現在オフラインです。再接続するためにインターネットの接続を待っています

[MS02-008] MSXML 2.6 のXMLHTTP コントロールにより、ローカル ファイルにアクセスすることができる

この記事は、以前は次の ID で公開されていました: JP318202
この脆弱性の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
317244 [MS02-008] MSXML 4.0 のXMLHTTP コントロールにより、ローカル ファイルにアクセスすることができる
318203 [MS02-008] MSXML 3.0 のXMLHTTP コントロールにより、ローカル ファイルにアクセスすることができる
現象
情報漏えいの脆弱性が存在し、悪意のある Web サイトを訪れたユーザーのローカル ファイル システム上のファイルが攻撃者によって読み取られる可能性があります。

攻撃者は、この脆弱性を利用してもファイルの追加、変更、および削除を行うことはできません。また電子メールを使用してこの脆弱性を利用することはできず、Web サイトを介してのみ利用することができます。インターネットを参照するときに常に警戒を怠らず、不明なサイトおよび信頼できないサイトを訪れないように気をつけているユーザーについては、この脆弱性による危険性は軽減されます。
原因
Microsoft XML Core Services に含まれる XMLHTTP コントロールは Internet Explorer のセキュリティ ゾーンの制限を守りません。このため、ユーザーのローカル システム上のファイルを XML データ ソースとしてWeb ページ側から指定し、ファイルを読むことができます。
解決方法
マイクロソフトでは、現在この問題を修正する修正プログラムを提供中ですが、この修正プログラムはこの資料に記載されている問題の修正のみを目的としているため、攻撃されるおそれがあると判断したシステムにのみ適用してください。コンピュータの物理的なアクセス可能性、ネットワークやインターネットの接続性などの要因を評価してコンピュータの危険度を判断してください。この判断には、 マイクロソフト セキュリティ情報 が役立ちます。この修正プログラムは、製品の品質保証のために今後さらにテストを受ける場合があります。システムの危険性が高い場合は、この修正プログラムを適用することを推奨します。

この問題を解決するには、次の手順に従って修正プログラムをダウンロードするか、Microsoft Product Support Services にお問い合わせの上、修正プログラムを入手してください。Microsoft Product Support Services の電話番号リストおよびサポート料金については、次の Web ページを参照してください。

: Microsoft Support Professional が、特定のアップデートを適用することにより問題が解決されると判断した場合、まれに、通常サポート依頼にかかる料金が免除されることがあります。ただし、特定のアップデートの対象とならない追加の質問および問題については、通常のサポート料金が適用されます。

下記のファイル (日本語版) は、「Microsoft ダウンロードセンター」からダウンロードできます。
リリース日 : 2002 年 2 月 21 日

マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
119591 オンライン サービスからマイクロソフトのサポート ファイルを入手する方法
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。

修正プログラム (日本語版) の属性は次のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。
   日付         バージョン     サイズ     ファイル名     プラットフォーム   --------------------------------------------------------   2002/01/07   8.2.8307.0  689,424  Msxml2.dll    x86   

状況
マイクロソフトでは、この問題により Microsoft XML 2.0 のセキュリティにある程度の脆弱性が生じる可能性があることを確認しています。
詳細
この脆弱性に影響を受ける MSXML のバージョンは多くの製品に同梱されています。次のいずれかのマイクロソフト製品を使用している場合は、システムに修正プログラムを適用する必要があります。
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
また、MSXML を個別にインストールすることもできます。MSXML は Windows の System フォルダ内の System32 サブ フォルダにある DLL としてインストールされています。ほとんどの場合、C:\Windows または C:\winnt の下にあります。System32 フォルダに次のいずれか、またはすべてのファイルがある場合は、修正プログラムを適用する必要があります。
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Msxml.dll のみがある場合は、この脆弱性の影響を受ける以前のバージョンであるため、この修正プログラムを適用する必要はありません。

この脆弱性の詳細については、下記のマイクロソフトの Web サイトを参照してください。 このホットフィックスを無人モードでインストールするには、次のコマンド ラインの引数を使用してください。

「extracting hotfix dialog」 およびインストール後の再起動ダイアログの両者を表示させる、ホットフィックスの無人インストール
Q318202_MSXML20_x86_en.exe /q /c:"dahotfix.exe /q"
インストール後に再起動ダイアログを表示させる、ホットフィックスの完全サイレント インストール
Q318202_MSXML20_x86_en.exe /q:a /c:"dahotfix.exe /q"
インストール後に再起動ダイアログを表示させない、ホットフィックスの完全サイレント インストール
  Q318202_MSXML20_x86_en.exe /q:a /c:"dahotfix.exe /q /n"
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 318202 (最終更新日 2002-07-10) をもとに作成したものです。

security_patch Security Update, February 13, 2002
プロパティ

文書番号:318202 - 最終更新日: 04/17/2006 09:30:01 - リビジョン: 2.1

  • Microsoft XML Parser 2.6
  • kbqfe kbhotfixserver kbbug kbfix kbsecurity KB318202
フィードバック