MS06-061: Уязвимости базовых службах Microsoft XML делают возможным удаленный запуск кода злоумышленника

Переводы статьи Переводы статьи
Код статьи: 924191 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Введение

Корпорация Майкрософт выпустила бюллетень по безопасности MS06-061, содержащий информацию о соответствующем обновлении, включая сведения о файлах и вариантах развертывания. Чтобы просмотреть полный текст бюллетеня, посетите один из следующих веб-узлов корпорации Майкрософт.

Сведения о пакете обновления

Первое исправление этой проблемы появилось в пакете обновления 3 (SP3) для Microsoft Office 2003. Для устранения этой проблемы необходимо установить последний пакет обновления для Office 2003. Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
870924 Как получить последний пакет обновления для Office 2003

Известные проблемы этого обновления безопасности

  • Если установлено несколько версий средства корпорации Майкрософт для синтаксического анализа XML или базовых служб Microsoft XML (MSXML), может потребоваться установить несколько пакетов для этого обновления безопасности. К тому же, если версия MSXML устанавливается после установки данного обновления безопасности, может потребоваться установка дополнительного пакета для данного обновления безопасности. Для получения дополнительных сведений о различных версиях MSXML, доступных или поставляемых вместе с различными продуктами Майкрософт или обновлениями программного обеспечения, щелкните следующий номер статьи базы знаний Майкрософт:
    269238 Список версий модулей синтаксического анализа XML Microsoft (MSXML)
  • После установки исходной версии обновления безопасности 924191 для Windows 2000 с пакетом обновления 4 (SP4) для бита аннулирования для идентификаторов CLSID Microsoft XML Parser (MSXML) версии 2.6 неверно устанавливается значение 0x00000190 (400) вместо 0x00000400 (1024). Для исправления этой ошибки 19 октября 2006 года корпорация Майкрософт выпустила новую версию этого обновления безопасности.

    Примечание. Новое обновление безопасности, выпущенное 19 октября 2006 г., неправильно обновляет сведения о версии, отображаемые в средстве «Установка и удаление программ», если ранее было установлено исходное обновление безопасности для Windows 2000. Номер версии должен быть обновлен на 0061014.135844. Однако в сведениях о версии продолжает отображаться 20060915.123522. Эта проблема может быть проигнорирована. В этом сценарии бит аннулирования правильно обновляется в реестре для идентификаторов CLSID MSXML версии 2.6.
  • После установки данного обновления безопасности использование анализатора Microsoft XML версии 2.6 в обозревателе Microsoft Internet Explorer невозможно. Такое поведение является особенностью данного продукта. Пакеты обновлений безопасности 924191 устанавливают бит аннулирования для данной версии MSXML. Бит аннулирования предотвращает запуск компонента в Internet Explorer.

    Примечание. Разработчикам, использующим в приложении зависимые от версии MSXML 2.6 идентификаторы ProgID, необходимо обновить ProgID для использования MSXML 3.0.

    Пример программного кода, использующего зависимый от версии MSXML 2.6 идентификатор ProgID
    var o = new ActiveXObject("Msxml2.DOMDocument.2.6");
    Пример обновленного программного кода, использующего зависимый от версии MSXML 3.0 идентификатор ProgID
    var o = new ActiveXObject("Msxml2.DOMDocument.3.0");
    Пакеты обновлений безопасности 924191 для этого выпуска устанавливают бит аннулирования идентификаторов CLSID MSXML версии 2.6, перечисленных в следующей таблице.
    Свернуть эту таблицуРазвернуть эту таблицу
    GUIDСимволическое имя
    f5078f22-c551-11d3-89b9-0000f81fe221CLSID_XMLDocument26
    f5078f1b-c551-11d3-89b9-0000f81fe221CLSID_DOMDocument26
    f5078f1c-c551-11d3-89b9-0000f81fe221CLSID_FreeThreadedDOMDocument26
    f5078f1d-c551-11d3-89b9-0000f81fe221CLSID_XMLSchemaCache26
    f5078f1e-c551-11d3-89b9-0000f81fe221CLSID_XMLHTTP26
    f5078f21-c551-11d3-89b9-0000f81fe221CLSID_XSLTemplate26
    f5078f1f-c551-11d3-89b9-0000f81fe221CLSID_DSOControl26
    f5078f20-c551-11d3-89b9-0000f81fe221CLSID_XMLParser26
    f5078f28-c551-11d3-89b9-0000f81fe221CLSID_Viewer26
    f5078f29-c551-11d3-89b9-0000f81fe221CLSID_BufferedMoniker26
    f5078f26-c551-11d3-89b9-0000f81fe221CLSID_XSLPatternFactory26
  • Пакеты обновлений безопасности 925672 и 925673 для MSXML 4.0 с пакетом обновления 2 (SP2) и MSXML 6.0 являются полными установочными пакетами. Эти пакеты можно использовать для установки MSXML 4.0 с пакетом обновления 2 (SP2) или MSXML 6.0 на компьютере, на котором не установлены более ранние версии MSXML 4.0 или MSXML 6.0. Эти пакеты также можно использовать для обновления текущих установленных MSXML 4.0, MSXML 4.0 SP1 или MSXML 6.0.
  • Windows Update и Microsoft Update предлагают пакеты обновлений безопасности 925672 и 925673, только если на компьютере установлены более ранние версии MSXML 4.0 с пакетом обновления 2 (SP2) или MSXML 6.0. Если более ранняя версия MSXML 4.0 с пакетом обновления 2 (SP2) или MSXML 6.0 не установлена, загрузите и установите эти пакеты с веб-узла центра загрузки корпорации Microsoft.
  • Windows Update и Microsoft Update не предлагают обновление безопасности 925672, если установлено MSXML 4.0 или MSXML 4.0 с пакетом обновления 1(SP1). Для обновления MSXML 4.0 или MSXML 4.0 с пакетом обновления 1 (SP1) используйте один из следующих способов.
    • Способ 1. Загрузка и установка обновления безопасности 925672 с веб-узла центра загрузки Майкрософт. Для этого посетите веб-узел корпорации Майкрософт по адресу:
      http://www.microsoft.com/downloads/details.aspx?familyid=961f3c95-ec4e-4561-ab27-b3180e9139c5
    • Способ 2. Загрузите и установите MSXML 4.0 с пакетом обновления 2 (SP2), затем установите обновление безопасности 925672 с веб-узла Windows Update или Microsoft Update. Чтобы загрузить MSXML 4.0 с пакетом обновления 2 (SP2), обращайтесь на веб-узел корпорации Майкрософт по следующему адресу:
      http://www.microsoft.com/downloads/details.aspx?familyid=3144b72b-b4f2-46da-b4b6-c5d7485f2b42
  • В следующих таблицах перечислены файлы, установленные пакетами обновлений безопасности 925672 и 925673 для MSXML 4.0 с пакетом обновления 2 (SP2) и MSXML 6.0.

