[MS02-008] MSXML 4.0 の XMLHTTP コントロールにより、ローカル ファイルにアクセスすることができる

この脆弱性の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
318203 MS02-008: XMLHTTP Control in MSXML 3.0 Can Allow Access to Local Files
318202 MS02-008: XMLHTTP Control in MSXML 2.6 Can Allow Access to Local Files

現象

特殊な改ざんが施された Web サイトを参照すると、ユーザーのローカル ファイル システム上のファイルが攻撃者によって読み取られる可能性があるという情報漏えいの脆弱性が存在します。


攻撃者は、この脆弱性を悪用してファイルの追加、変更、および削除を行うことはできません。また、電子メールを使用して攻撃を実行することはできず、この脆弱性を悪用できるのは Web サイト経由にのみ限られます。インターネットを参照するときに常に警戒を怠らず、不明なサイトや信頼できないサイトを参照しないように気をつけているユーザーは、この脆弱性による危険性が減少します。

原因

Microsoft XML Core Services に含まれる XMLHTTP コントロールは、Internet Explorer のセキュリティ ゾーンの制限に従いません。このため、Web ページでユーザーのローカル システム上のファイルを XML データ ソースとして指定することでファイルの読み込みが可能になります。

解決方法

この問題を解決するには、Microsoft SQL Server 2000 の最新の Service Pack を入手します。関連情報を参照するには、次の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
290211 INF: How to Obtain the Latest SQL Server 2000 Service Pack
下記のファイルは、「Microsoft ダウンロード センター」からダウンロードできます。

リリース日 : 2002 年 2 月 21 日


マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
119591 How to Obtain Microsoft Support Files from Online Services
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。
修正プログラム (日本語版) の属性は次のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。


日付 バージョン サイズ ファイル名 プラットフォーム
-------------------------------------------------------------
2002/01/07 8.2.8307.0 689,424 Msxml2.dll x86

状況

マイクロソフトでは、この問題により Microsoft XML 4.0 のセキュリティにある程度の脆弱性が生じる可能性があることを認識しています。
この問題は Microsoft SQL Server 2000 Service Pack 3 で修正済みです。
この問題は Microsoft XML 4.0 Service Pack 1 で修正済みです。


最新版の MSXML をダウンロードするには、次のマイクロソフト Web サイトにアクセスしてください。

詳細

この脆弱性の影響を受ける MSXML のバージョンは多くの製品に含まれています。以下のいずれかのマイクロソフト製品を使用している場合は、システムに更新プログラムを適用する必要があります。
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
また、MSXML を個別にインストールすることもできます。MSXML は Windows の System フォルダ内の System32 サブフォルダに DLL としてインストールされます。ほとんどの場合、C:\Windows または C:\winnt の下にあります。System32 フォルダに以下のいずれかのファイルがある場合は、更新プログラムを適用する必要があります。
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Msxml.dll のみがある場合は、この脆弱性の影響を受けることのない以前のバージョンであるため、更新プログラムを適用する必要はありません。


重要 : この更新プログラム用のインストーラには、アンインストール機能がないことに注意してください。

関連情報

この脆弱性の詳細については、次のマイクロソフト Web サイトを参照してください。

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 317244 (最終更新日 2004-02-18) を基に作成したものです。
プロパティ

文書番号:317244 - 最終更新日: 2008/05/05 - リビジョン: 1

フィードバック