MS02-009 voi aiheuttaa yhteensopivuusongelmia VBScriptin ja muiden valmistajien sovellusten välillä

Tämä artikkeli on arkistoitu. Se tarjotaan "sellaisenaan", eikä sitä päivitetä enää.
Yhteenveto
Sen jälkeen kun Microsoftin tietoturvatiedotteen MS02-009 mukainen korjaustiedosto julkaistiin 21.2.2002, Microsoft sai tietää yhteensopivuusongelmasta usean muun valmistajan ohjelmiston kanssa. Näissä muiden valmistajien ohjelmistoissa hyödynnetään Microsoft Visual Basic Scripting Editionin (VBScriptin) sellaista toimintaa, jota korjaustiedostoa laadittaessa ei osattu ottaa huomioon. Tässä artikkelissa selitetään yhteensopivuusongelma sekä ne muutokset, joita Microsoft on tehnyt MS02-009-korjaustiedoston päivitettyyn versioon.

Saat lisätietoja tästä korjaustiedostosta ja sen hankkimisesta napsauttamalla alla olevaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
318089 MS02-009: Internet Explorerin väärä VBScript-käsittely voi sallia Web-sivujen lukea paikallisia tiedostoja
Enemmän tietoa
VBScript voi luoda COM- (Component Object Model) -objekteista esiintymiä, jotka toteuttavat IDispatch-liittymän. COM-objekteihin suuntautuvat myöhäisen vaiheen kutsut tehdään "lähetysliittymän" kautta. (Kyseessä on liittymä, joka ottaa menetelmän nimen suorituksen aikana ja "lähettää" kutsun oikeaan menetelmään).

Jotkin COM-objektit toteuttavat useamman kuin yhden lähetysliittymän. Jotkin kielet (kuten Visual Basic) voivat kutsua objektia mistä tahansa lähetysliittymästä. Jotkin kielet (kuten JScript) voivat puolestaan kutsua vain oletuslähetysliittymää. Jos kutsut CreateObject-menetelmää VBScriptissä, oletuslähetysliittymä palautetaan riippumatta siitä, kuinka monta toissijaista liittymää objekti tukee. VBScript ei kuitenkaan tarkista, onko kutsun menetelmään tai ominaisuuteen palauttama objektin liittymä nimenomaan oletusliittymä.

Internet Explorerin aiemmissa versioissa oli suojausongelma, jonka myötä selain saattoi palauttaa suojaamattoman toissijaisen liittymän VBScript-ytimeen, joka saattoi sitten käyttää kyseistä objektia turvattomalla tavalla. Ongelman ratkaisemiseksi Microsoft muutti VBScriptiä siten, että se noutaa aina oletusliittymän. Tämä muutos lievensi suojausheikkoutta mutta aiheutti samalla yhteensopivuusongelmia joidenkin täysin sallittujen objektien kanssa.

MS02-009:n päivitetty versio rajaa tämän ongelman koskemaan vain sellaisia Internet Explorer -objekteja, jotka eivät välttämättä ole täysin turvallisia. Tämä korjaustiedosto sallii nyt sen, että objektit käyttävät VBScriptissä muitakin kuin oletuslähetysliittymiä.

Lisätietoja tästä heikkoudesta on seuraavassa Microsoftin Web-sivustossa:
Ominaisuudet

Artikkelin tunnus: 319847 – Viimeisin tarkistus: 02/26/2014 18:12:21 – Versio: 3.2

Microsoft Internet Explorer 5.5 Service Pack 1, Microsoft Internet Explorer 5.5 Service Pack 2, Microsoft Internet Explorer 5.01, Microsoft Internet Explorer 5.01, Microsoft Internet Explorer 5.5 Service Pack 1, Microsoft Internet Explorer 5.5 Service Pack 2, Microsoft Internet Explorer 5.5 Service Pack 1, Microsoft Internet Explorer 5.5 Service Pack 2, Microsoft Internet Explorer 5.01, Microsoft Internet Explorer 5.01, Microsoft Internet Explorer 5.5 Service Pack 1, Microsoft Internet Explorer 5.5 Service Pack 2, Microsoft Internet Explorer 5.01, Microsoft Internet Explorer 5.01, Microsoft Internet Explorer 5.5 Service Pack 1, Microsoft Internet Explorer 5.5 Service Pack 2, Microsoft Internet Explorer 5.01, Microsoft Internet Explorer 5.01, Microsoft Internet Explorer 6.0

  • kbnosurvey kbarchive kbinfo kbsecurity kbsecbulletin KB319847
Palaute