MS06-061: Θέματα ευπάθειας στο Microsoft XML Core Services θα μπορούσε να επιτρέψει απομακρυσμένη εκτέλεση κώδικα

ΕΙΣΑΓΩΓΗ

Η Microsoft έχει κυκλοφορήσει το ενημερωτικό δελτίο ασφαλείας MS06-061. Το ενημερωτικό δελτίο ασφαλείας περιέχει όλες τις σχετικές πληροφορίες που αφορούν την ενημερωμένη έκδοση ασφαλείας. Αυτές οι πληροφορίες περιλαμβάνουν αρχείο διακήρυξης πληροφορίες και επιλογές ανάπτυξης. Για να προβάλετε το πλήρες ενημερωτικό δελτίο ασφαλείας, επισκεφθείτε μία από τις ακόλουθες τοποθεσίες της Microsoft στο Web:

Πληροφορίες πακέτου υπηρεσιών

Το ζήτημα που αντιμετωπίζεται από αυτήν την ενημερωμένη έκδοση ασφαλείας τώρα διορθωθεί στο Microsoft Office 2003 Service Pack 3 (SP3). Για περισσότερες πληροφορίες σχετικά με τον τρόπο απόκτησης του τελευταίου service pack για το Microsoft Office 2003, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

870924 τον τρόπο απόκτησης του τελευταίου service pack για το Office 2003

Γνωστά ζητήματα με αυτήν την ενημερωμένη έκδοση ασφαλείας

  • Εάν έχετε πολλές εκδόσεις του προγράμματος ανάλυσης Microsoft XML ή εγκατάσταση Microsoft XML Core Services (MSXML), ίσως χρειαστεί να εγκαταστήσετε πολλά πακέτα για αυτήν την ενημερωμένη έκδοση ασφαλείας. Επιπλέον, αν εγκαταστήσετε μια έκδοση του MSXML μετά την εγκατάσταση αυτής της ενημερωμένης έκδοσης, ίσως χρειαστεί να εγκαταστήσετε ένα πρόσθετο πακέτο για αυτήν την ενημερωμένη έκδοση ασφαλείας. Για περισσότερες πληροφορίες σχετικά με τις διαφορετικές εκδόσεις MSXML που είναι διαθέσιμες ή περιλαμβάνονται στα διάφορα προϊόντα ή ενημερωμένες εκδόσεις λογισμικού, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

    269238 λίστα του Microsoft XML Parser (MSXML) εκδόσεις

  • Αφού εγκαταστήσετε την αρχική έκδοση της ενημερωμένης έκδοσης ασφαλείας 924191 για το Windows 2000 Service Pack 4, το bit"kill" για Microsoft XML Parser (MSXML) έκδοση 2.6 CLSID είναι εσφαλμένα ορισμένο σε 0x00000190 (400) αντί για 0x00000400 (1024). Στις 19 Οκτωβρίου 2006, η Microsoft κυκλοφόρησε μια νέα έκδοση αυτής της ενημερωμένης έκδοσης ασφαλείας για την αντιμετώπιση αυτού του ζητήματος.



    Σημείωση Η νέα ενημερωμένη έκδοση ασφαλείας που κυκλοφόρησε στις 19 Οκτωβρίου 2006 δεν ενημερώνει σωστά τις πληροφορίες έκδοσης που εμφανίζονται στην Προσθαφαίρεση προγραμμάτων, εάν εγκαταστήσατε προηγουμένως την αρχική ενημερωμένη έκδοση ασφαλείας για τα Windows 2000. Ο αριθμός έκδοσης πρέπει να ενημερωθεί σε 0061014.135844. Ωστόσο, οι πληροφορίες έκδοσης εξακολουθούν να εμφανίζονται ως 20060915.123522. Αυτό το ζήτημα μπορεί να παραβλεφθεί. Σε αυτό το σενάριο, το bit"kill" ενημερώνεται σωστά στο μητρώο για τα CLSID του MSXML έκδοση 2.6.
  • Μετά την εγκατάσταση αυτής της ενημερωμένης έκδοσης, μπορείτε να χρησιμοποιήσετε το πρόγραμμα ανάλυσης Microsoft XML έκδοση 2.6 στον Microsoft Internet Explorer. Αυτή η συμπεριφορά οφείλεται στη σχεδίαση. Το πακέτο ενημερωμένων εκδόσεων ασφαλείας 924191 ορίζουν το bit"kill" για αυτήν την έκδοση του MSXML. Το bit"kill" εμποδίζει το στοιχείο να εκτελούν στον Internet Explorer.

