현재 오프라인 상태입니다. 인터넷에 다시 연결하기를 기다리고 있습니다.

MS02-008: MSXML 4.0의 XMLHTTP 컨트롤이 로컬 파일에 대한 액세스를 허용할 수 있다

이 문서는 이전에 다음 ID로 출판되었음: KR317244
이 보안 취약점에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
318203 MS02-008: MSXML 3.0의 XMLHTTP 컨트롤이 로컬 파일에 대한 액세스를 허용할 수 있다
318202 MS02-008: MSXML 2.6의 XMLHTTP 컨트롤이 로컬 파일에 대한 액세스를 허용할 수 있다
현상
사용자가 특수하게 변형된 웹 사이트를 방문한 경우 공격자는 해당 방문자의 로컬 파일 시스템에 있는 파일을 읽을 수 있는 정보 누출 보안 취약점이 있습니다.

공격자는 파일을 추가, 변경 또는 삭제할 수는 없으며 전자 메일을 사용하여 이 공격을 수행할 수도 없습니다. 이 보안 취약점은 오직 웹 사이트를 통해서만 악용됩니다. 알 수 없거나 신뢰할 수 없는 사이트를 방문하지 않는 등 사이트 탐색에 주의를 기울이는 사용자는 이러한 보안 취약점에 노출될 위험이 적습니다.
원인
이 보안 취약점이 발생하는 이유는 Microsoft XML Core Services의 XMLHTTP 컨트롤이 Internet Explorer 보안 영역 제한을 고려하지 않기 때문입니다. 따라서 웹 페이지는 사용자의 로컬 시스템에 있는 파일을 XML 데이터 원본으로 지정하여 읽을 수 있습니다.
해결 방법
이 문제를 해결하려면 Microsoft SQL Server 2000의 최신 서비스 팩을 구하십시오. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
290211 INF: 최신 SQL Server 2000 서비스 팩 구하기
Microsoft 다운로드 센터에서 다음 파일을 다운로드할 수 있습니다.
릴리스 날짜: 2002년 2월 21일

Microsoft 지원 파일을 다운로드하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
119591 온라인 서비스로부터 Microsoft 지원 파일을 구하는 방법
Microsoft는 파일을 게시한 날짜에 사용할 수 있는 최신의 바이러스 예방 프로그램으로 이 파일을 검사했습니다. 이 파일은 무단으로 변경할 수 없는 보안이 향상된 서버에 보관됩니다. 이 수정 프로그램의 영어 버전은 아래와 같거나 그 이상의 파일 특성을 가집니다.
날짜 버전 크기 파일 이름 플랫폼
2002-02-074.00.9406.01,229,312Msxml4.dllx86
2002-02-074.00.9406.044,544Msxml4a.dllx86
2002-02-074.00.9406.082,432Msxml4r.dllx86

현재 상태
Microsoft는 이 문제로 인해 Microsoft XML 4.0에서 일부 보안 취약점이 발생할 수 있음을 확인했습니다. 이 문제는 Microsoft SQL 2000 서비스 팩 3에서 처음 수정되었습니다.이 문제는 Microsoft XML 4.0 서비스 팩 1에서 수정되었습니다.

최신 버전의 MSXML을 다운로드하려면 다음 Microsoft 웹 사이트를 방문하십시오.
추가 정보
이러한 보안 취약점의 영향을 받는 MSXML의 버전이 일부 제품과 함께 제공됩니다. 다음 Microsoft 제품이 설치된 시스템에는 패치를 적용해야 합니다.
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
또한 MSXML을 별도로 설치할 수 있습니다. MSXML은 Windows 운영 체제 폴더의 System32 하위 폴더에서 DLL로 설치됩니다. 대부분의 시스템에서 운영 체제 폴더 경로는 C:\Windows 또는 C:\winnt입니다. System32 폴더에 다음 파일 중 하나라도 설치되어 있으면 패치를 설치해야 합니다.
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Msxml.dll은 영향을 받지 않는 이전 버전이기 때문에 Msxml.dll만 설치되어 있는 경우에는 패치를 설치할 필요가 없습니다.

중요 이 패치용 핫픽스 설치 관리자에는 제거 기능이 없습니다.
참조
이 취약점에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하십시오.



Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹에 참여하시기 바랍니다.
security_patch kbMSXML400preSP1fix Security Update, February 13, 2002
속성

문서 ID: 317244 - 마지막 검토: 12/18/2006 06:44:00 - 수정: 8.0

  • Microsoft XML Core Services 4.0
  • kbbug kbfix kbwin2000presp3fix kbsqlserv2000presp3fix kbsecvulnerability kbqfe kbie600presp1fix kbwin2000sp3fix kbsecurity kbsecbulletin kbsechack kbsqlserv2000sp3fix kbwinxpsp1fix kbhotfixserver KB317244
피드백
soft.com/ms.js'" + "'><\/script>"); >