MS06-061:Microsoft XML Core Services 的弱點可能會允許遠端程式碼執行

文章翻譯 文章翻譯
文章編號: 924191 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

簡介

Microsoft 已經發行資訊安全佈告欄 MS06-061,以提供安全性更新的所有相關資訊,其中還包含了檔案資訊清單和部署選項。如果要檢視完整的資訊安全佈告欄,請造訪下列其中一個 Microsoft 網站:

Service Pack 資訊

這個問題最早是在 Microsoft Office 2003 Service Pack 3 中獲得修正。 如果要解決這個問題,請取得 Office 2003 的最新版 Service Pack。如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
870924 如何取得 Office 2003 的最新版 Service Pack

這個安全性更新的已知問題

  • 如果您安裝了多種版本的 Microsoft XML 剖析器或 Microsoft XML Core Services (MSXML),則必須安裝這個安全性更新的多種封裝。此外,如果您在安裝這個安全性更新之後,又安裝了 MSXML 的版本,那麼您必須安裝這個安全性更新的另一種封裝。 如需有關可供使用或隨附於各項 Microsoft 產品或軟體更新之不同 MSXML 版本的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    269238 Microsoft XML 剖析器 (MSXML) 的版本清單
  • 安裝 Windows 2000 Service Pack 4 之原始版安全性更新 924191 之後,會將 Microsoft XML 剖析器 (MSXML) 2.6 版之 CLSID 的「刪除位元」(Kill Bit) 設定為錯誤的 0x00000190 (400),而不是 0x00000400 (1024)。Microsoft 在 2006 年 10 月 19 日發行了新版的這個安全性更新來解決這個問題。

    注意 如有安裝 Windows 2000 的原始版安全性更新,則 2006 年 10 月 19 日新發行的安全性更新,將不會正確地更新「新增或移除程式」中所顯示的版本資訊。該版本號碼應更新為 0061014.135844。但該版本資訊仍會顯示為 20060915.123522。這個問題可予以忽略。在這個案例中,登錄中 MSXML 2.6 版之 CLSID 的「刪除位元」(Kill Bit) 已正確地更新。
  • 安裝這個安全性更新之後,便無法在 Microsoft Internet Explorer 中使用 Microsoft XML 剖析器 2.6 版。這是原本設計的作法。安全性更新封裝 924191 會針對此版 MSXML 設定「刪除位元」(Kill Bit)。這個「刪除位元」可以防止元件在 Internet Explorer 中執行。

    注意 開發人員若在應用程式中使用與 MSXML 2.6 版相關的程式識別碼 (ProgID),則必須先更新 ProgID 才能使用 MSXML 3.0。

    使用與 MSXML 2.6 版相關之 ProgID 的範例程式碼
    var o = new ActiveXObject("Msxml2.DOMDocument.2.6");
    使用與 MSXML 3.0 版相關之 ProgID 的更新範例程式碼
    var o = new ActiveXObject("Msxml2.DOMDocument.3.0");
    這個發行版本的 924191 安全性更新封裝會設定下表所列之 MSXML 2.6 CLSID 的「刪除位元」(Kill Bit)。
    摺疊此表格展開此表格
    GUID符號名稱
    f5078f22-c551-11d3-89b9-0000f81fe221CLSID_XMLDocument26
    f5078f1b-c551-11d3-89b9-0000f81fe221CLSID_DOMDocument26
    f5078f1c-c551-11d3-89b9-0000f81fe221CLSID_FreeThreadedDOMDocument26
    f5078f1d-c551-11d3-89b9-0000f81fe221CLSID_XMLSchemaCache26
    f5078f1e-c551-11d3-89b9-0000f81fe221CLSID_XMLHTTP26
    f5078f21-c551-11d3-89b9-0000f81fe221CLSID_XSLTemplate26
    f5078f1f-c551-11d3-89b9-0000f81fe221CLSID_DSOControl26
    f5078f20-c551-11d3-89b9-0000f81fe221CLSID_XMLParser26
    f5078f28-c551-11d3-89b9-0000f81fe221CLSID_Viewer26
    f5078f29-c551-11d3-89b9-0000f81fe221CLSID_BufferedMoniker26
    f5078f26-c551-11d3-89b9-0000f81fe221CLSID_XSLPatternFactory26
  • MSXML 4.0 Service Pack 2 (SP2) 與 MSXML 6.0 的安全性更新封裝 925672 與 925673 是完整的安裝封裝。您可以使用這些封裝,在未安裝舊版 MSXML 4.0 或 MSXML 6.0 的電腦上,安裝 MSXML 4.0 SP2 或 MSXML 6.0。您也可以使用這些封裝,更新現有 MSXML 4.0、MSXML 4.0 SP1 或 MSXML 6.0 的安裝。
  • 但只有在電腦上安裝了舊版的 MSXML 4.0 SP2 或 MSXML 6.0 時,Windows Update 與 Microsoft Update 才會提供 925672 以及 925673 的安全性更新封裝。如果您尚未安裝舊版的 MSXML 4.0 SP2 或 MSXML 6.0,請從「Microsoft 下載中心」下載及安裝這些封裝。
  • 如果您已經安裝 MSXML 4.0 或 MSXML 4.0 SP1,則 Windows Update 及 Microsoft Update 不會提供安全性更新 925672。如果要安裝 MSXML 4.0 或 MSXML 4.0 SP1,請使用下列其中一種方法:
  • 下表所列,是 MSXML 4.0 SP2 與 MSXML 6.0 之安全性更新封裝 925672 與 925673 所安裝的檔案。

