MS02-008: Besturingselement XMLHTTP in MSXML 4.0 kan toegang tot lokale bestanden verschaffen

Voor meer informatie over dit beveiligingslek klikt u op de volgende artikelnummers in de Microsoft Knowledge Base:
318203 MS02-008: Besturingselement XMLHTTP in MSXML 3.0 kan toegang tot lokale bestanden verschaffen
318202 MS02-008: XMLHTTP Control in MSXML 2.0 Can Allow Access to Local Files

Symptomen

Er is sprake van een beveiligingslek bij het vrijgeven van informatie waardoor een aanvaller bestanden kan lezen op het lokale bestandssysteem van een gebruiker die een gemanipuleerde website bezoekt.

De aanvaller kan geen bestanden toevoegen, wijzigen of verwijderen. Bovendien kan de aanvaller geen e-mail gebruiken om de aanval uit te voeren. Het beveiligingslek kan alleen worden misbruikt via een website. Klanten die voorzichtig zijn en geen onbekende of onbetrouwbare websites bezoeken, lopen minder risico met dit beveiligingslek.

Oorzaak

Het beveiligingsprobleem doet zich voor omdat het besturingselement XMLHTTP in de Microsoft XML Core Services de beperkingen in de beveiligingszones van Internet Explorer negeert. Hierdoor kan een bestand op het lokale systeem van een gebruiker worden gespecificeerd als een XML-gegevensbron zodat het bestand kan worden gelezen.

Oplossing

U lost dit probleem op door het meest recente service pack voor Microsoft SQL Server 2000 op te halen. Voor meer informatie klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
290211 INF: How to Obtain the Latest SQL Server 2000 Service Pack
U kunt het volgende bestand downloaden van het Microsoft Downloadcentrum:
Releasedatum: 21.02.02

Als u meer informatie wilt over het downloaden van Microsoft-ondersteuningsbestanden, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
119591 How to Obtain Microsoft Support Files from Online Services
Microsoft heeft dit bestand op virussen gecontroleerd. Hiervoor is de meest actuele software voor virusdetectie gebruikt die beschikbaar was op de datum dat het bestand werd gepubliceerd. Het bestand is ondergebracht op beveiligde servers die onbevoegde wijzigingen aan het bestand helpen verhinderen.
De Engelse versie van deze correctie moet de volgende (of latere) bestandskenmerken hebben:

Datum Versie Grootte Bestandsnaam Platform
-------------------------------------------------------------
07-feb-2002 4.00.9406.0 1.229.312 Msxml4.dll x86
07-feb-2002 4.00.9406.0 44.544 Msxml4a.dll x86
07-feb-2002 4.00.9406.0 82.432 Msxml4r.dll x86

Status

Microsoft heeft bevestigd dat dit probleem de beveiliging van Microsoft XML 4.0 kan verminderen. In Service Pack 3 voor Microsoft SQL Server 2000 werd voor het eerst een correctie aangebracht voor dit probleem.Dit probleem is opgelost in Microsoft XML 4.0 Service Pack 1.

Als u de meest recente versie van MSXML wilt downloaden, gaat u naar de volgende Microsoft-website:

Meer informatie

Verschillende producten bevatten kwetsbare versies van MSXML. U moet de patch toepassen op systemen met een van de volgende Microsoft-producten:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
MSXML kan ook afzonderlijk worden geïnstalleerd. MSXML wordt geïnstalleerd als een DLL in de submap System32 van de map met het Windows-besturingssysteem. Op de meeste systemen is dat C:\Windows of C:\winnt. U hebt de patch nodig als een of meer van de volgende bestanden zich in de map System32 bevindt:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Als u alleen over Msxml.dll beschikt, hebt u de patch niet nodig aangezien dit een eerdere, niet-kwetsbare versie is.

Belangrijk Het hotfix-installatieprogramma voor deze patch beschikt niet over een functie voor verwijderen.

Referenties

Als u meer informatie wilt over deze zwakke plek, gaat u naar de volgende Microsoft-website:
Eigenschappen

Artikel-id: 317244 - Laatst bijgewerkt: 18 dec. 2006 - Revisie: 1

Feedback