    Σημείωση Οι προγραμματιστές που χρησιμοποιούν αναγνωριστικά προγράμματος εξαρτάται από την έκδοση MSXML 2.6 (ProgID) σε μια εφαρμογή πρέπει να ενημερώσουν τα ProgID, να χρησιμοποιούν το MSXML 3.0.

    Δείγμα κώδικα που χρησιμοποιεί ProgID που εξαρτάται από την έκδοση MSXML 2.6
    var o = new ActiveXObject("Msxml2.DOMDocument.2.6");
    Ενημερωμένο δείγμα κώδικα που χρησιμοποιεί ProgID που εξαρτάται από την έκδοση MSXML 3.0
    var o = new ActiveXObject("Msxml2.DOMDocument.3.0");
    Τα πακέτα ενημερωμένων εκδόσεων ασφαλείας 924191 για αυτήν την έκδοση ορίζουν το bit"kill" για τα CLSID του MSXML 2.6 που αναγράφονται στον ακόλουθο πίνακα.
    GUIDΣυμβολικό όνομα
    f5078f22-c551-11d3-89b9-0000f81fe221CLSID_XMLDocument26
    f5078f1b-c551-11d3-89b9-0000f81fe221CLSID_DOMDocument26
    f5078f1c-c551-11d3-89b9-0000f81fe221CLSID_FreeThreadedDOMDocument26
    f5078f1d-c551-11d3-89b9-0000f81fe221CLSID_XMLSchemaCache26
    f5078f1e-c551-11d3-89b9-0000f81fe221CLSID_XMLHTTP26
    f5078f21-c551-11d3-89b9-0000f81fe221CLSID_XSLTemplate26
    f5078f1f-c551-11d3-89b9-0000f81fe221CLSID_DSOControl26
    f5078f20-c551-11d3-89b9-0000f81fe221CLSID_XMLParser26
    f5078f28-c551-11d3-89b9-0000f81fe221CLSID_Viewer26
    f5078f29-c551-11d3-89b9-0000f81fe221CLSID_BufferedMoniker26
    f5078f26-c551-11d3-89b9-0000f81fe221CLSID_XSLPatternFactory26
  • Πακέτα ενημερωμένων εκδόσεων ασφαλείας 925672 και 925673 για το MSXML 4.0 Service Pack 2 (SP2) και το MSXML 6.0 είναι πλήρη πακέτα εγκατάστασης. Μπορείτε να χρησιμοποιήσετε αυτά τα πακέτα για να εγκαταστήσετε το MSXML 4.0 SP2 ή του MSXML 6.0 σε έναν υπολογιστή που δεν έχει προηγούμενες εκδόσεις του MSXML 4.0 ή το MSXML 6.0 εγκατεστημένο. Μπορείτε επίσης να χρησιμοποιήσετε αυτά τα πακέτα για να ενημερώσετε μια υπάρχουσα εγκατάσταση του MSXML 4.0, MSXML 4.0 SP1 ή του MSXML 6.0.
  • Το Windows Update και το Microsoft Update προσφέρουν μόνο τα πακέτα ενημερωμένων εκδόσεων ασφαλείας 925672 και 925673 αν είναι ήδη εγκατεστημένη μια προηγούμενη έκδοση του MSXML 4.0 SP2 ή του MSXML 6.0 στον υπολογιστή σας. Εάν δεν έχετε μια παλαιότερη έκδοση του MSXML 4.0 SP2 ή το MSXML 6.0 εγκατεστημένο, κάντε λήψη και εγκαταστήστε τα πακέτα από το Κέντρο λήψης της Microsoft.
  • Το Windows Update και το Microsoft Update προσφέρει την ενημερωμένη έκδοση ασφαλείας 925672 εάν έχετε MSXML 4.0 ή του MSXML 4.0 SP1 εγκατεστημένο. Για να ενημερώσετε το MSXML 4.0 ή του MSXML 4.0 SP1, χρησιμοποιήστε μία από τις ακόλουθες μεθόδους:
    • Μέθοδος 1: κάντε λήψη και εγκαταστήστε την ενημερωμένη έκδοση ασφαλείας 925672 από το Κέντρο λήψης της Microsoft. Για να το κάνετε αυτό, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
    • Μέθοδος 2: λήψη και εγκατάσταση του MSXML 4.0 SP2 και, στη συνέχεια, εγκαταστήστε την ενημερωμένη έκδοση ασφαλείας 925672 από το Windows Update ή από το Microsoft Update. Για να κάνετε λήψη του MSXML 4.0 SP2, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
  • Τα αρχεία που εγκαθίστανται από τα πακέτα ενημερωμένων εκδόσεων ασφαλείας 925672 και 925673 για το MSXML 4.0 SP2 και το MSXML 6.0 αναγράφονται στους ακόλουθους πίνακες.

