MS06-061:Microsoft XML Core Services 中的漏洞可能允许远程执行代码

文章翻译 文章翻译
文章编号: 924191 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

简介

Microsoft 已发布安全公告 MS06-061。该安全公告包含此安全更新的所有相关信息,其中包括文件清单信息和部署选项。要查看完整的安全公告,请访问以下 Microsoft 网站之一:

Service Pack 信息

此问题最早在 Microsoft Office 2003 Service Pack 3 中得到了解决。 要解决此问题,请获取最新的 Office 2003 Service Pack。有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
870924 如何获取最新的 Office 2003 Service Pack

此安全更新的已知问题

  • 如果安装了多个版本的 Microsoft XML Parser 或 Microsoft XML Core Services (MSXML),则可能必须安装此安全更新的多个程序包。另外,如果在安装此安全更新后安装了某个版本的 MSXML,则可能必须安装此安全更新的其他程序包。 有关推出的或包括在各种 Microsoft 产品或软件更新中的不同 MSXML 版本的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    269238 Microsoft XML 分析器 (MSXML) 的版本列表
  • 安装 Windows 2000 Service Pack 4 安全更新 924191 的原始版本后,Microsoft XML Parser (MSXML) 2.6 版 CLSID 的“Kill 位”错误地设置为 0x00000190 (400) 而不是 0x00000400 (1024)。2006 年 10 月 19 日,Microsoft 发布了该安全更新的新版本来解决此问题。

    注意:如果您以前安装了 Windows 2000 的原始安全更新,那么在 2006 年 10 月 19 日发布的新安全更新不能正确更新“添加或删除程序”中显示的版本信息。版本号应更新到 0061014.135844。但是,版本信息继续显示为 20060915.123522。该问题可以忽略。在这种情况下,可在 MSXML 2.6 版 CLSID 的注册表中正确更新“Kill 位”。
  • 安装此安全更新后,无法在 Microsoft Internet Explorer 中使用 Microsoft XML Parser 2.6 版。这种现象是设计导致的。安全更新程序包 924191 会为该版本的 MSXML 设置“Kill 位”。“Kill 位”会阻止在 Internet Explorer 中运行该组件。

    注意:如果开发人员在应用程序中使用基于 MSXML 2.6 版的程序 ID (ProgID),则必须更新 ProgID 才能使用 MSXML 3.0。

    使用与 MSXML 2.6 版相关的 ProgID 的示例代码
    var o = new ActiveXObject("Msxml2.DOMDocument.2.6");
    使用与 MSXML 3.0 版相关的 ProgID 的已更新示例代码
    var o = new ActiveXObject("Msxml2.DOMDocument.3.0");
    该发布版的 924191 安全更新程序包会为下表中列出的 MSXML 2.6 CLSID 设置“Kill 位”。
    收起该表格展开该表格
    GUID符号名称
    f5078f22-c551-11d3-89b9-0000f81fe221CLSID_XMLDocument26
    f5078f1b-c551-11d3-89b9-0000f81fe221CLSID_DOMDocument26
    f5078f1c-c551-11d3-89b9-0000f81fe221CLSID_FreeThreadedDOMDocument26
    f5078f1d-c551-11d3-89b9-0000f81fe221CLSID_XMLSchemaCache26
    f5078f1e-c551-11d3-89b9-0000f81fe221CLSID_XMLHTTP26
    f5078f21-c551-11d3-89b9-0000f81fe221CLSID_XSLTemplate26
    f5078f1f-c551-11d3-89b9-0000f81fe221CLSID_DSOControl26
    f5078f20-c551-11d3-89b9-0000f81fe221CLSID_XMLParser26
    f5078f28-c551-11d3-89b9-0000f81fe221CLSID_Viewer26
    f5078f29-c551-11d3-89b9-0000f81fe221CLSID_BufferedMoniker26
    f5078f26-c551-11d3-89b9-0000f81fe221CLSID_XSLPatternFactory26
  • MSXML 4.0 Service Pack 2 (SP2) 和 MSXML 6.0 的安全更新程序包 925672 和 925673 是完全安装程序包。可以使用这些程序包在未安装早期版本 MSXML 4.0 或 MSXML 6.0 的计算机上安装 MSXML 4.0 SP2 或 MSXML 6.0。也可以使用这些程序包更新 MSXML 4.0、MSXML 4.0 SP1 或 MSXML 6.0 的现有安装。
  • 如果计算机上已安装了早期版本的 MSXML 4.0 SP2 或 MSXML 6.0,则 Windows Update 和 Microsoft Update 只提供安全更新程序包 925672 和 925673。如果没有安装早期版本的 MSXML 4.0 SP2 或 MSXML 6.0,请从 Microsoft 下载中心下载和安装这些程序包。
  • 如果已安装了 MSXML 4.0 或 MSXML 4.0 SP1,则 Windows Update 和 Microsoft Update 不会提供安全更新 925672。要更新 MSXML 4.0 或 MSXML 4.0 SP1,请使用下列方法之一:
  • 下表列出了 MSXML 4.0 SP2 和 MSXML 6.0 的安全更新程序包 925672 和 925673 安装的文件。

