MS02-008: Ovládací prvek XMLHTTP ve službě MSXML 2.6 může umožnit přístup k místním souborům

Další informace o této chybě klepněte na následující čísla článku zobrazení v článcích znalostní báze Microsoft Knowledge Base:
317244 MS02-008: ovládací prvek XMLHTTP ve službě MSXML 4.0 může umožnit přístup k místním souborům
318203 MS02-008: ovládací prvek XMLHTTP ve službě MSXML 3.0 může umožnit přístup k místním souborům

Příznaky

Existuje chybou umožňující zpřístupnění informací, která by mohla umožnit útočníkovi umožnit čtení souborů na místním souborovém systému uživatele, který navštívil speciálně vytvořený nebezpečný web.

Útočník by mohl přidat, změnit nebo odstranit soubory. Kromě toho útočník nebude moci použít e-mail pro provedení tohoto útoku. tuto chybu zabezpečení lze zneužít pouze prostřednictvím webu. Zákazníci, kteří opatrně při procházení a vyhýbají se návštěvám neznámých nebo nedůvěryhodných webů, jsou touto chybou zabezpečení méně ohroženi.

Příčina

Tato chyba zabezpečení existuje, protože ovládací prvek XMLHTTP ve službě Microsoft XML Core Services nerespektuje omezení zón zabezpečení aplikace Internet Explorer. Díky webové stránky do souboru v lokálním systému uživatele určit jako zdroj dat XML jako prostředek pro čtení souboru.

Řešení

Podporovaná oprava hotfix je nyní k dispozici od společnosti Microsoft, ale je určena pouze k opravě problému popsaného v tomto článku. Použijte ji pouze u systémů, které jsou podle vašeho názoru ohroženy útokem. Vyhodnoťte fyzickou dostupnost počítače, sítě a připojení k Internetu a další faktory určující míru ohrožení počítače. Naleznete v přidružené Bulletinu zabezpečení společnosti Microsoft pomoci určit stupeň rizika. Tato oprava hotfix může být dále testována. Pokud počítač výrazně ohrožen, doporučujeme použít tuto opravu hotfix ihned.

Chcete-li tento problém vyřešit okamžitě, stáhněte si opravu hotfix podle pokynů uvedených dále v tomto článku nebo se obraťte na služby technické podpory pro tuto opravu hotfix. Úplný seznam telefonních čísel služeb technické podpory společnosti Microsoft a informace o cenách podpory naleznete na následujícím webu společnosti Microsoft:Poznámka: Ve zvláštních případech mohou být stornovány poplatky účtovány hovory, pokud pracovník služeb podpory společnosti Microsoft určí, že konkrétní aktualizace odstraní váš problém. Výdaje na technickou podporu použije dalších otázek a problémů, které nelze vyřešit konkrétní aktualizací. Je k dispozici pro stahování Microsoft Download Center následující soubor:
Datum vydání: 21. února 2002

Další informace o stažení Microsoft Support soubory klepněte na následující číslo článku databáze Microsoft Knowledge Base:
119591 jak získat soubory podpory společnosti Microsoft ze serverů služeb Online
Microsoft zkontroloval tento soubor na přítomnost virů. Společnost Microsoft použila aktuální antivirový software, který byl k dispozici k datu, kdy byl soubor vydán. Soubor je uložen na zabezpečených serverech, které pomáhají zabránit neoprávněné změny souboru.
Anglická verze této opravy má následující atributy souborů nebo novější:
   Date         Version     Size     File name     Platform
--------------------------------------------------------
08-Jan-2002 8.2.8307.0 689,424 Msxml2.dll x86

Poznámka: Chcete-li opravu nainstalovat bez zásahu uživatele a bez restartování počítače, použijte následující přepínače: / q: a/c: "dahotfix /q / n"

Stav

Společnost Microsoft potvrzuje, že tento problém může způsobit ohrozit zabezpečení v Microsoft XML verze 2.0.

Další informace

Ohrožené verze služby MSXML jsou dodávány jako součást několika produktů. Byste měli použít opravu na systémech s některým z následujících produktů společnosti Microsoft:
  • Microsoft Windows XP
  • Aplikace Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
MSXML lze také nainstalovat samostatně. Služba MSXML je nainstalována jako knihovna DLL v podsložce System32 složky operačního systému Windows. Ve většině systémů se bude pravděpodobně jednat o složky C:\Windows nebo C:\winnt. Pokud máte některé nebo všechny následující soubory ve složce System32, potřebujete opravu:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Pokud máte pouze soubor Msxml.dll, není nutné opravy, protože se jedná o verzi starší, nemá vliv.

Další informace o této chybě zabezpečení naleznete na následujícím webu společnosti Microsoft:Chcete-li nainstalovat tuto opravu hotfix v bezobslužném režimu, použijte následující argumenty příkazového řádku.

Bezobslužnou instalaci opravy hotfix zobrazení "extrahování dialogové okno oprav hotfix" i zobrazuje restartování konečné dialogové okno:
Q318202_MSXML20_x86.exe /q /c:"dahotfix.exe /q"

Bezobslužný zcela tichá instalace opravy hotfix však zobrazuje restartování konečné dialogové okno:
Q318202_MSXML20_x86.exe /q:a /c:"dahotfix.exe /q"

Bezobslužný zcela tichá instalace opravy hotfix s restartování konečné dialogové okno potlačena:
Q318202_MSXML20_x86.exe /q:a /c:"dahotfix.exe /q /n"

Vlastnosti

ID článku: 318202 - Poslední kontrola: 16. 1. 2017 - Revize: 1

Váš názor