    Δεν είναι εγκατεστημένο το MSXML 6.0
    Όνομα αρχείουΈκδοσηΗμ/νίαΏραΜέγεθος
    Msxml6.dll6.0.3888.01-Sep-0612:081.27 MB
    Msxml6r.dll6.0.3883.019-Jul-0610:5584.6 KB
    Είναι εγκατεστημένο το MSXML 6.0
    Όνομα αρχείουΈκδοσηΗμ/νίαΏραΜέγεθος
    Msxml6.dll6.0.3888.01-Sep-0612:081.27 MB
    Δεν είναι εγκατεστημένο το MSXML 4.0
    Όνομα αρχείουΈκδοσηΗμ/νίαΏραΜέγεθος
    Msxml4.dll4.20.9839.012-Sep-065:511216 KB
    Msxml4r.dll4.10.9404.012-Jul-065:4980.5 KB
    Σημείωση Αυτή η ενημερωμένη έκδοση ασφαλείας είναι εγκατεστημένη στο φάκελο %SystemRoot%\System32 και στον φάκελο side-by-side.

    Είναι εγκατεστημένο το MSXML 4.0
    Όνομα αρχείουΈκδοσηΗμ/νίαΏραΜέγεθος
    Msxml4.dll4.20.9839.012-Sep-065:5311.18 MB
    Σημείωση Αυτή η ενημερωμένη έκδοση ασφαλείας είναι εγκατεστημένη στο φάκελο %SystemRoot%\System32 και στον φάκελο side-by-side.
  • Όταν καταργείτε την ενημερωμένη έκδοση ασφαλείας 925673 για το MSXML 6.0, το MSXML 6.0 καταργείται πλήρως από τον υπολογιστή σας.
  • Το πακέτο ενημερωμένων εκδόσεων ασφαλείας 925672 για το MSXML 4.0 SP2 δεν υποστηρίζει την πλήρη κατάργηση του MSXML 4.0 επειδή αυτή η έκδοση του MSXML εγκαθίσταται σε λειτουργία side-by-side. Για να επιλύσετε αυτό το ζήτημα, ακολουθήστε τα εξής βήματα:
    1. Χρησιμοποιήστε την Προσθαφαίρεση προγραμμάτων για να καταργήσετε την ενημερωμένη έκδοση ασφαλείας 925672.
    2. Διαγράψτε το αρχείο MSXML4.dll το από το φάκελο %SystemRoot%\System32.
    3. Χρησιμοποιήστε την Προσθαφαίρεση προγραμμάτων επιδιόρθωση MSXML 4.0.
    Παλαιότερες εκδόσεις του αρχείου Msxml4.dll και το αρχείο Msxml4r.dll επαναφέρονται στο φάκελο %SystemRoot%\System32 και στον φάκελο side-by-side.
  • Τα πακέτα ενημερωμένων εκδόσεων ασφαλείας για το MSXML 3.0 ενημερώνουν μόνο το αρχείο MSXML3.dll. Τα αρχεία πόρων δεν ενημερώνονται για αυτήν την έκδοση.
  • Μετά την εγκατάσταση αυτής της ενημέρωσης ασφαλείας, ενδέχεται να αντιμετωπίσετε απροσδόκητη συμπεριφορά στις εφαρμογές του Microsoft Commerce Server 2002 Business Desk. Για περισσότερες πληροφορίες σχετικά με αυτό το ζήτημα, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

    926509 , ενδέχεται να αντιμετωπίσετε απροσδόκητη συμπεριφορά κατά την πρόσβαση σε εφαρμογές του Commerce Server Business Desk, μετά την ενημέρωση του υπολογιστή σας με τις πιο πρόσφατες ενημερωμένες εκδόσεις ασφαλείας

Πρόσθετα πακέτα για αυτήν την ενημερωμένη έκδοση ασφαλείας

Τα πακέτα ενημερωμένων εκδόσεων ασφαλείας για αυτήν την έκδοση χρησιμοποιούν αυτόν τον αριθμό άρθρου της Γνωσιακής Βάσης (924191) και τους ακόλουθους αριθμούς άρθρων της Γνωσιακής Βάσης της Microsoft.
  • 925673 MS06-061: ενημερωμένη έκδοση ασφαλείας για Microsoft XML Core Services 6.0

  • 925672 MS06-061: ενημερωμένη έκδοση ασφαλείας για Microsoft XML Core Services 4.0 SP2

  • 924424 περιγραφή της ενημερωμένης έκδοσης ασφαλείας για το Office 2003: 10 Οκτωβρίου 2006

Ιδιότητες

Αναγνωριστικό άρθρου: 924191 - Τελευταία αναθεώρηση: 14 Ιαν 2017 - Αναθεώρηση: 2

Σχόλια