Vous êtes actuellement hors ligne, en attente de reconnexion à Internet.

MS02-008 : Un contrôle XMLHTTP de MSXML 4.0 peut autoriser l'accès à des fichiers locaux

Cet article peut contenir des liens vers des informations en langue anglaise (pas encore traduites).
Pour plus d'informations sur ce problème de sécurité, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft.
318203 MS02-008 : Un contrôle XMLHTTP de MSXML 3.0 peut autoriser l'accès à des fichiers locaux
318202 MS02-008 : Un contrôle XMLHTTP de MSXML 2.0 peut autoriser l'accès à des fichiers locaux
Symptômes
Il existe un problème de sécurité concernant la divulgation d'informations qui pourrait permettre à un utilisateur malveillant de lire des fichiers du système de fichiers local d'un utilisateur qui visite un site Web particulièrement mal configuré.

L'utilisateur malveillant ne serait pas en mesure d'ajouter, de modifier ni de supprimer des fichiers. En outre, il ne pourrait pas utiliser de message électronique pour exécuter son acte malveillant car ce problème de sécurité n'est exploitable que par le biais du site Web. Les clients précautionneux qui évitent de visiter des sites inconnus ou douteux lorsqu'ils naviguent sur le Web risquent moins de s'exposer à ce problème de sécurité.
Cause
Ce problème de sécurité vient d'un contrôle XMLHTTP des services noyau de Microsoft XML qui ne respecte pas les restrictions des zones de sécurité d'Internet Explorer. Cela permet à une page Web de spécifier un fichier sur le système local de l'utilisateur en tant que source de données XML comme moyen de lecture du fichier.
Résolution
Pour résoudre ce problème, procurez-vous le dernier Service Pack Microsoft SQL Server 2000. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
290211 INF : Comment faire pour obtenir le dernier Service Pack SQL Server 2000
Vous pouvez télécharger le fichier suivant à partir du Centre de téléchargement Microsoft (en anglais) :
Date de publication : 21 février 2002

Pour plus d'informations sur la façon de télécharger des fichiers du Support technique Microsoft, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
119591 Comment obtenir des fichiers de support technique Microsoft auprès des services en ligne
Microsoft a analysé ce fichier en vue de détecter la présence de virus. Microsoft a utilisé les logiciels de détection de virus les plus récents disponibles à la date de publication de ce fichier. Le fichier est conservé sur des serveurs sécurisés, empêchant toute modification non autorisée du fichier. La version anglaise de ce correctif doit avoir les attributs de fichier suivants ou ceux d'une version ultérieure :
   Date        Version      Taille       Nom de fichier Plate-forme   -----------------------------------------------------------------   07/02/02    4.00.9406.0   1 229 312   Msxml4.dll     x86   07/02/02    4.00.9406.0      44 544   Msxml4a.dll    x86   07/02/02    4.00.9406.0      82 432   Msxml4r.dll    x86				

Statut
Microsoft a confirmé que ce problème pouvait entraîner une certaine faille de sécurité dans Microsoft XML 4.0. Ce problème a été corrigé pour la première fois dans le Service Pack 3 Microsoft SQL Server 2000.Ce problème a été corrigé dans le Service Pack 1 Microsoft XML 4.0.

Pour télécharger la dernière version de MSXML, reportez-vous au site Web de Microsoft à l'adresse suivante :
Plus d'informations
Des versions affectées de MSXML sont livrées en tant qu'éléments de plusieurs produits. Vous devez appliquer le correctif logiciel sur des systèmes équipés d'un des produits Microsoft suivants :
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
MSXML peut également être installé séparément. MSXML est installé en tant que DLL dans le sous-dossier System32 du dossier du système d'exploitation Windows. Pour la plupart des systèmes, il s'agit du dossier C:\Windows ou C:\winnt. Si l'un ou l'ensemble des fichiers suivants sont présents dans le dossier System32, vous avez besoin du correctif logiciel :
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Si seul Msxml.dll est présent, le correctif logiciel n'est pas utile car il s'agit d'une version antérieure non affectée.

Important Notez que le programme d'installation de ce correctif ne propose aucune fonctionnalité de désinstallation.
Références
Pour plus d'informations sur ce problème de sécurité, consultez le site Web de Microsoft à l'adresse suivante (en anglais) :
security_patch kbMSXML400preSP1fix Security Update, February 13, 2002
Propriétés

ID d'article : 317244 - Dernière mise à jour : 04/17/2006 09:21:44 - Révision : 7.0

Microsoft XML Core Services 4.0

  • kbqfe kbhotfixserver kbbug kbfix kbie600presp1fix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbsqlserv2000presp3fix kbsqlserv2000sp3fix kbwin2000presp3fix kbwin2000sp3fix kbwinxpsp1fix KB317244
Commentaires