MS06-061: Microsoft XML Core Servicesin heikkoudet saattavat sallia koodin etäsuorittamisen

ESITTELY

Microsoft on julkaissut tietoturvatiedotteen MS06-061. Tämä tietoturvatiedote sisältää kaikki tietoturvapäivityksen tärkeät tiedot. Näitä tietoja ovat esimerkiksi tiedostojen tiedot ja asennusvaihtoehdot. Voit tarkastella koko tietoturvatiedotetta seuraavissa Microsoftin verkkosivustoissa:

Service Pack -tiedot

Tämä ongelma korjattiin Microsoft Office 2003 Service Pack 3:ssa. Voit korjata ongelman lataamalla uusimman Office 2003 Service Packin. Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
870924 Office 2003:n uusimman Service Pack -paketin hankkiminen

Tunnettuja tämän tietoturvapäivityksen yhteydessä ilmeneviä ongelmia

  • Jos asennettuna on useita Microsoft XML Parser -jäsentimen tai Microsoft XML Core Servicesin (MSXML) versioita, tämän tietoturvapäivityksen asentaminen saattaa edellyttää useiden pakettien asentamisen. Lisäksi, jos asennat jonkin MSXML-version tämän tietoturvapäivityksen asentamisen jälkeen, saatat joutua asentamaan tämän tietoturvapäivityksen lisäpaketin. Saat lisätietoja eri MSXML-versioista, jotka ovat saatavana tai jotka sisältyvät eri Microsoftin tuotteisiin tai ohjelmistopäivityksiin, napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

    269238 Microsoft XML Parser (MSXML) -versioiden luettelo

  • Kun olet asentanut tietoturvapäivityksen 924191 alkuperäisen version Windows 2000 Service Pack 4 -käyttöjärjestelmään, Microsoft XML Parserin (MSXML) version 2.6 CLSID-tunnusten Kill-bitille määritetään virheellisesti arvo 0x00000190 (400) arvon 0x00000400 (1024) sijaan. Microsoft julkaisi 19.10.2006 uuden version tästä tietoturvapäivityksestä ongelman korjaamiseksi.



    Huomautus 19.10.2006 julkaistu uusi tietoturvapäivitys ei päivitä Lisää tai poista sovellus -työkalussa näytettäviä versiotietoja oikein, jos Windows 2000:n alkuperäinen tietoturvapäivitys asennettiin aiemmin. Päivitetyn versionumeron tulisi olla 0061014.135844. Versionumero on kuitenkin edelleen 20060915.123522. Tähän ongelmaan ei tarvitse kiinnittää huomiota. Tässä skenaariossa MSXML-version 2.6 CLSID-tunnusten Kill-bitti päivitetään rekisterissä oikein.
  • Kun olet asentanut tämän tietoturvapäivityksen, et pysty käyttämään Microsoft Internet Explorerissa Microsoft XML Parser -versiota 2.6. Tämä toiminta ei ole virhe. Tietoturvapäivityspaketti 924191 määrittää Kill-bitin kyseiselle MSXML-versiolle. Kill-bitti estää kyseisen osan suorittamisen Internet Explorerissa.

    Huomautus Sovelluskehittäjien, jotka käyttävät MSXML 2.6 -versiosta riippuvaisia ProgID-ohjelmatunnuksia sovelluksessa, on päivitettävä ProgID-tunnukset käyttämään versiota MSXML 3.0.

    MSXML 2.6 -versiosta riippuvaista ProgID-tunnusta käyttävä mallikoodi
    var o = new ActiveXObject("Msxml2.DOMDocument.2.6");
    MSXML 3.0 -versiosta riippuvaista ProgID-tunnusta käyttävä päivitetty mallikoodi
    var o = new ActiveXObject("Msxml2.DOMDocument.3.0");
    Tämän version 924191-tietoturvapäivityspaketit määrittävät Kill-bitin seuraavassa taulukossa luetelluille MSXML 2.6:n CLSID-tunnuksille.
    GUIDSymbolinen nimi
    f5078f22-c551-11d3-89b9-0000f81fe221CLSID_XMLDocument26
    f5078f1b-c551-11d3-89b9-0000f81fe221CLSID_DOMDocument26
    f5078f1c-c551-11d3-89b9-0000f81fe221CLSID_FreeThreadedDOMDocument26
    f5078f1d-c551-11d3-89b9-0000f81fe221CLSID_XMLSchemaCache26
    f5078f1e-c551-11d3-89b9-0000f81fe221CLSID_XMLHTTP26
    f5078f21-c551-11d3-89b9-0000f81fe221CLSID_XSLTemplate26
    f5078f1f-c551-11d3-89b9-0000f81fe221CLSID_DSOControl26
    f5078f20-c551-11d3-89b9-0000f81fe221CLSID_XMLParser26
    f5078f28-c551-11d3-89b9-0000f81fe221CLSID_Viewer26
    f5078f29-c551-11d3-89b9-0000f81fe221CLSID_BufferedMoniker26
    f5078f26-c551-11d3-89b9-0000f81fe221CLSID_XSLPatternFactory26
  • MSXML 4.0 Service Pack 2:n (SP2) ja MSXML 6.0:n tietoturvapäivityspaketit 925672 ja 925673 ovat täydellisiä asennuspaketteja. Näiden pakettien avulla voit asentaa MSXML 4.0 SP2:n tai MSXML 6.0:n tietokoneeseen, jossa ei ole asennettuna MSXML 4.0:n tai MSXML 6.0:n aiempia versioita. Niiden avulla voit myös päivittää aiemman MSXML 4.0-, MSXML 4.0 SP1- tai MSXML 6.0 -asennuksen.
  • Windows Update ja Microsoft Update tarjoavat tietoturvapäivityspaketteja 925672 ja 925673 vain, jos tietokoneessa on jo asennettuna jokin aikaisempi MSXML 4.0 SP2- tai MSXML 6.0 -versio. Jos tietokoneessasi ei ole asennettuna aiempaa MSXML 4.0 SP2- tai MSXML 6.0 -versiota, lataa ja asenna nämä paketit Microsoft Download Centeristä.
  • Windows Update ja Microsoft Update eivät tarjoa tietoturvapäivitystä 925672, jos asennettuna on MSXML 4.0 tai MSXML 4.0 SP1. Voit päivittää MSXML 4.0:n tai MSXML 4.0 SP1:n seuraavilla tavoilla:
  • Tietoturvapäivityspakettien 925672 ja 925673 MSXML 4.0 SP2:lle ja MSXML 6.0:lle asentamat tiedostot on lueteltu seuraavissa taulukoissa.

