MS02-008: Ovládací prvek XMLHTTP ve službě MSXML 2.6 může umožnit přístup k místním souborům

Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.

Projděte si také anglickou verzi článku:318202
Další informace o této chybě zabezpečení získáte v následujících článcích znalostní báze Microsoft Knowledge Base:
317244MS02-008: Ovládací prvek XMLHTTP ve službě MSXML 4.0 může umožnit přístup k místním souborům
318203MS02-008: Ovládací prvek XMLHTTP ve službě MSXML 3.0 může umožnit přístup k místním souborům
Příznaky
Existuje chyba zpřístupnění informací, která může útočníkovi umožnit čtení souborů v lokálním souborovém systému uživatele, který navštívil speciálně vytvořený nebezpečný web.

Útočník by nemohl přidávat, měnit nebo odstraňovat soubory. Útočník by navíc k tomuto útoku nemohl použít e-mail, tuto chybu zabezpečení lze zneužít pouze prostřednictvím webu. Zákazníci, kteří při procházení zachovávají opatrnost a vyhýbají se návštěvám neznámých nebo nedůvěryhodných webů, jsou touto chybou zabezpečení méně ohroženi.
Příčina
Tato chyba zabezpečení existuje, protože ovládací prvek XMLHTTP ve službě Microsoft XML Core Services nerespektuje omezení zón zabezpečení aplikace Internet Explorer. To umožní webové stránce určit v místním souboru uživatele soubor jako datový zdroj XML, který použije jako nástroj ke čtení dat.
Řešení
Společnost Microsoft má nyní k dispozici podporovanou opravu hotfix, která je však určena pouze k opravě problému popsaného v tomto článku. Použijte ji pouze u systémů, které jsou podle vašeho názoru ohroženy útokem. Vyhodnoťte fyzickou dostupnost počítače, možnost připojení k síti a k Internetu a další faktory určující míru ohrožení počítače. Viz přidružené Microsoft Security Bulletin pomoci určit stupeň rizika. Tato oprava hotfix může být dále testována. Je-li váš počítač výrazně ohrožen, doporučujeme použít tuto opravu hotfix ihned.

Potřebujete-li odstranit tento problém okamžitě, stáhněte si opravu hotfix (podle pokynů uvedených dále v tomto článku) nebo se obraťte na oddělení technické podpory společnosti Microsoft, kde můžete tuto opravu hotfix získat. Úplný seznam telefonních čísel služeb technické podpory společnosti Microsoft a informace o cenách technické podpory naleznete na tomto webu společnosti Microsoft: Poznámka: Poplatky, které je třeba obvykle zaplatit za telefonní hovory, mohou být stornovány, jestliže pracovník technické podpory společnosti Microsoft zjistí, že oznámený problém lze vyřešit konkrétní aktualizací. Další dotazy a žádosti o odbornou pomoc, které se netýkají této zvláštní opravy, podléhají běžným sazbám za poskytnutí odborné pomoci. Na webu služby Stažení softwaru je k dispozici ke stažení následující soubor:
Datum vydání: 21. února 2002

Další informace o tom, jak stahovat soubory podpory společnosti Microsoft, naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
119591Jak získat soubory podpory společnosti Microsoft ze serverů služeb online
Microsoft tento soubor zkontroloval na výskyt virů. Společnost Microsoft použila aktuální antivirový software, který byl k dispozici v den uveřejnění tohoto článku. Soubor je uložený na zabezpečených serverech neumožňujících neoprávněné změny souborů. Anglická verze této opravy má následující nebo vyšší atributy souborů:
   Date         Version     Size     File name     Platform   --------------------------------------------------------   08-Jan-2002  8.2.8307.0  689,424  Msxml2.dll    x86				
Poznámka: Chcete-li opravu nainstalovat bez zásahu uživatele a bez restartování počítače, použijte následující přepínače: /q: / c: "dahotfix /q /n"
Prohlášení
Společnost Microsoft potvrzuje, že tento problém může určitým způsobem ohrozit zabezpečení Microsoft XML 2.0.
Další informace
Ohrožené verze služby MSXML se dodávají jako součást několika produktů. Opravu je třeba použít v systémech s některým z následujících produktů společnosti Microsoft:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • 2000 Microsoft SQL Server
Služba MSXML může být nainstalována také samostatně. Služba MSXML je nainstalována jako knihovna DLL v podsložce System32 operačního systému Windows. Ve většině systémů se bude pravděpodobně jednat o složky C:\Windows nebo C:\winnt. Pokud jsou ve složce System32 některé nebo všechny následující soubory, bude třeba použít opravu:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Pokud máte pouze soubor Msxml.dll, není oprava potřeba, protože se jedná o starší verzi, která není ohrožena.

Další informace o této chybě zabezpečení naleznete na následujícím webu: V režimu bezobslužné instalaci této opravy hotfix, použijte následující argumenty příkazového řádku.

Bezobslužné instalace opravy hotfix zobrazení "extrahování dialogové okno opravy hotfix" i zobrazení restartování konečné dialogové okno:
Q318202_MSXML20_x86.exe /q /c:"dahotfix.exe /q"				
bezobslužný zcela bezobslužnou instalaci opravy hotfix, ale zobrazuje dialogové okno poslední restartování:
Q318202_MSXML20_x86.exe /q:a /c:"dahotfix.exe /q"				
bezobslužný zcela bezobslužnou instalaci opravy hotfix s restartování konečné dialogové okno potlačeny:
Q318202_MSXML20_x86.exe /q:a /c:"dahotfix.exe /q /n"				
oprava_zabezpečení aktualizace zabezpečení, 13. února 2002

Upozornění: Tento článek je přeložený automaticky

Vlastnosti

ID článku: 318202 - Poslední kontrola: 04/07/2006 06:28:11 - Revize: 6.2

Microsoft XML Parser 2.6

  • kbmt kbqfe kbhotfixserver kbbug kbfix kbsecbulletin kbsechack kbsecurity kbsecvulnerability KB318202 KbMtcs
Váš názor