MS02-008: Formant XMLHTTP w programie MSXML 4.0 umożliwia dostęp do plików lokalnych

Aby uzyskać dodatkowe informacje na temat tej luki, kliknij numery artykułów poniżej w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
318203 MS02-008: Formant XMLHTTP w MSXML 3.0 może umożliwić dostęp do lokalnych plików
318202 MS02-008: XMLHTTP Control in MSXML 2.0 Can Allow Access to Local Files

Symptomy

Istnieje luka dotycząca ujawniania informacji, która umożliwia atakującemu odczyt plików w lokalnym systemie plików użytkownika, który odwiedzi specjalnie zniekształconą witrynę sieci Web.

Atakujący nie mógłby dodawać, modyfikować ani usuwać plików. Ponadto nie byłby w stanie użyć poczty e-mail do przeprowadzenia tego ataku; ta luka może być wykorzystana jedynie za pomocą witryny sieci Web. Klienci, którzy zachowują ostrożność podczas przeglądania sieci Web i unikają odwiedzania nieznanych lub niezaufanych witryn, są mniej narażeni na ryzyko związane z tą luką.

Przyczyna

Przyczyną tej luki jest formant XMLHTTP w usługach Microsoft XML Core Services, który nie respektuje ograniczeń stref zabezpieczeń programu Internet Explorer. Umożliwia to stronie sieci Web określenie pliku w lokalnym systemie użytkownika jako źródła danych XML, co jest sposobem na odczytanie tego pliku.

Rozwiązanie

Aby rozwiązać ten problem, należy zaopatrzyć się w najnowszy dodatek Service Pack dla programu Microsoft SQL Server 2000. Aby uzyskać dodatkowe informacje, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
290211 INF: Jak uzyskać najnowszy dodatek Service Pack dla programu SQL Server 2000
Poniższy plik jest udostępniony do pobrania w witrynie Microsoft — Centrum pobierania:
Data wydania: 21 lutego 2002

Aby uzyskać dodatkowe informacje dotyczące sposobu pobierania plików Pomocy technicznej firmy Microsoft, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
119591 Jak uzyskać pliki Pomocy technicznej Microsoft w usługach online
Firma Microsoft przeskanowała ten plik w poszukiwaniu wirusów. Firma Microsoft użyła najnowszego oprogramowania do wykrywania wirusów dostępnego w chwili opublikowania pliku. Plik jest przechowywany na serwerach o podwyższonych zabezpieczeniach, które utrudniają nieautoryzowane zmiany w pliku.
Wersja anglojęzyczna tej poprawki powinna mieć następujące atrybuty pliku (lub nowsze):

Data Wersja Rozmiar Nazwa pliku Platforma
--------------------------------------------------------------
07-lut-2002 4.00.9406.0 1 229 312 Msxml4.dll x86
07-lut-2002 4.00.9406.0 44 544 Msxml4a.dll x86
07-lut-2002 4.00.9406.0 82 432 Msxml4r.dll x86

Stan

Firma Microsoft potwierdziła, że ten problem może stanowić pewną lukę w zabezpieczeniach programu Microsoft XML 4.0. Ten problem został po raz pierwszy rozwiązany w dodatku Service Pack 3 dla programu Microsoft SQL Server 2000.Ten problem został rozwiązany w dodatku Service Pack 1 dla programu Microsoft XML 4.0.

Aby pobrać najnowszą wersję programu MSXML, odwiedź następującą witrynę firmy Microsoft w sieci Web:

Więcej informacji

Zagrożone wersje programu MSXML są dostarczane w ramach kilku produktów. Tę poprawkę należy zastosować do systemów z którymkolwiek z następujących produktów firmy Microsoft:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
Program MSXML można również zainstalować osobno. Program MSXML jest instalowany jako biblioteka DLL w podfolderze System32 folderu systemu operacyjnego Windows. W większości systemów jest to folder C:\Windows lub C:\winnt. Jeśli w folderze System32 znajduje się którykolwiek z następujących plików, zastosowanie poprawki jest konieczne:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Jeśli znajduje się w nim tylko plik Msxml.dll, zastosowanie poprawki nie jest konieczne, ponieważ jest to starsza, niezagrożona wersja.

Ważne: Należy zwrócić uwagę, że Instalator tej poprawki nie ma funkcji dezinstalacji.

Materiały referencyjne

Aby uzyskać więcej informacji na temat tej luki, odwiedź następującą witrynę sieci Web firmy Microsoft:
Właściwości

Identyfikator artykułu: 317244 — ostatni przegląd: 18.12.2006 — zmiana: 1

Opinia