

Řečtina:
Zmenšit tento obrázekZvětšit tento obrázek
Stáhnout
Stáhnout balíček Q329048

Hebrejština:
Zmenšit tento obrázekZvětšit tento obrázek
Stáhnout
Stáhnout balíček Q329048

Maďarština:
Zmenšit tento obrázekZvětšit tento obrázek
Stáhnout
Stáhnout balíček Q329048

Italština:
Zmenšit tento obrázekZvětšit tento obrázek
Stáhnout
Stáhnout balíček Q329048

Japonština:
Zmenšit tento obrázekZvětšit tento obrázek
Stáhnout
Stáhnout balíček Q329048

Korejština:
Zmenšit tento obrázekZvětšit tento obrázek
Stáhnout
Stáhnout balíček Q329048

Norština:
Zmenšit tento obrázekZvětšit tento obrázek
Stáhnout
Stáhnout balíček Q329048

Polština:
Zmenšit tento obrázekZvětšit tento obrázek
Stáhnout
Stáhnout balíček Q329048

Portugalština:
Zmenšit tento obrázekZvětšit tento obrázek
Stáhnout
Stáhnout balíček Q329048

Portugalština (Brazílie):
Zmenšit tento obrázekZvětšit tento obrázek
Stáhnout
Stáhnout balíček Q329048

Ruština:
Zmenšit tento obrázekZvětšit tento obrázek
Stáhnout
Stáhnout balíček Q329048

Španělština:
Zmenšit tento obrázekZvětšit tento obrázek
Stáhnout
Stáhnout balíček Q329048

Švédština:
Zmenšit tento obrázekZvětšit tento obrázek
Stáhnout
Stáhnout balíček Q329048

Turečtina:
Zmenšit tento obrázekZvětšit tento obrázek
Stáhnout
Stáhnout balíček Q329048
Datum vydání: 2. října 2002

Další informace o tom, jak stahovat soubory podpory společnosti Microsoft, naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
119591 Jak získat soubory odborné pomoci společnosti Microsoft ze serverů služeb online
Tento soubor byl zkontrolován na výskyt virů. Společnost Microsoft použila ke kontrole tohoto souboru nejnovější antivirový software, který byl v době jeho publikování k dispozici. Soubor je uložený na zabezpečených serverech neumožňujících neoprávněné změny souborů.

Informace o instalaci

Tuto aktualizaci lze nainstalovat do systému Windows XP nebo Windows XP Service Pack 1 (SP1). Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
322389 Jak získat nejnovější aktualizaci Service Pack pro systém Windows XP
Po instalaci této aktualizace je třeba restartovat počítač. Tato aktualizace podporuje následující instalační přepínače:
  • /?: Zobrazí seznam instalačních přepínačů.
  • /u: Bezobslužný režim
  • /f: Vynutí ukončení ostatních programů při vypnutí počítače.
  • /n: Nevytvoří zálohu souborů pro účely odinstalace.
  • /o: Přepíše soubory OEM bez výzvy k potvrzení.
  • /z: Nerestartuje počítač po dokončení instalace.
  • /q: Tichý režim (bez zásahu uživatele)
  • /l: Zobrazí seznam nainstalovaných oprav hotfix.
  • /x: Extrahuje soubory, ale nespustí instalaci.
Chcete-li například aktualizaci nainstalovat bez zásahu uživatele a bez vynucení restartování počítače, zadejte následující příkaz:
q329048_wxp_sp2_x86_csy /u /q /z
Upozornění: Dokud počítač nerestartujete, může být ohrožen.

Informace o souborech

Anglická verze této opravy má následující atributy souborů (nebo novější). Data a časy jednotlivých souborů jsou uvedeny ve formátu UTC (Coordinated Universal Time). Při zobrazení informací o souboru jsou data a čas převedeny na místní čas. Rozdíl mezi místním časem a časem UTC naleznete na kartě Časové pásmo na panelu Datum a čas v okně Ovládací panely.

Do složky %Windir%\System32 jsou zkopírovány tyto soubory.
   Datum        Čas    Verze          Velikost  Název souboru
   -------------------------------------------------------------------
   25. 9. 2002  16:21  6.0.2600.101   316 928   Zipfldr.dll  (bez aktualizace SP1)
   25. 9. 2002  19:18  6.0.2800.1126  316 928   Zipfldr.dll  (s aktualizací SP1)
				

Windows Millennium Edition a Windows 98 se sadou Plus! 98

Společnost Microsoft má nyní k dispozici podporovanou opravu, která je určena pouze k odstranění problému popsaného v tomto článku. Použijte ji pouze u počítačů, které jsou podle vašeho názoru ohroženy útokem. Vyhodnoťte fyzickou dostupnost počítače, možnost připojení k síti a k Internetu a další faktory určující míru ohrožení počítače. Další informace, které vám mohou pomoci určit stupeň rizika, naleznete v připojeném bulletinu Microsoft Security Bulletin. Tato oprava bude pravděpodobně dále testována. Je-li váš počítač výrazně ohrožen, společnost Microsoft doporučuje nainstalovat tuto opravu ihned.

