MS02-008: XMLHTTP-kontrolelement i MSXML 4.0 kan tillade adgang til lokale filer

Yderligere oplysninger om denne svaghed finder du ved at klikke på nedenstående artikelnumre for at få vist artiklerne i Microsoft Knowledge Base:
318203 MS02-008: XMLHTTP-kontrolelement i MSXML 3.0 kan tillade adgang til lokale filer (artiklen er evt. på engelsk)
318202 MS02-008: XMLHTTP-kontrolelement i MSXML 2.0 kan tillade adgang til lokale filer (artiklen er evt. på engelsk)

Symptomer

Der findes en sårbarhed over for afsløring af oplysninger, som vil kunne tillade en angriber at læse filer på en brugers lokale filsystem, når brugeren besøger et særligt forkert udformet websted.

Angriberen vil ikke kunne tilføje, ændre eller slette filer. Angriberen vil heller ikke kunne bruge e-mail til at udføre sit angreb; svagheden kan kun udnyttes via et websted. Der er ikke nogen særlig risiko ved denne svaghed for de kunder, der udviser forsigtighed, når de er på nettet, og som undgår at besøge ukendte eller upålidelige websteder.

Årsag

Svagheden findes, fordi XMLHTTP-kontrolelementet i Microsoft XML Core Services ikke overholder begrænsningerne for sikkerhedszonen i Internet Explorer. Dermed bliver det muligt for en webside at angive en fil på en brugers lokale system som en XML-datakilde for at kunne læse filen.

Løsning

Hvis du vil løse problemet, skal du anskaffe den nyeste Service Pack til Microsoft SQL Server 2000. Yderligere oplysninger finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
290211 INF: Sådan får du den nyeste Service Pack til SQL Server 2000 (artiklen er evt. på engelsk)
Følgende fil kan hentes fra Microsoft Download Center:
Udgivelsesdato: 21. februar 2002

Yderligere oplysninger om, hvordan du henter filer fra Microsoft Support, finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
119591 Sådan hentes Microsoft-supportfiler på onlinetjenester
Microsoft har scannet denne fil for virus. Dertil har Microsoft anvendt de nyeste antivirusprogrammer, der var tilgængelige på det tidspunkt, da filen blev lagt ud. Filen gemmes på servere med forbedret sikkerhed, der medvirker til at forhindre uautoriserede ændringer af filen.
Den engelske udgave af denne programrettelse indeholder følgende eller nyere filattributter:

Dato Version Størrelse Filnavn Platform
-------------------------------------------------------------
07-02-2002 4.00.9406.0 1.229.312 Msxml4.dll x86
07-02-2002 4.00.9406.0 44.544 Msxml4a.dll x86
07-02-2002 4.00.9406.0 82.432 Msxml4r.dll x86

Status

Microsoft har bekræftet, at dette problem kan forårsage en vis sikkerhedsbrist i Microsoft XML 4.0. Problemet blev første gang rettet i Microsoft SQL Server 2000 Service Pack 3.Problemet blev første gang rettet i Microsoft XML 4.0 Service Pack 1.

Hent den nyeste version af MSXML på følgende Microsoft-websted:

Yderligere Information

Berørte versioner af MSXML leveres som del af flere produkter. Du bør anvende programrettelsen på følgende Microsoft-produkter:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
MSXML kan også installeres separat. MSXML installeres som en DLL-fil i undermappen System32 i mappen med Windows-operativsystem. På de fleste systemer vil det ofte være C:\Windows eller C:\winnt. Hvis du har en eller alle følgende filer i mappen System32, har du brug for en programrettelse:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Hvis du kun har Msxml.dll, behøver du ikke programrettelsen, fordi det er en tidligere, ikke-berørt version.

Vigtigt! Bemærk, at installationsprogrammet til denne programrettelse ikke indeholder en funktion til afinstallation.

Referencer

Yderligere oplysninger om denne svaghed finder du på følgende Microsoft-websted:
Egenskaber

Artikel-id: 317244 – Seneste udgave 18. dec. 2006 – Udgave 1

Feedback