MS06-061: Luki w zabezpieczeniach programu Microsoft XML Core Services umożliwia zdalne wykonywanie kodu

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 924191 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

WPROWADZENIE

Firma Microsoft wydała biuletyn MS06-061 dotyczący zabezpieczeń. Ten biuletyn zawiera wszystkie informacje dotyczące aktualizacji zabezpieczeń. Te informacje obejmują manifest pliku i opcje wdrażania. Aby przejrzeć pełny biuletyn zabezpieczeń, odwiedź jedną z następujących witryn firmy Microsoft w sieci Web:

Informacje o dodatku Service Pack

Ten problem został po raz pierwszy rozwiązany w dodatku Service Pack 3 dla pakietu Microsoft Office 2003. Aby rozwiązać ten problem, użyj najnowszego dodatku Service Pack dla pakietu Office 2003. Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
870924 Jak uzyskać najnowszy dodatek Service Pack dla pakietu Office 2003

Znane problemy związane z tą aktualizacją zabezpieczeń

  • Jeżeli zainstalowanych jest kilka wersji programu Microsoft XML Parser lub Microsoft XML Core Services (MSXML), konieczna może być instalacja wielu pakietów dla tej aktualizacji zabezpieczeń. Ponadto, jeżeli wersja programu MSXML jest instalowana po zainstalowaniu tej aktualizacji zabezpieczeń, konieczna może być instalacja dodatkowego pakietu dla tej aktualizacji zabezpieczeń. Aby uzyskać więcej informacji dotyczących różnych wersji programu MSXML dostępnych lub uwzględnianych w różnych produktach lub aktualizacjach oprogramowania firmy Microsoft, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    269238 Lista wersji programu Microsoft XML Parser (MSXML)
  • Po zainstalowaniu oryginalnej wersji aktualizacji zabezpieczeń 924191 dla systemu Windows 2000 z dodatkiem Service Pack 4, bit kasacji identyfikatorów klasy analizatora składni XML firmy Microsoft (MSXML) wersji 2.6 jest nieprawidłowo ustawiony na wartość 0x00000190 (400), a nie 0x00000400 (1024). 19 października 2006 r. firma Microsoft wydała nową wersję tej aktualizacji zabezpieczeń celem rozwiązania problemu.

    Uwaga: W przypadku wcześniejszego zainstalowania oryginalnej aktualizacji zabezpieczeń dla systemu Windows 2000, nowa aktualizacja zabezpieczeń wydana 19 października 2006 r. nie aktualizuje poprawnie informacji o wersji wyświetlanej w oknie Dodaj lub usuń programy. Poprawny numer wersji to 0061014.135844. Jednak wyświetlana informacja o wersji to 20060915.123522. Można zignorować ten problem. W takim przypadku bit kasacji jest poprawnie aktualizowany w rejestrze identyfikatorów klasy wersji 2.6 programu MSXML.
  • Po zainstalowaniu tej aktualizacji zabezpieczeń nie można korzystać z programu Microsoft XML Parser w wersji 2.6 w programie Microsoft Internet Explorer. Takie zachowanie jest zgodne z projektem programu. Pakiet aktualizacji zabezpieczeń 924191 ustawia „bit kasacji” dla tej wersji programu MSXML. „Bit kasacji” zapobiega uruchomieniu składnika w programie Internet Explorer.

    Uwaga: Deweloperzy używający identyfikatorów programów (ProgID) zależnych od programu MSXML w wersji 2.6 w aplikacji muszą aktualizować identyfikatory ProgID do korzystania z programu MSXML 3.0.