    MSXML 6.0 ei ole asennettuna
    TiedostonimiVersioPäivämääräAikaKoko
    Msxml6.dll6.0.3888.01.9.200612:081,27 Mt
    Msxml6r.dll6.0.3883.019.7.200610:5584,6 kt
    MSXML 6.0 on asennettuna
    TiedostonimiVersioPäivämääräAikaKoko
    Msxml6.dll6.0.3888.01.9.200612:081,27 Mt
    MSXML 4.0 ei ole asennettuna
    TiedostonimiVersioPäivämääräAikaKoko
    Msxml4.dll4.20.9839.012.9.20065:511 216 kt
    Msxml4r.dll4.10.9404.012.7.20065:4980,5 kt
    Huomautus Tämä tietoturvapäivitys asennetaan sekä %SystemRoot%\System32-kansioon että rinnakkaiskansioon.

    MSXML 4.0 on asennettuna
    TiedostonimiVersioPäivämääräAikaKoko
    Msxml4.dll4.20.9839.012.9.20065:5311,18 Mt
    Huomautus Tämä tietoturvapäivitys asennetaan sekä %SystemRoot%\System32-kansioon että rinnakkaiskansioon.
  • Kun poistat MSXML 6.0:n tietoturvapäivityksen 925673, MSXML 6.0 poistetaan tietokoneesta kokonaan.
  • MSXML 4.0 SP2:n tietoturvapäivityspaketti 925672 ei tue MSXML 4.0:n poistamista kokonaan, koska tämä MSXML-versio asennetaan rinnakkaistilassa. Voit kiertää ongelman seuraavasti:
    1. Poista tietoturvapäivitys 925672 Lisää tai poista sovellus -työkalun avulla.
    2. Poista MSXML4.dll-tiedosto %SystemRoot%\System32-kansiosta.
    3. Korjaa MSXML 4.0 Lisää tai poista sovellus -työkalun avulla.
    Msxml4.dll- ja Msxml4r.dll-tiedostojen aiemmat versiot palautetaan sekä %SystemRoot%\System32-kansioon ja rinnakkaiskansioon.
  • MSXML 3.0:n tietoturvapäivityspaketit päivittävät vain MSXML3.dll-tiedoston. Tämän version resurssitiedostoja ei päivitetä.
  • Kun olet asentanut tämän tietoturvapäivityksen, Microsoft Commerce Server 2002 Business Desk -sovelluksissa saattaa ilmetä odottamatonta toimintaa. Saat lisätietoja tästä ongelmasta napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

    926509 Commerce Server Business Desk -sovelluksia käytettäessä saattaa ilmetä odottamatonta toimintaa, kun uusimmat tietoturvapäivitykset on asennettu tietokoneeseen (tämä artikkeli saattaa olla englanninkielinen)

Tämän tietoturvapäivityksen lisäpaketit

Tämän version tietoturvapäivityspaketit käyttävät Microsoft Knowledge Base -tietokannan artikkelin numeroa 924191 ja seuraavia artikkelien numeroita.
  • 925673 MS06-061: Microsoft XML Core Services 6.0 -tietoturvapäivitys

  • 925672 MS06-061: Microsoft XML Core Services 4.0 SP2 -tietoturvapäivitys

  • 924424 10.10.2006 julkaistun Office 2003 -tietoturvapäivityksen kuvaus

Ominaisuudet

Artikkelin tunnus: 924191 – Viimeisin tarkistus: 17.7.2008 – Versio: 1

Palaute