    Компонент MSXML 6.0 не установлен
    Свернуть эту таблицуРазвернуть эту таблицу
    Имя файла Версия Дата Время Размер
    Msxml6.dll 6.0.3888.0 01-сен-2006 12:081,27 МБ
    Msxml6r.dll 6.0.3883.0 19-июл-06 10:55 84,6 КБ
    Компонент MSXML 6.0 установлен
    Свернуть эту таблицуРазвернуть эту таблицу
    Имя файла Версия Дата Время Размер
    Msxml6.dll 6.0.3888.0 01-сен-2006 12:081,27 МБ
    Компонент MSXML 4.0 не установлен
    Свернуть эту таблицуРазвернуть эту таблицу
    Имя файла Версия Дата Время Размер
    Msxml4.dll 4.20.9839.0 12-сен-06 5:51 1216 КБ
    Msxml4r.dll 4.10.9404.0 12-июл-06 5:49 80,5 КБ
    Примечание. Данное обновление безопасности установлено в папке %SystemRoot%\System32 и параллельной папке.

    MSXML 4.0 установлено
    Свернуть эту таблицуРазвернуть эту таблицу
    Имя файла Версия Дата Время Размер
    Msxml4.dll 4.20.9839.0 12-сен-06 5:5311,18 МБ
    Примечание. Данное обновление безопасности установлено в папке %SystemRoot%\System32 и параллельной папке.
  • При удалении обновления безопасности 925673 для MSXML 6.0 компонент MSXML 6.0 полностью удаляется с компьютера.
  • Пакет обновления безопасности 925672 для MSXML 4.0 SP2 не поддерживает полное удаление MSXML 4.0, поскольку эта версия MSXML устанавливается в параллельном режиме. Чтобы обойти проблему, выполните следующие действия.
    1. Удалите обновление безопасности 925672 с помощью оснастки «Установка и удаление программ».
    2. Удалите файл MSXML4.dll из папки %SystemRoot%\System32.
    3. Восстановите MSXML 4.0 с помощью оснастки «Установка и удаление программ».
    Предыдущие версии файлов Msxml4.dll и Msxml4r.dll восстанавливаются как в папке %SystemRoot%\System32, так и в параллельной папке.
  • Пакеты обновления безопасности для MSXML 3.0 обновляют только файл MSXML3.dll. Для этой версии не обновляются файлы ресурсов.
  • После установки этого обновления безопасности приложения Microsoft Commerce Server 2002 Business Desk могут вести себя ненадлежащим образом. Для получения дополнительных сведений об этой проблеме щелкните следующий номер статьи базы знаний Майкрософт:
    926509 После установки последних обновлений безопасности приложения Commerce Server Business Desk могут вести себя ненадлежащим образом. (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Дополнительные пакеты для данного обновления безопасности

Пакеты обновления безопасности для этого выпуска используют этот номер статьи базы знаний (924191) и следующие номера статей базы знаний.
  • 925673 MS06-061: Обновление безопасности для базовых служб Microsoft XML версии 6.0
  • 925672 MS06-061: Обновление безопасности для базовых служб Microsoft XML версии 4.0 с пакетом обновления 2
  • 924424 Описание обновления безопасности для Office 2003: 10 октября 2006 г.

Свойства

Код статьи: 924191 - Последний отзыв: 10 декабря 2007 г. - Revision: 6.3
Информация в данной статье относится к следующим продуктам.
  • Microsoft XML Parser 3.0
  • Microsoft XML Core Services 4.0
  • Microsoft XML Core Services 6.0
  • Microsoft Windows 2000 Advanced Server SP4
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional SP4
  • Microsoft Windows 2000 Server SP4
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition 2005
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows XP Service Pack 1
  • Microsoft Windows XP Service Pack 2
  • Microsoft Windows XP Tablet PC Edition 2005
  • Microsoft Windows XP Tablet PC Edition Service Pack 2 (SP2)
  • Microsoft Office 2003, All Editions
  • пакет обновлений Microsoft BackOffice Small Business Server 2000 SP 1
Ключевые слова: 
kbwinserv2003sp2fix kboffice2003presp3fix kbwin2000presp5fix kbwinserv2003presp2fix kbwinxppresp3fix kbexpertisebeginner kbqfe kbsecurity kbsecbulletin kbsecvulnerability kbbug kbfix kbpubtypekc KB924191

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com