Al momento sei offline in attesa che la connessione Internet venga ristabilita

MS02-008: Il controllo XMLHTTP in MSXML 4.0 può consentire l'accesso ai file locali

Questo articolo è stato precedentemente pubblicato con il codice di riferimento I317244
Per ulteriori informazioni su questo problema di protezione, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportati di seguito:
318203 MS02-008: Il controllo XMLHTTP in MSXML 3.0 può consentire l'accesso a file locali
318202 MS02-008: Il controllo XMLHTTP in MSXML 2.6 può consentire l'accesso ai file locali
Sintomi
Esiste un problema di protezione relativo alla divulgazione di informazioni che potrebbe consentire a un utente malintenzionato di leggere il contenuto del file system locale di un utente che sta visitando un sito Web intenzionalmente modificato a tale scopo.

L'utente malintenzionato non sarà tuttavia in grado di aggiungere, modificare o eliminare file nel computer locale della vittima né sarà in grado di utilizzare la posta elettronica per sferrare tale attacco. Il problema di protezione in questione può infatti essere sfruttato solo tramite un sito Web. Gli utenti particolarmente attenti durante l'esplorazione del Web, che evitano di visitare siti sconosciuti o non attendibili, sono naturalmente meno esposti ai rischi di questo tipo di problema di protezione.
Cause
Questo problema si verifica in quanto il controllo XMLHTTP contenuto nei servizi di base di Microsoft XML non rispetta le impostazioni delle aree di protezione di Internet Explorer. Ciò consente di specificare in una pagina Web come origine dati XML un file nel sistema locale di un utente al fine di accedervi in lettura.
Risoluzione
Per risolvere questo problema è necessario ottenere la versione più recente del service pack per Microsoft SQL Server 2000. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
290211 INF: Come ottenere il più recente Service Pack per SQL Server 2000
Il seguente file è disponibile per il download dall'Area download Microsoft:
Data di rilascio: 21 febbraio 2002

Per ulteriori informazioni sul download di file di supporto Microsoft, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
119591 Come ottenere file di supporto Microsoft dai servizi online
Il file è stato controllato e non contiene virus. Microsoft ha utilizzato il software antivirus più recente disponibile al momento della data di pubblicazione del file. Il file viene salvato su server con un livello di protezione avanzata che impedisce modifiche non autorizzate. La versione in lingua inglese di questa correzione deve avere i seguenti attributi di file (o successivi):
   Data         Versione       Dimensione   Nome file     Piattaforma   ------------------------------------------------------------------   07/02/2002   4.000.9406.0   1.229.312    Msxml4.dll    x86   07/02/2002   4.000.9406.0      44.544    Msxml4a.dll   x86   07/02/2002   4.000.9406.0      82.432    Msxml4r.dll   x86

Status
Microsoft ha confermato che questo problema potrebbe comportare rischi di protezione in Microsoft XML 4.0. Il problema è stato corretto per la prima volta nel Service Pack 3 per Microsoft SQL Server 2000.Questo problema è stato corretto nel Service Pack 1 per Microsoft XML 4.0.

Per scaricare la versione più recente di MSXML, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
Informazioni
Questo problema interessa varie versioni di MSXML fornite con prodotti diversi. Si consiglia di installare questa patch nei sistemi in cui sono in uso i seguenti prodotti Microsoft:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
MSXML può essere installato anche separatamente. L'installazione di MSXML avviene come DLL nella sottocartella System32 della cartella del sistema operativo Windows. Nella maggior parte dei sistemi tale cartella sarà C:\Windows o C:\winnt. Installare la patch se nella cartella System32 sono presenti uno o più dei seguenti file:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Se nella cartella è presente solo il file Msxml.dll, non sarà necessario installare la patch, in quanto si tratta di una versione precedente non interessata dal problema in questione.

Importante Il programma di installazione dell'aggiornamento rapido per questa patch non prevede una funzione di disinstallazione.
Riferimenti
Per ulteriori informazioni su questo problema di protezione, vedere il seguente Bollettino Microsoft sulla sicurezza (informazioni in lingua inglese):
security_patch kbMSXML400preSP1fix Security Update, February 13, 2002
Proprietà

ID articolo: 317244 - Ultima revisione: 12/18/2006 06:44:26 - Revisione: 8.0

Microsoft XML Core Services 4.0

  • kbqfe kbhotfixserver kbbug kbfix kbie600presp1fix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbsqlserv2000presp3fix kbsqlserv2000sp3fix kbwin2000presp3fix kbwin2000sp3fix kbwinxpsp1fix KB317244
Feedback
ent.createElement('meta');m.name='ms.dqp0';m.content='true';document.getElementsByTagName('head')[0].appendChild(m);" onload="var m=document.createElement('meta');m.name='ms.dqp0';m.content='false';document.getElementsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?">