    Kod przykładowy, w którym wykorzystano identyfikator ProgID zależny od programu MSXML w wersji 2.6
    var o = new ActiveXObject("Msxml2.DOMDocument.2.6");
    Kod przykładowy, w którym wykorzystano identyfikator ProgID zależny od programu MSXML w wersji 3.0
    var o = new ActiveXObject("Msxml2.DOMDocument.3.0");
    Wersja 924191 aktualizacji zabezpieczeń dla tego wydania ustawia "kill bit" dla MSXML 2.6 CLSIDs jak w poniższej tabeli:
    Zwiń tę tabelęRozwiń tę tabelę
    identyfikator GUIDNazwa symboliczna
    f5078f22-c551-11d3-89b9-0000f81fe221CLSID_XMLDocument26
    f5078f22-c551-11d3-89b9-0000f81fe221CLSID_DOMDocument26
    f5078f1c-c551-11d3-89b9-0000f81fe221CLSID_FreeThreadedDOMDocument26
    f5078f1d-c551-11d3-89b9-0000f81fe221CLSID_XMLSchemaCache26
    f5078f1e-c551-11d3-89b9-0000f81fe221CLSID_XMLHTTP26
    f5078f21-c551-11d3-89b9-0000f81fe221CLSID_XSLTemplate26
    f5078f1f-c551-11d3-89b9-0000f81fe221CLSID_DSOControl26
    f5078f20-c551-11d3-89b9-0000f81fe221CLSID_XMLParser26
    f5078f28-c551-11d3-89b9-0000f81fe221CLSID_Viewer26
    f5078f29-c551-11d3-89b9-0000f81fe221CLSID_BufferedMoniker26
    f5078f26-c551-11d3-89b9-0000f81fe221CLSID_XSLPatternFactory26
  • Pakiety aktualizacji zabezpieczeń 925672 i 925673 dla programu MSXML 4.0 z dodatkiem Service Pack 2 (SP2) i programu MSXML 6.0 są pełnymi pakietami instalacyjnymi. Za pomocą tych pakietów można zainstalować program MSXML 4.0 z dodatkiem SP2 lub MSXML 6.0 na komputerze, na którym nie zainstalowano wcześniejszych wersji programu MSXML 4.0 lub MSXML 6.0. Tych pakietów można również użyć w celu zaktualizowania istniejącej instalacji programu MSXML 4.0, MSXML 4.0 z dodatkiem SP1 lub MSXML 6.0.
  • Rozszerzenia Windows Update i Microsoft Update oferują pakiety aktualizacji zabezpieczeń 925672 i 925673, tylko jeśli starsza wersja programu MSXML 4.0 z dodatkiem SP2 lub MSXML 6.0 jest już zainstalowana na komputerze. Jeśli na komputerze nie ma zainstalowanej starszej wersji programu MSXML 4.0 z dodatkiem SP2 lub MSXML 6.0, pobierz te pakiety z Centrum pobierania firmy Microsoft i je zainstaluj.
  • Rozszerzenia Windows Update i Microsoft Update nie oferują aktualizacji zabezpieczeń 925672, jeśli na komputerze jest zainstalowany program MSXML 4.0 lub MSXML 4.0 z dodatkiem SP1. Aby zaktualizować program MSXML 4.0 lub MSXML 4.0 z dodatkiem SP1, należy zastosować jedną z poniższych metod:
  • W poniższych tabelach podano informacje o plikach instalowanych razem z pakietami aktualizacji zabezpieczeń 925672 i 925673 dla programu MSXML 4.0 z dodatkiem SP2 oraz MSXML 6.0.

    Program MSXML 6.0 nie jest zainstalowany
    Zwiń tę tabelęRozwiń tę tabelę
    Nazwa pliku Wersja Data Godzina Rozmiar
    Msxml4.dll 6.0.3888.0 1-wrz-06 12:081,27 MB
    Msxml6r.dll 6.0.3883.0 19-lip-06 10:55 84,6 KB
    Program MSXML 6.0 jest zainstalowany
    Zwiń tę tabelęRozwiń tę tabelę
    Nazwa pliku Wersja Data Godzina Rozmiar
    Msxml4.dll 6.0.3888.0 1-wrz-06 12:081,27 MB
    Program MSXML 4.0 nie jest zainstalowany
    Zwiń tę tabelęRozwiń tę tabelę
    Nazwa pliku Wersja Data Godzina Rozmiar
    Msxml4.dll 4.20.9839.0 12-wrz-06 5:51 1216 KB
    Msxml4r.dll 4.10.9404.0 12-lip-06 5:49 80,5 KB
    Uwaga: Ta aktualizacja zabezpieczeń jest instalowana zarówno w folderze %SystemRoot%\System32, jak i folderze wspólnym.

