MS02-052: A Microsoft virtuális gép JDBC osztályainak hiányossága kód futását eredményezheti

A cikk fordítása A cikk fordítása
Cikk azonosítója: 329077 - A cikkben érintett termékek listájának megtekintése.
Az összes kibontása | Az összes összecsukása

A jelenség

A Microsoft virtuális gép (VM) egy virtuális gép a Microsoft Windows 32 bites verziói számára. A Microsoft VM része a Windows és a Microsoft Internet Explorer legtöbb verziójának. A Microsoft virtuális géphez új javítás érthető el, mely három biztonsági rés javítását tartalmazza. A veszélyforrás mindhárom biztonsági rés esetében megegyezik: a sérülékenységek kihasználásához a támadó készít egy weblapot, melyet ezután megjelentet egy kiszolgálón, vagy e-mailben küld tovább.

Az első sérülékenység a Java Database Connectivity (JDBC) osztályokat érinti, melyek a Java programok számára a különböző adatforrásokhoz történő kapcsolódást és az ott levő adatok felhasználását teszik lehetővé. Ezen adatforrások lehetnek egyszerű fájlok, vagy akár Microsoft SQL Server adatbázisok is. A biztonsági rést az osztályok által elvégzett azon ellenőrzés hiányossága okozza, amely a felhasználó számítógépén található DLL-fájlokra irányuló betöltési és futtatási kérelmek módjával kapcsolatos. Habár az osztályok elvégzik az engedély nélküli programok hasonló kérelmeinek kiszűrésére irányuló ellenőrzést, ez az ellenőrzés a kérelmek bizonyos, nem megfelelő módon történő formázásával megtéveszthető. Ennek következményeképp a támadónak lehetősége nyílhat a felhasználó számítógépén található bármely DLL-fájl betöltésére és futtatására.

A második biztonsági rés szintén a JDBC osztályokkal kapcsolatos: az osztályok bizonyos függvényei nem ellenőrzik megfelelően a bemenetként kapott kezelőket. A biztonsági rés kihasználásának egyik legkézenfekvőbb módja az aktuális kezelő helyett más, nem érvényes adat küldése egy adott függvény hívásakor. A Microsoft megerősítette, hogy ilyen esetekben az Internet Explorer működésképtelenné válik. E hiányosság lehetőséget adhat a támadónak olyan adat megadására, amely a felhasználó biztonsági környezetében kód futását eredményezi.

A harmadik biztonsági rés egy olyan osztállyal kapcsolatos, mely az XML-használat támogatását biztosítja a Java programoknak. Az osztály számos metódust kínál, melyek közül néhányat bármely program használhat, a többit pedig csak hitelesített programok vehetnék igénybe. Az osztály viszont nem különbözteti meg megfelelően ezeket az eseteket; ehelyett az összes metódust bármely program számára elérhetővé teszi. A biztonsági rés által elérhető függvények között találhatók olyan függvények is, melyek segítségével egy program a felhasználó számítógépén gyakorlatilag bármilyen műveletet végrehajthat.

A megoldás

A probléma megoldásához telepítse az alábbi Microsoft Tudásbázis cikkben ismertetett javítást:
810030 MS02-069: A Microsoft virtuális gép hiányossága veszélyeztetheti a Windows rendszert (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
A 810030. számú frissítés helyettesíti a 329077. számú biztonsági frissítést.

Ez a frissítés az alábbi változtatásokat végzi el a rendszerleíró adatbázisban:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{DBB3C81D-3C91-4a1e-BDDF-905B61C7CEDF}
="Security Update for the Microsoft VM"
"ComponentID"="JAVAVM"
"IsInstalled"=hex:01,00,00,00
"KeyFileName"="C:\\WINDOWS\\System32\\msjava.dll"
"Version"="5,00,3807,0"
Megjegyzés: A Jview alkalmazásban látható verziószámtól függetlenül, a fentebb leírt rendszerleíró kulcs segítségével állapíthatja meg, hogy a javítás megfelelően van-e telepítve. Az Msjava.dll fájl verziója a javítás telepítése után is 5.00.3805.0000 marad.

