MS03-008: A parancsfájl-végrehajtó hibája weboldalba ágyazott kód futtatását teheti lehetővé

A cikk fordítása A cikk fordítása
Cikk azonosítója: 814078 - A cikkben érintett termékek listájának megtekintése.
Az összes kibontása | Az összes összecsukása

A lap tartalma

A jelenség

A támadók a Windows parancsfájl-végrehajtó egy biztonsági rését kihasználva létrehozhatnak egy olyan weblapot, amely – mihelyt egy felhasználó felkeresi azt – a támadó által választott kódot futtat a felhasználó hitelesítő adataival. A támadó egy webhelyen tárolhatja a weblapot, illetve e-mailben közvetlenül elküldheti a felhasználónak.

Oka

Ezt a hibát a Windows JScript-alapú parancsfájl-végrehajtójának adatfeldolgozási módja okozza.

A megoldás

A Microsoft Windows XP szervizcsomagjával kapcsolatos információ

A probléma megoldásához szerezze be a Windows XP rendszerhez kiadott legújabb szervizcsomagot. A Microsoft Tudásbázis kapcsolódó cikke:
322389 A Windows XP rendszer legújabb szervizcsomagjának beszerzése

Frissítési információk

A probléma megoldható egy frissítés telepítésével. A használt operációs rendszernek és a JScript jelenleg telepített verziójának megfelelő frissítést kell telepítenie. A JScript telepített verzióját az alábbi lépések végrehajtásával állapíthatja meg:
  1. Kattintson a Start menü Futtatás parancsára, a megjelenő párbeszédpanel beviteli mezőjébe írja be a %windir%\system32 parancsot, majd kattintson az OK gombra.

    Megjegyzés: Microsoft Windows 98-példányok esetén írja be a %windir%\system parancsot, majd kattintson az OK gombra.
  2. Keresse meg a Jscript.dll fájlt a system32, illetve Windows 98 használata esetén a System ablakban.
  3. Kattintson a jobb gombbal a Jscript.dll fájlra, majd kattintson a Tulajdonságok parancsra.
  4. Kattintson a Verzió fülre.

    A fájl verziószáma a Verzió lapon szereplő információk között, az első sorban jelenik meg.
A telepített JScript verziószámának megállapítását követően kattintson az operációs rendszer verziójának megfelelő letöltési hivatkozásra. Ezután a letöltési lap utasításokat tartalmazó részében ellenőrizze a JScript telepítendő biztonsági frissítésének verziójára vonatkozó adatokat.

A következő fájlok letölthetők a Microsoft letöltőközpontjából:
Windows XP és Windows 2000
A kép összecsukásaA kép kibontása
Letöltés
A 814078. számú csomag letöltése
Windows NT 4.0 és Windows NT 4.0, Terminal Server Edition
A kép összecsukásaA kép kibontása
Letöltés
A 814078. számú csomag letöltése
Windows Millennium Edition
A kép összecsukásaA kép kibontása
Letöltés
A 814078. számú csomag letöltése
Windows 98 Second Edition és Windows 98
A kép összecsukásaA kép kibontása
Letöltés
A 814078. számú csomag letöltése
Kiadás dátuma: 2003. március 19.

A Microsoft terméktámogatási fájljainak letöltéséről a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
119591 Microsoft terméktámogatási fájlok beszerzése az online szolgáltatások segítségével
A Microsoft a kiadás napján rendelkezésre álló legújabb víruskereső szoftverrel ellenőrizte a fájl vírusmentességét. A fájlt biztonságos kiszolgálók tárolják, megakadályozva annak jogosulatlan módosítását.