    未安装 MSXML 6.0
    收起该表格展开该表格
    文件名 版本 日期 时间 大小
    Msxml6.dll 6.0.3888.0 1-Sep-06 12:081.27 MB
    Msxml6r.dll 6.0.3883.0 19-Jul-06 10:55 84.6 KB
    已安装 MSXML 6.0
    收起该表格展开该表格
    文件名 版本 日期 时间 大小
    Msxml6.dll 6.0.3888.0 1-Sep-06 12:081.27 MB
    未安装 MSXML 4.0
    收起该表格展开该表格
    文件名 版本 日期 时间 大小
    Msxml4.dll 4.20.9839.0 12-Sep-06 5:51 1216 KB
    Msxml4r.dll 4.10.9404.0 12-Jul-06 5:49 80.5 KB
    注意:此安全更新安装在 %SystemRoot%\System32 和 side-by-side 两个文件夹中。

    已安装 MSXML 4.0
    收起该表格展开该表格
    文件名 版本 日期 时间 大小
    Msxml4.dll 4.20.9839.0 12-Sep-06 5:5311.18 MB
    注意:此安全更新安装在 %SystemRoot%\System32 和 side-by-side 两个文件夹中。
  • 删除 MSXML 6.0 的安全更新 925673 时,会从计算机中完全删除 MSXML 6.0。
  • 由于 MSXML 4.0 SP2 是在并列模式下安装的,因此这一版本的 MSXML 的安全更新程序包 925672 不支持完全删除 MSXML 4.0。要变通解决此问题,请按照下列步骤操作:
    1. 使用“添加或删除程序”删除安全更新 925672。
    2. 从 %SystemRoot%\System32 文件夹中删除 MSXML4.dll 文件。
    3. 使用“添加或删除程序”修复 MSXML 4.0。
    早期版本的 Msxml4.dll 文件和 Msxml4r.dll 文件会还原到 %SystemRoot%\System32 文件夹和 side-by-side 文件夹中。
  • MSXML 3.0 的安全更新程序包仅更新 MSXML3.dll 文件,而不会更新该版本的资源文件。
  • 安装此安全更新后,可能会在 Microsoft Commerce Server 2002 Business Desk 应用程序中遇到意外情况。 有关此问题的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    926509 如果在更新装有最新安全更新的计算机后访问 Commerce Server Business Desk 应用程序,则可能会遇到意外情况

此安全更新的其他程序包

此发布版的安全更新程序包使用该知识库文章编号 (924191) 以及下列知识库文章编号。
  • 925673 MS06-061:Microsoft XML Core Services 6.0 的安全更新
  • 925672 MS06-061:Microsoft XML Core Services 4.0 SP2 安全更新
  • 924424 2006 年 10 月 10 日版 Office 2003 安全更新说明

属性

文章编号: 924191 - 最后修改: 2007年12月10日 - 修订: 6.3
这篇文章中的信息适用于:
  • Microsoft XML Parser 3.0
  • Microsoft XML Core Services 4.0
  • Microsoft XML Core Services 6.0
  • Microsoft Windows 2000 Advanced Server SP4
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional SP4
  • Microsoft Windows 2000 Server SP4
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter Edition (64-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (64-Bit x86)
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard Edition (64-Bit x86)
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition 2005
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows XP Service Pack 1
  • Microsoft Windows XP Service Pack 2
  • Microsoft Windows XP Tablet PC Edition 2005
  • Microsoft Windows XP Tablet PC Edition Service Pack 2 (SP2)
  • Microsoft Office 2003, All Editions
  • Microsoft BackOffice Small Business Server 2000 Service Pack 1
关键字:?
kbwinserv2003sp2fix kboffice2003presp3fix kbwin2000presp5fix kbwinserv2003presp2fix kbwinxppresp3fix kbexpertisebeginner kbqfe kbsecurity kbsecbulletin kbsecvulnerability kbbug kbfix kbpubtypekc KB924191
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com