    Program MSXML 4.0 jest zainstalowany
    Zwiń tę tabelęRozwiń tę tabelę
    Nazwa pliku Wersja Data Godzina Rozmiar
    Msxml4.dll 4.20.9839.0 12-wrz-06 5:5311,18 MB
    Uwaga: Ta aktualizacja zabezpieczeń jest instalowana zarówno w folderze %SystemRoot%\System32, jak i folderze wspólnym.
  • W przypadku odinstalowania aktualizacji zabezpieczeń 925673 dla programu MSXML 6.0, program MSXML 6.0 jest całkowicie odinstalowywany z komputera.
  • Pakiet aktualizacji zabezpieczeń 925672 dla programu MSXML 4.0 z dodatkiem SP2 nie obsługuje pełnego odinstalowania programu MSXML 4.0, ponieważ ta wersja programu MSXML jest instalowana w trybie „obok”. Celem obejścia tego problemu należy wykonać następujące kroki:
    1. Usuń aktualizację zabezpieczeń 925672 za pomocą funkcji Dodaj lub usuń programy.
    2. Usuń plik MSXML4.dll z folderu %SystemRoot%\System32.
    3. Napraw program MSXML 4.0 za pomocą funkcji Dodaj lub usuń programy.
    Wcześniejsze wersje plików Msxml4.dll i Msxml4r.dll są przywracane zarówno z folderze %SystemRoot%\System32, jak i w folderze wspólnym.
  • Pakiety aktualizacji zabezpieczeń dla programu MSXML 3.0 aktualizują tylko plik MSXML3.dll. Pliki zasobów nie są aktualizowane w przypadku tej wersji.
  • Po zainstalowaniu tej aktualizacji zabezpieczeń mogą wystąpić nieoczekiwane problemy z działaniem aplikacji Microsoft Commerce Server 2002 Business Desk. Aby uzyskać więcej informacji dotyczących tego problemu, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    926509 Podczas prób uzyskania dostępu do aplikacji Commerce Server Business Desk po zaktualizowaniu komputera przy użyciu najnowszych aktualizacji zabezpieczeń może wystąpić nieoczekiwane zachowanie

Dodatkowe pakiety dla tej aktualizacji zabezpieczeń

Pakiety aktualizacji zabezpieczeń dla tej wersji używają tego numeru artykułu bazy wiedzy Knowledge Base (924191) i następujących numerów artykułów bazy wiedzy Knowledge Base.
  • 925673 MS06-061: Aktualizacja zabezpieczeń programu Microsoft XML Core Services 6.0
  • 925672 MS06-061: Aktualizacja zabezpieczeń dla programu Microsoft XML Core Services 4.0 z dodatkiem SP2
  • 924424 Opis aktualizacji zabezpieczeń pakietu Office 2003: 10 października 2006

Właściwości

Numer ID artykułu: 924191 - Ostatnia weryfikacja: 10 grudnia 2007 - Weryfikacja: 6.3
Informacje zawarte w tym artykule dotyczą:
  • Microsoft XML Parser 3.0
  • Microsoft XML Core Services 4.0
  • Microsoft XML Core Services 6.0
  • Microsoft Windows 2000 Advanced Server SP4
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional SP4
  • Microsoft Windows 2000 Server SP4
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition 2005
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows XP Service Pack 1
  • Microsoft Windows XP Service Pack 2
  • Microsoft Windows XP Tablet PC Edition 2005
  • Microsoft Windows XP Tablet PC Edition Service Pack 2 (SP2)
  • Microsoft Office 2003, All Editions
  • Microsoft BackOffice Small Business Server 2000 Service Pack 1
Słowa kluczowe: 
kbwinserv2003sp2fix kboffice2003presp3fix kbwin2000presp5fix kbwinserv2003presp2fix kbwinxppresp3fix kbexpertisebeginner kbqfe kbsecurity kbsecbulletin kbsecvulnerability kbbug kbfix kbpubtypekc KB924191

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com