Du er offline. Venter på, at der oprettes forbindelse til internettet igen

MS02-008: XMLHTTP-kontrolelement i MSXML 4.0 kan tillade adgang til lokale filer

Yderligere oplysninger om denne svaghed finder du ved at klikke på nedenstående artikelnumre for at få vist artiklerne i Microsoft Knowledge Base:
318203 MS02-008: XMLHTTP-kontrolelement i MSXML 3.0 kan tillade adgang til lokale filer (artiklen er evt. på engelsk)
318202 MS02-008: XMLHTTP-kontrolelement i MSXML 2.0 kan tillade adgang til lokale filer (artiklen er evt. på engelsk)
Symptomer
Der findes en sårbarhed over for afsløring af oplysninger, som vil kunne tillade en angriber at læse filer på en brugers lokale filsystem, når brugeren besøger et særligt forkert udformet websted.

Angriberen vil ikke kunne tilføje, ændre eller slette filer. Angriberen vil heller ikke kunne bruge e-mail til at udføre sit angreb; svagheden kan kun udnyttes via et websted. Der er ikke nogen særlig risiko ved denne svaghed for de kunder, der udviser forsigtighed, når de er på nettet, og som undgår at besøge ukendte eller upålidelige websteder.
Årsag
Svagheden findes, fordi XMLHTTP-kontrolelementet i Microsoft XML Core Services ikke overholder begrænsningerne for sikkerhedszonen i Internet Explorer. Dermed bliver det muligt for en webside at angive en fil på en brugers lokale system som en XML-datakilde for at kunne læse filen.
Løsning
Hvis du vil løse problemet, skal du anskaffe den nyeste Service Pack til Microsoft SQL Server 2000. Yderligere oplysninger finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
290211 INF: Sådan får du den nyeste Service Pack til SQL Server 2000 (artiklen er evt. på engelsk)
Følgende fil kan hentes fra Microsoft Download Center:
Udgivelsesdato: 21. februar 2002

Yderligere oplysninger om, hvordan du henter filer fra Microsoft Support, finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
119591 Sådan hentes Microsoft-supportfiler på onlinetjenester
Microsoft har scannet denne fil for virus. Dertil har Microsoft anvendt de nyeste antivirusprogrammer, der var tilgængelige på det tidspunkt, da filen blev lagt ud. Filen gemmes på servere med forbedret sikkerhed, der medvirker til at forhindre uautoriserede ændringer af filen. Den engelske udgave af denne programrettelse indeholder følgende eller nyere filattributter:
   Dato       Version         Størrelse     Filnavn     Platform   -------------------------------------------------------------   07-02-2002   4.00.9406.0   1.229.312   Msxml4.dll    x86   07-02-2002   4.00.9406.0      44.544   Msxml4a.dll   x86   07-02-2002   4.00.9406.0      82.432   Msxml4r.dll   x86				

Status
Microsoft har bekræftet, at dette problem kan forårsage en vis sikkerhedsbrist i Microsoft XML 4.0. Problemet blev første gang rettet i Microsoft SQL Server 2000 Service Pack 3.Problemet blev første gang rettet i Microsoft XML 4.0 Service Pack 1.

Hent den nyeste version af MSXML på følgende Microsoft-websted:
Yderligere Information
Berørte versioner af MSXML leveres som del af flere produkter. Du bør anvende programrettelsen på følgende Microsoft-produkter:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
MSXML kan også installeres separat. MSXML installeres som en DLL-fil i undermappen System32 i mappen med Windows-operativsystem. På de fleste systemer vil det ofte være C:\Windows eller C:\winnt. Hvis du har en eller alle følgende filer i mappen System32, har du brug for en programrettelse:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Hvis du kun har Msxml.dll, behøver du ikke programrettelsen, fordi det er en tidligere, ikke-berørt version.

Vigtigt! Bemærk, at installationsprogrammet til denne programrettelse ikke indeholder en funktion til afinstallation.
Referencer
Yderligere oplysninger om denne svaghed finder du på følgende Microsoft-websted:
sikkerhedsrettelse kbMSXML400preSP1fix sikkerhedsopdatering, 13. februar 2002
Egenskaber

Artikel-id: 317244 – Seneste udgave 12/18/2006 06:44:26 – Udgave 8.0

Microsoft XML Core Services 4.0

  • kbqfe kbhotfixserver kbbug kbfix kbie600presp1fix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbsqlserv2000presp3fix kbsqlserv2000sp3fix kbwin2000presp3fix kbwin2000sp3fix kbwinxpsp1fix KB317244
Feedback