Al momento sei offline in attesa che la connessione Internet venga ristabilita

MS02-008: Il controllo XMLHTTP in MSXML 2.6 può consentire l'accesso ai file locali

Per ulteriori informazioni su questo problema di protezione, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportati di seguito (il contenuto potrebbe essere in inglese):
317244 MS02-008: Il controllo XMLHTTP in MSXML 4.0 può consentire l'accesso a file locali
318203 MS02-008: Il controllo XMLHTTP in MSXML 3.0 può consentire l'accesso a file locali
Sintomi
Esiste un problema di protezione relativo alla divulgazione di informazioni che potrebbe consentire a un utente malintenzionato di leggere file del file system locale di un utente che sta visitando un sito Web intenzionalmente modificato a tale scopo.

L'utente malintenzionato non sarà tuttavia in grado di aggiungere, modificare o eliminare file nel computer locale della vittima, né sarà in grado di utilizzare la posta elettronica per sferrare tale attacco. Il problema di protezione in questione può infatti essere sfruttato solo tramite un sito Web. Gli utenti particolarmente attenti durante l'esplorazione del Web, che evitano di visitare siti sconosciuti o non attendibili, corrono naturalmente minori rischi a causa di questo tipo di problema di protezione.
Cause
Questo problema si verifica in quanto il controllo XMLHTTP contenuto nei servizi di base di Microsoft XML non rispetta le impostazioni delle aree di protezione di Internet Explorer. Ciò consente a una pagina Web di specificare come origine dati XML un file nel sistema locale di un utente al fine di poterlo leggere.
Risoluzione
È disponibile una correzione supportata da Microsoft, che è tuttavia destinata esclusivamente alla correzione del problema descritto in questo articolo. Applicarla solo ai computer che si ritengono soggetti al rischio di attacchi. Per determinare il livello di rischio cui è soggetto il computer, valutarne attentamente il grado di accessibilità fisica, la connessione di rete e a Internet e altri fattori. Vedere il relativo Bollettino Microsoft sulla sicurezza all'indirizzo Bollettino Microsoft sulla sicurezza (informazioni in lingua inglese) per determinare il livello di rischio. È possibile che su questa correzione vengano eseguite ulteriori verifiche. Se il computer è a rischio, si consiglia di applicare la correzione dell'errore immediatamente.

Per risolvere immediatamente questo problema, scaricare la correzione come indicato in questo articolo oppure contattare il Servizio Supporto Tecnico Clienti Microsoft. Per un elenco completo di numeri di telefono del Servizio Supporto Tecnico Clienti Microsoft (PSS) e per informazioni sui costi dell'assistenza, visitare il sito Web Microsoft all'indirizzo:NOTA: in casi particolari, le spese normalmente addebitate per le chiamate al servizio di supporto potrebbero essere annullate qualora un addetto del Supporto Tecnico Clienti Microsoft dovesse determinare che uno specifico aggiornamento risolverà il problema. I normali costi del Servizio Supporto Tecnico Clienti verranno applicati per eventuali ulteriori domande e problemi che non dovessero rientrare nello specifico aggiornamento in questione.

Il seguente file è disponibile per il download dall'Area download Microsoft (l'installazione è in inglese):
Data di rilascio: 21 febbraio 2002

Per ulteriori informazioni sul download di file di supporto Microsoft, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
119591 Come ottenere file di supporto Microsoft dai servizi online
Il file è stato controllato e non contiene virus. Microsoft ha utilizzato il software antivirus più recente disponibile alla data di pubblicazione del file. Il file viene salvato su server con un livello di protezione avanzata che impedisce modifiche non autorizzate. La versione in lingua inglese di questa correzione deve avere i seguenti attributi di file (o successivi):
   Data         Versione     Dimensione   Nome file    Piattaforma   ---------------------------------------------------------------   08/01/2002   8.2.8307.0   689.424      Msxml2.dll   x86				
Nota: per installare automaticamente la patch senza eseguire il riavvio, utilizzare i seguenti parametri: /q:a /c:"dahotfix /q /n"
Status
Microsoft ha confermato che questo problema potrebbe comportare rischi di protezione in Microsoft XML 2.0.
Informazioni
Questo problema interessa varie versioni di MSXML fornite con prodotti diversi. Si consiglia di installare questa patch nei sistemi in cui sono in uso i seguenti prodotti Microsoft:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
MSXML può essere installato anche separatamente. MSXML è installato come DLL nella sottocartella System32 della cartella del sistema operativo Windows. Nella maggior parte dei sistemi, tale cartella sarà C:\Windows o C:\winnt. Installare la patch se nella cartella System32 sono presenti uno o più dei seguenti file:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Se nella cartella è presente solo il file Msxml.dll, non sarà necessario installare la patch, in quanto si tratta di una versione precedente, non interessata dal problema in questione.

Per ulteriori informazioni su questo problema di protezione, visitare il seguente sito Web Microsoft (informazioni in lingua inglese): Per installare questa correzione rapida in modalità automatica, utilizzare i seguenti argomenti della riga di comando.

Installazione automatica della correzione rapida durante la quale viene visualizzata la finestra relativa all'estrazione della correzione rapida e una finestra di dialogo di riavvio finale:
Q318202_MSXML20_x86.exe /q /c:"dahotfix.exe /q"				
Installazione completamente automatica della correzione rapida senza interazione con l'utente, nella quale viene comunque visualizzata una finestra di dialogo di riavvio finale:
Q318202_MSXML20_x86.exe /q:a /c:"dahotfix.exe /q"				
Installazione completamente automatica della correzione rapida senza interazione con l'utente e senza la visualizzazione della finestra di dialogo di riavvio finale:
Q318202_MSXML20_x86.exe /q:a /c:"dahotfix.exe /q /n"				
security_patch Security Update, February 13, 2002
Proprietà

ID articolo: 318202 - Ultima revisione: 04/17/2006 09:24:13 - Revisione: 4.0

Microsoft XML Parser 2.6

  • kbqfe kbhotfixserver kbbug kbfix kbsecbulletin kbsechack kbsecurity kbsecvulnerability KB318202
Feedback