Előfeltételek

A táblázat összecsukásaA táblázat kibontása
Operációs rendszerMinimális követelmények
Windows XPWindows XP vagy Windows XP Service Pack 1 (SP1)
Windows 2000Windows 2000 SP2 vagy SP3
Windows NT 4.0 Terminal Server EditionWindows NT 4.0 TSE SP6
Windows NT 4.0Windows NT 4.0 SP6a
Windows Millennium Edition Windows Millennium Edition
Windows 98 Second Edition Windows 98 Second Edition
Windows 98Windows 98
A Windows XP rendszer legújabb szervizcsomagjának beszerzéséről a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
322389 A Windows XP rendszer legújabb szervizcsomagjának beszerzése
A Windows 2000 legfrissebb szervizcsomagjának beszerzéséről a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
260910 A legfrissebb Windows 2000 szervizcsomag beszerzése

A legújabb Windows NT 4.0 szervizcsomag beszerzéséről a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
152734 A Windows NT 4.0 rendszer legújabb szervizcsomagjának beszerzése

Telepítési információk

A frissítés a következő telepítési kapcsolók használatát támogatja:
A táblázat összecsukásaA táblázat kibontása
KapcsolóLeírás
/?A telepítési kapcsolók listájának megjelenítése.
/qCsendes üzemmód használata (nincs felhasználói beavatkozás).
/t: teljes_elérési_útAz ideiglenes munkamappa.
/c Csak kibontás. A /t kapcsolóval együtt használható.
/c: cmdA szerző által definiált telepítési parancs felülírása.
/rÚjraindítás vezérlése vagy kikényszerítése (lásd az alábbi példákban).
A következő parancs például a frissítést minimális felhasználói beavatkozás mellett, valamint a számítógép újraindításának engedélyezésével telepíti:
js56nhu /q /r:n
A frissítés minimális felhasználói beavatkozás melletti telepítéséhez, majd a számítógép kérdés nélküli (csendes) újraindításához a következő parancsot használhatja:
js56nhu /q /r:s
Megjegyzés: A frissített fájl nem lesz teljesen telepítve. Ezért a biztonsági rés továbbra is jelen lesz a számítógép újraindításáig. A parancssori kapcsolókról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
197147 Az IExpress szoftverfrissítési csomagok parancssori kapcsolói (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Eltávolítási információk

A JScript rendszerfájl és védett összetevő, így nem távolítható el.

Újraindítási követelmény

A frissítés telepítését követően újra kell indítani a számítógépet.

Gyorsjavítások helyettesítése

Ez a frissítés nem helyettesít más frissítést.

Fájlinformációk

A gyorsjavítás angol nyelvű változata a következő táblázatban található fájlattribútumokkal (vagy újabbakkal) rendelkezik. A fájlok dátuma és időpontja egyezményes világidő (UTC) szerint van megadva. A fájlinformációk megtekintése során a dátumok és időpontok helyi időre konvertálódnak. A helyi idő és az egyezményes világidő közötti különbségről a Vezérlőpultról elérhető Dátum és idő párbeszédpanel Időzóna lapján tájékozódhat.

A JScript telepített verziójától (5.1, 5.5 vagy 5.6) függően az alábbi fájlok valamelyike kerül a %WINDIR%\System32 mappába:
   Dátum        Idő    Verzió       Méret   Fájlnév 
   ----------------------------------------------------
   2003.01.13.  20:57  5.6.0.8513  589 881  Jscript.dll 
   2003.01.13.  18:53  5.5.0.8513  553 020  Jscript.dll 
   2003.01.14.  14:58  5.1.0.8513  487 481  Jscript.dll

Állapot

A Microsoft megerősítette, hogy ez a probléma bizonyos fokú biztonsági kockázatot okozhat a cikk elején felsorolt Microsoft-termékeknél.

Windows XP

A probléma első javítása a Windows XP Service Pack 2 szervizcsomagban jelent meg.

További információ

A biztonsági résről a Microsoft következő webhelyén talál további információt:
http://www.microsoft.com/technet/security/bulletin/MS03-008.mspx
A JScript fájllal kapcsolatban a Microsoft következő webhelyén tájékozódhat:
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/script56/html/0441e1e5-34e4-4d32-b188-f7fc35613478.asp

Tulajdonságok

Cikk azonosítója: 814078 - Utolsó ellenőrzés: 2007. május 3. - Verziószám: 16.3
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows Millennium Edition
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows 98 Standard Edition
Kulcsszavak: 
kbbug kbfix kbwin2000presp4fix kbsecvulnerability kbenv kbsecurity kbwinxpsp2fix kbsecbulletin kbwinxppresp2fix atdownload KB814078
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com