Potřebujete-li odstranit tento problém okamžitě, stáhněte si opravu (klepnutím na odkaz uvedený dále v tomto článku) nebo se obraťte na služby technické podpory společnosti Microsoft, kde můžete tuto opravu získat. Úplný seznam telefonních čísel služeb technické podpory společnosti Microsoft a informace o cenách technické podpory naleznete na tomto webu společnosti Microsoft:
http://support.microsoft.com/contactus/?ws=support
Poznámka: Ve zvláštních případech nemusí být poplatky za poskytnutí telefonické podpory účtovány, pokud pracovník služeb podpory společnosti Microsoft potvrdí, že konkrétní aktualizace odstraní váš problém. Další dotazy a žádosti o podporu, které se netýkají této konkrétní aktualizace, podléhají běžným sazbám za poskytnutí podpory.

Informace o souborech ke stažení

Na webu služby Stažení softwaru jsou k dispozici ke stažení následující soubory:

Windows Millennium Edition

Aktualizace pro systém Windows Millennium Edition (ME) je k dispozici z webu Windows Update. Aktualizaci můžete získat klepnutím na následující odkaz:
http://update.microsoft.com/windowsupdate/v6/default.aspx?ln=cs-cz
Windows 98 se sadou Plus!
Zmenšit tento obrázekZvětšit tento obrázek
Stáhnout
Stáhnout balíček Q329048
Datum vydání: 2. října 2002

Další informace o tom, jak stahovat soubory podpory společnosti Microsoft, naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
119591 Jak získat soubory odborné pomoci společnosti Microsoft ze serverů služeb online
Tento soubor byl zkontrolován na výskyt virů. Společnost Microsoft použila ke kontrole tohoto souboru nejnovější antivirový software, který byl v době jeho publikování k dispozici. Soubor je uložený na zabezpečených serverech neumožňujících neoprávněné změny souborů.

Informace o instalaci

Po instalaci této aktualizace je třeba restartovat počítač. Tato aktualizace podporuje následující instalační přepínače:
  • /q: Tiché režimy pro balíčky.
  • /t:úplná cesta: Určuje dočasnou pracovní složku.
  • /c: Extrahuje soubory pouze do složky, pokud je použit společně s přepínačem /t.
  • /c:cmd: Přepíše instalační příkaz definovaný autorem.

Informace o souborech

Anglická verze této opravy má následující atributy souborů (nebo novější). Data a časy jednotlivých souborů jsou uvedeny ve formátu UTC (Coordinated Universal Time). Při zobrazení informací o souboru jsou data a čas převedeny na místní čas. Rozdíl mezi místním časem a časem UTC naleznete na kartě Časové pásmo na panelu Datum a čas v okně Ovládací panely.

Windows Millennium Edition
  Datum        Čas    Verze           Velikost  Cesta a název souboru
  ------------------------------------------------------------------------
  10. 9. 2002  20:13  5.50.4921.1000  193 296   %Windir%\System\Zipfldr.dll
				
Windows 98 se sadou Plus!
  Datum        Čas    Verze      Velikost  Cesta a název souboru
  -------------------------------------------------------------------
  16. 9. 2002  19:24  5.0.531.0  188 688   %Windir%\System\Zipfldr.dll
				

Prohlášení

Společnost Microsoft potvrzuje, že tato chyba může určitým způsobem ohrozit zabezpečení produktů uvedených na začátku tohoto článku.

Windows XP

Tento problém byl poprvé opraven aktualizací Service Pack 2 pro systém Microsoft Windows XP.

Další informace

Další informace o této chybě zabezpečení naleznete na následujícím webu společnosti Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS02-054.mspx
Další informace o aktualizacích s duálním režimem získáte v následujícím článku databáze Microsoft Knowledge Base:
328848 Popis balíčků aktualizací s duálním režimem pro systém Windows XP (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

Vlastnosti

ID článku: 329048 - Poslední aktualizace: 25. května 2007 - Revize: 7.5
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows Millennium Edition
  • Microsoft Plus! 98 Standard Edition na těchto platformách
    • Microsoft Windows 98 Standard Edition
    • Microsoft Windows 98 Second Edition
Klíčová slova: 
kbhotfixserver kbqfe atdownload kbwinxpsp2fix kbenv kbbug kbfix kbsecbulletin kbsecurity kbsecvulnerability kbwinxppresp2fix kbwinxpsp1fix KB329048

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com