MS02-008: XMLHTTP-Steuerelement in MSXML 4.0 kann Zugriff auf lokale Dateien zulassen

Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
317244 MS02-008: XMLHTTP control in MSXML 4.0 can allow access to local files
Weitere Informationen über diese Sicherheitsanfälligkeit finden Sie in folgenden Artikeln der Microsoft Knowledge Base:

318203 MS02-008: XMLHTTP-Steuerelement in MSXML 3.0 kann Zugriff auf lokale Dateien zulassen

318202 MS02-008: XMLHTTP-Steuerelement in MSXML 2.6 kann Zugriff auf lokale Dateien zulassen

Problembeschreibung

Es besteht ein Sicherheitsproblem, das es einem Angreifer ermöglichen könnte, Dateien auf dem lokalen Dateisystem eines Benutzers zu lesen, der eine speziell fehlerhaft formatierte Website besucht.

Der Angreifer wäre allerdings nicht in der Lage, Dateien hinzuzufügen, zu ändern oder zu löschen. Auch wäre es dem Angreifer nicht möglich, diesen Angriff per E-Mail auszuführen; diese Sicherheitsanfälligkeit kann nur über eine Website ausgenutzt werden. Kunden können das mit dieser Sicherheitsanfälligkeit verbundene Risiko reduzieren, indem sie beim Browsen im Internet Vorsicht walten lassen und keine unbekannten oder nicht vertrauenswürdigen Sites besuchen.

Ursache

Diese Sicherheitsanfälligkeit tritt auf, da das XMLHTTP-Steuerelement in den Microsoft XML Core Services die Einstellungen und Einschränkungen der Sicherheitszonen in Internet Explorer fehlerhaft interpretiert. Dadurch kann über eine Webseite eine Datei auf dem lokalen System des Benutzers als XML-Datenquelle angegeben und somit gelesen werden.

Lösung

Installieren Sie das neueste Service Pack für Microsoft SQL Server 2000, um dieses Problem zu beheben. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
290211 INFO: So erhalten Sie das neueste Service Pack für SQL Server 2000
Die folgende Datei steht im Microsoft Download Center zum Download zur Verfügung:
Download Paket "Msxml4qfe.exe" jetzt herunterladenDatum der Freigabe: 21. Februar 2002

Weitere Informationen zum Download von Microsoft Support-Dateien finden Sie im folgenden Artikel der Microsoft Knowledge Base:
119591 So erhalten Sie Microsoft Support-Dateien im Internet
Microsoft hat diese Datei auf Viren überprüft. Microsoft hat dazu die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war. Nach der Bereitstellung befindet sich die Datei auf Servern mit verstärkter Sicherheit, wodurch nicht autorisierte Änderungen an der Datei weitestgehend verhindert werden.
Die englische Version dieses Hotfixes weist die in der nachstehenden Tabelle aufgelisteten Dateiattribute (oder höher) auf. Datums- und Uhrzeitangaben für diese Dateien sind in der "Coordinated Universal Time" (UTC) angegeben. Wenn Sie die Dateiinformationen anzeigen, werden diese Angaben in die lokale Zeit konvertiert. Den Unterschied zwischen UTC-Zeit und lokaler Zeit können Sie in der Systemsteuerung unter "Datum und Uhrzeit" mithilfe der Angaben auf der Registerkarte Zeitzone ermitteln.

Datum Version Größe Dateiname Plattform
-------------------------------------------------------------
07-Feb-2002 4.00.9406.0 1.229.312 Msxml4.dll x86
07-Feb-2002 4.00.9406.0 44.544 Msxml4a.dll x86
07-Feb-2002 4.00.9406.0 82.432 Msxml4r.dll x86
Sie benötigen Windows Installer 2.0 oder höher, um dieses Update installieren zu können. Sie müssen den Computer eventuell neu starten, nachdem Sie Windows Installer 2.0 oder eine spätere Version installiert haben.

Besuchen Sie eine der folgenden Websites von Microsoft, um Windows Installer herunterzuladen:

Hinweis: Windows XP-Benutzer können diesen Schritt auslassen.

Status

Microsoft hat bestätigt, dass dieses Problem in gewissem Maße ein Sicherheitsproblem in Microsoft XML 4.0 zur Folge haben kann. Dieses Problem wurde erstmals in Microsoft SQL Server 2000 Service Pack 3 behoben.Dieses Problem wurde in Microsoft XML 4.0 Service Pack 1 behoben.
Besuchen Sie die folgende Microsoft-Website, um die neueste Version von MSXML herunterzuladen:

Weitere Informationen

Betroffene Versionen von MSXML werden als Bestandteil verschiedener Produkte ausgeliefert. Das Update sollte auf Systeme angewendet werden, auf denen eines der folgenden Microsoft-Produkte installiert ist:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
MSXML kann auch separat installiert werden. MSXML wird in diesem Fall als DLL im Unterordner "System32" des Ordners für das Windows-Betriebssystem installiert. Bei den meisten Systemen handelt es sich dabei wahrscheinlich um den Ordner "C:\Windows" oder "C:\winnt". Wenn sich in Ihrem Ordner "System32" eine oder alle der folgenden Dateien befinden, benötigen Sie das Update:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Wenn sich lediglich die Datei "Msxml.dll" in dem Ordner befindet, benötigen Sie das Update nicht, da es sich dabei um eine ältere Version handelt, die nicht betroffen ist.

Wichtig: Der Hotfix-Installer für dieses Update hat keine integrierte Deinstallationsfunktion.

Informationsquellen

Weitere Informationen zu dieser Sicherheitsanfälligkeit finden Sie auf folgender Website von Microsoft:
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Eigenschaften

Artikelnummer: 317244 – Letzte Überarbeitung: 30.05.2007 – Revision: 1

Feedback