A javítás angol verziójában található fájlok a következő táblázatban ismertetett (vagy azoknál újabb) fájlattribútumokkal rendelkeznek. A fájlok dátuma és időpontja az egyezményes világidő (UTC) szerint van megadva, és a fájlinformáció megtekintése során ezen adatokat helyi időre konvertálja a program. A helyi idő és az egyezményes idő közötti különbségről a Vezérlőpultról elérhető Dátum és idő párbeszédpanel Időzóna lapján tájékozódhat.
   Dátum           Idő     Méret     Fájlnév
   ------------------------------------------
   2002. 02. 18.   07:38     2 678   Msjdbc.cer
   2002. 08. 21.   17:28   137 282   Msjdbc.zip
   2002. 08. 16.   09:57    10 957   Osp.zip
				
Ezek a fájlok a %Windir%\Java\Classes könyvtárba kerülnek. A tömörített Zip fájlok az alábbi Java osztályokat tartalmazzák:
   2002. 08. 21.   17:28   24 824  Jdbcodbc.class
   2002. 08. 21.   17:28      800  Jdbcodbcboundcol.class
   2002. 08. 21.   17:28    1 119  Jdbcodbcboundparam.class
   2002. 08. 21.   17:28      848  Jdbcodbcbusyflag.class
   2002. 08. 21.   17:28    5 193  Jdbcodbccallablestatement.class
   2002. 08. 21.   17:28    8 347  Jdbcodbcconnection.class
   2002. 08. 21.   17:28      447  Jdbcodbcconnectioninterface.class
   2002. 08. 21.   17:28   28 036  Jdbcodbcdatabasemetadata.class
   2002. 08. 21.   17:28      710  Jdbcodbcdecimal.class
   2002. 08. 21.   17:28    6 096  Jdbcodbcdriver.class
   2002. 08. 21.   17:28      308  Jdbcodbcdriverattribute.class
   2002. 08. 21.   17:28      415  Jdbcodbcdriverinterface.class
   2002. 08. 21.   17:28    2 990  Jdbcodbcinputstream.class
   2002. 08. 21.   17:28      611  Jdbcodbclimits.class
   2002. 08. 21.   17:28    2 339  Jdbcodbcobject.class
   2002. 08. 21.   17:28    8 063  Jdbcodbcpreparedstatement.class
   2002. 08. 21.   17:28      912  Jdbcodbcpseudocol.class
   2002. 08. 21.   17:28   12 865  Jdbcodbcresultset.class
   2002. 08. 21.   17:28      615  Jdbcodbcresultsetinterface.class
   2002. 08. 21.   17:28    5 503  Jdbcodbcresultsetmetadata.class
   2002. 08. 21.   17:28      523  Jdbcodbcsqlwarning.class
   2002. 08. 21.   17:28    6 116  Jdbcodbcstatement.class
   2002. 08. 21.   17:28    1 451  Jdbcodbctimestamp.class
   2002. 08. 21.   17:28      566  Jdbcodbctypeinfo.class
   2002. 08. 21.   17:28   13 595  Odbcdef.class
   1997. 07. 28.   13:15      247  Accessdeniedexception.class
   1997. 07. 28.   13:15      243  Conversionexception.class
   1997. 07. 28.   13:15    1 033  Datasource.class
   1997. 07. 28.   13:15      746  Datasourcelistener.class
   1997. 07. 28.   13:15      253  Illegalargumentexception.class
   1997. 07. 28.   13:15      251  Notimplementedexception.class
   1997. 07. 28.   13:15    1 736  Oledbsimpleprovider.class
   1997. 07. 28.   13:15    1 123  Oledbsimpleproviderlistener.class
   1997. 07. 28.   13:15      384  Ospcomp.class
   1997. 07. 28.   13:15      261  Ospexception.class
   1997. 07. 28.   13:15      264  Ospfind.class
   1997. 07. 28.   13:15      304  Ospformat.class
   1997. 07. 28.   13:15      912  Ospmrshl.class
   1997. 07. 28.   13:15      286  Osprw.class
   1997. 07. 28.   13:15      260  Ospxfer.class
   1997. 07. 28.   13:15      368  __MIDL___MIDL_ITF_SIMPDATA_0000_0001.CLASS
				

Állapot

A Microsoft megerősítette, hogy ez a probléma bizonyos fokú biztonsági kockázatot okozhat a Microsoft virtuális gépben.

További információ

A biztonsági résről a Microsoft következő webhelyein talál további információt:
http://www.microsoft.com/technet/security/bulletin/MS02-052.asp
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-011.asp

Tulajdonságok

Cikk azonosítója: 329077 - Utolsó ellenőrzés: 2004. október 1. - Verziószám: 8.2
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft Virtual Machine for Java
  • Microsoft Virtual Machine for Java a következő platformokon
    • Microsoft Windows Millennium Edition
    • the operating system: Microsoft Windows 2000
    • Microsoft Windows NT 4.0
    • Microsoft Windows 98 Second Edition
    • Microsoft Windows 98 Standard Edition
Kulcsszavak: 
kbbug kbfix kbsecvulnerability kbsecurity kbsecbulletin KB329077
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com