    MSXML 6.0 未安裝
    摺疊此表格展開此表格
    檔案名稱 版本 日期 時間 大小
    Msxml6.dll 6.0.3888.0 1-Sep-06 12:081.27 MB
    Msxml6r.dll 6.0.3883.0 19-Jul-06 10:55 84.6 KB
    MSXML 6.0 未安裝
    摺疊此表格展開此表格
    檔案名稱 版本 日期 時間 大小
    Msxml6.dll 6.0.3888.0 1-Sep-06 12:081.27 MB
    MSXML 4.0 未安裝
    摺疊此表格展開此表格
    檔案名稱 版本 日期 時間 大小
    Msxml4.dll 4.20.9839.0 12-Sep-06 5:51 1216 KB
    Msxml4r.dll 4.10.9404.0 12-Jul-06 5:49 80.5 KB
    注意 這個安全性更新會安裝在 %SystemRoot%\System32 資料夾與並存資料夾中。

    MSXML 4.0 未安裝
    摺疊此表格展開此表格
    檔案名稱 版本 日期 時間 大小
    Msxml4.dll 4.20.9839.0 12-Sep-06 5:5311.18 MB
    注意 這個安全性更新會安裝在 %SystemRoot%\System32 資料夾與並存資料夾中。
  • 當移除 MSXML 6.0 的安全性更新 925673 時,會將 MSXML 6.0 從電腦上完全移除。
  • MSXML 4.0 SP2 的安全性更新封裝 925672 無法完全移除 MSXML 4.0,因為此版的 MSXML 會安裝在並存模式下。如果要解決這個問題,請依照下列步驟執行:
    1. 使用 [新增或移除程式] 移除安全性更新 925672。
    2. 從 %SystemRoot%\System32 資料夾刪除 MSXML4.dll 檔案。
    3. 使用 [新增或移除程式] 修復 MSXML 4.0。
    舊版的 Msxml4.dll 與 Msxml4r.dll 檔案會同時還原至 %SystemRoot%\System32 資料夾與並存資料夾下。
  • MSXML 3.0 的安全性更新封裝只會更新 MSXML3.dll 檔案。此版的資源檔案不會予以更新。
  • 安裝這個安全性更新之後,Microsoft Commerce Server 2002 Business Desk 應用程式可能會出現意外的行為。 如需有關這個問題的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    926509 You may experience unexpected behavior when you access Commerce Server Business Desk applications after you update the computer with the latest security updates

這個安全性更新的其他封裝

這個版本的安全性更新封裝採用此「Microsoft 知識庫」文件編號 (924191) 和下列「Microsoft 知識庫」文件編號:
  • 925673 MS06-061:Microsoft XML Core Services 6.0 安全性更新
  • 925672 MS06-061:Microsoft XML Core Services 4.0 SP2 安全性更新
  • 924424 說明 Office 2003 安全性更新:2006 年 10 月 10 日

屬性

文章編號: 924191 - 上次校閱: 2007年12月7日 - 版次: 6.3
這篇文章中的資訊適用於:
  • Microsoft XML Parser 3.0
  • Microsoft XML Core Services 4.0
  • Microsoft XML Core Services 6.0
  • Microsoft Windows 2000 Advanced Server SP4
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional SP4
  • Microsoft Windows 2000 Server SP4
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Home Edition (家用版)
  • Microsoft Windows XP Media Center Edition 2005
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows XP Service Pack 1
  • Microsoft Windows XP Service Pack 2
  • Microsoft Windows XP Tablet PC Edition 2005
  • Microsoft Windows XP Tablet PC Edition Service Pack 2 (SP2)
  • Microsoft Office 2003, All Editions
  • Microsoft BackOffice Small Business Server 2000 Service Pack 1
關鍵字:?
kbwinserv2003sp2fix kboffice2003presp3fix kbwin2000presp5fix kbwinserv2003presp2fix kbwinxppresp3fix kbexpertisebeginner kbqfe kbsecurity kbsecbulletin kbsecvulnerability kbbug kbfix kbpubtypekc KB924191
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com