MS02-008: Az MSXML 4.0-s verziójának XMLHTTP-vezérlője lehetővé teheti a helyi fájlokhoz történő hozzáférést

Erről a biztonsági résről a Microsoft Tudásbázis következő cikkeiben tájékozódhat:
318203 MS02-008: Az MSXML 3.0-s verziójának XMLHTTP vezérlője lehetővé teheti a helyi fájlokhoz történő hozzáférést
318202 MS02-008: Az MSXML 2.0-s verziójának XMLHTTP vezérlője lehetővé teheti a helyi fájlokhoz történő hozzáférést (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
A jelenség
A termék biztonsági rése illetéktelen adathozzáférést tehet lehetővé: az esetleges támadó olvashatja azon felhasználók számítógépén tárolt helyi fájlokat, akik meglátogatják a támadó szándékosan hibás oldalakkal működő webhelyét.

A biztonsági rés ellenére a támadó nem adhat hozzá, nem módosíthat és nem törölhet fájlokat, és a támadás e-mailen keresztül sem hajtható végre; kizárólag egy webhely felhasználásával valósítható meg. Kevésbé fenyegeti a támadás veszélye azokat a felhasználókat, akik csak biztonságos és megbízható webhelyeket látogatnak, és kerülik az ismeretlen vagy megbízhatatlan webhelyeket.
Oka
A biztonsági rés oka az, hogy a Microsoft XML Core Services szolgáltatás XMLHTTP vezérlője nem veszi figyelembe az Internet Explorer biztonságizóna-beállításait. Ennek következtében egyes weblapok fájlolvasás céljából XML-adatforrásként jelölhetnek meg fájlokat a felhasználó helyi fájlrendszerében.
A megoldás
A probléma megoldásához szerezze be a Microsoft SQL Server 2000 legújabb javítócsomagját. A Microsoft Tudásbázis kapcsolódó cikke:
290211 Az SQL Server 2000 alkalmazás legújabb szervizcsomagjának beszerzése
A következő fájl letölthető a Microsoft letöltőközpontjából:
LetöltésAz Msxml4qfe.exe csomag letöltéseKiadás dátuma: 2002. február 21.

A Microsoft terméktámogatási fájljainak letöltéséről a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
119591 Microsoft terméktámogatási fájlok beszerzése az online szolgáltatások segítségével
A Microsoft a kiadás napján rendelkezésre álló legújabb víruskereső szoftverrel ellenőrizte a fájl vírusmentességét. A fájlt biztonságos kiszolgálók tárolják, megakadályozva annak jogosulatlan módosítását.A gyorsjavítás angol nyelvű változata a következő táblázatban található fájlattribútumokkal (vagy újabbakkal) rendelkezik. A fájlok dátuma és időpontja egyezményes világidő (UTC) szerint van megadva. A fájlinformációk megtekintése során a dátumok és időpontok helyi időre konvertálódnak. A helyi idő és az egyezményes idő közötti különbségről a Vezérlőpultról elérhető Dátum és idő párbeszédpanel Időzóna lapján tájékozódhat.
   Dátum        Verziószám      Méret     Fájlnév       Rendszer   -------------------------------------------------------------   2002.02.07.  4.00.9406.0   1 229 312   Msxml4.dll    x86   2002.02.07.  4.00.9406.0      44 544   Msxml4a.dll   x86   2002.02.07.  4.00.9406.0      82 432   Msxml4r.dll   x86				

A frissítés telepítéséhez a Windows Installer 2.0-s vagy újabb verziója szükséges. A Windows Installer 2.0-s vagy újabb verziójának telepítését követően szükség lehet a számítógép újraindítására.

A Windows Installer letöltéséhez keresse fel a Microsoft következő következő webhelyeinek egyikét:

Megjegyzés: A Windows XP rendszert futtató felhasználók kihagyhatják ezt a lépést.
Szabadon terjeszthető Windows Installer 2.0 segédprogram Windows NT 4.0 és 2000 rendszerhez
http://www.microsoft.com/downloads/details.aspx?FamilyID=4b6140f9-2d36-4977-8fa1-6f8a0f5dca8f&DisplayLang=en
Szabadon terjeszthető Windows Installer 2.0 segédprogram Windows 95, 98 és Me rendszerhez
http://www.microsoft.com/downloads/details.aspx?FamilyID=cebbacd8-c094-4255-b702-de3bb768148f%20&displaylang=en
Állapot
A Microsoft megerősítette, hogy ez a probléma bizonyos fokú sebezhetőséget jelent a Microsoft XML 4.0-s verziójában. A problémát először a Microsoft SQL Server 2000 Service Pack 3 szervizcsomagban javította a gyártó.A problémát először a Microsoft XML 4.0 Service Pack 1 szervizcsomagban javította a gyártó.
Az MSXML legfrissebb verziójának letöltéséhez látogassa meg a Microsoft alábbi webhelyét:
További információ
Az MSXML szolgáltatás érintett verziói számos más termék részeként kerülnek a felhasználókhoz, ezért a javítást a következő Microsoft-termékek bármelyikét futtató valamennyi rendszerre telepíteni kell:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
Az MSXML szolgáltatás önállóan is telepíthető, a program ekkor DLL-fájlként telepíti az összetevőt a Windows rendszer mappájának (a legtöbb esetben ez a C:\Windows vagy a C:\winnt mappa) System32 almappájába. Amennyiben a System32 mappában a következő fájlok valamelyike vagy mindegyike megtalálható, telepítse a javítást:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Nem szükséges telepíteni a javítást akkor, ha a mappában csak az Msxml.dll nevű fájlt találja, mert ez egy korábbi verziójú fájl, amelyet nem érint a probléma.

Fontos: A javítás telepítőprogramja nem rendelkezik eltávolítási funkcióval.
Hivatkozások
Erről a biztonsági résről a Microsoft alábbi webhelyén tájékozódhat:
security_patch kbMSXML400preSP1fix Security Update, February 13, 2002
プロパティ

文書番号:317244 - 最終更新日: 04/18/2007 13:52:00 - リビジョン: 12.0

Microsoft XML Core Services 4.0

  • kbbug kbfix kbwin2000presp3fix kbsqlserv2000presp3fix kbsecvulnerability kbqfe kbie600presp1fix kbwin2000sp3fix kbsecurity kbie600sp1fix kbsecbulletin kbsechack kbsqlserv2000sp3fix kbwinxpsp1fix KB317244
フィードバック