MS06-061: Luki w zabezpieczeniach programu Microsoft XML Core Services umożliwia zdalne wykonywanie kodu

WPROWADZENIE

Firma Microsoft wydała biuletyn MS06-061 dotyczący zabezpieczeń. Ten biuletyn zawiera wszystkie informacje dotyczące aktualizacji zabezpieczeń. Te informacje obejmują manifest pliku i opcje wdrażania. Aby przejrzeć pełny biuletyn zabezpieczeń, odwiedź jedną z następujących witryn firmy Microsoft w sieci Web:

Informacje o dodatku Service Pack

Ten problem został po raz pierwszy rozwiązany w dodatku Service Pack 3 dla pakietu Microsoft Office 2003. Aby rozwiązać ten problem, użyj najnowszego dodatku Service Pack dla pakietu Office 2003. Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
870924 Jak uzyskać najnowszy dodatek Service Pack dla pakietu Office 2003

Znane problemy związane z tą aktualizacją zabezpieczeń

 • Jeżeli zainstalowanych jest kilka wersji programu Microsoft XML Parser lub Microsoft XML Core Services (MSXML), konieczna może być instalacja wielu pakietów dla tej aktualizacji zabezpieczeń. Ponadto, jeżeli wersja programu MSXML jest instalowana po zainstalowaniu tej aktualizacji zabezpieczeń, konieczna może być instalacja dodatkowego pakietu dla tej aktualizacji zabezpieczeń. Aby uzyskać więcej informacji dotyczących różnych wersji programu MSXML dostępnych lub uwzględnianych w różnych produktach lub aktualizacjach oprogramowania firmy Microsoft, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

  269238 Lista wersji programu Microsoft XML Parser (MSXML)
 • Po zainstalowaniu oryginalnej wersji aktualizacji zabezpieczeń 924191 dla systemu Windows 2000 z dodatkiem Service Pack 4, bit kasacji identyfikatorów klasy analizatora składni XML firmy Microsoft (MSXML) wersji 2.6 jest nieprawidłowo ustawiony na wartość 0x00000190 (400), a nie 0x00000400 (1024). 19 października 2006 r. firma Microsoft wydała nową wersję tej aktualizacji zabezpieczeń celem rozwiązania problemu.  Uwaga: W przypadku wcześniejszego zainstalowania oryginalnej aktualizacji zabezpieczeń dla systemu Windows 2000, nowa aktualizacja zabezpieczeń wydana 19 października 2006 r. nie aktualizuje poprawnie informacji o wersji wyświetlanej w oknie Dodaj lub usuń programy. Poprawny numer wersji to 0061014.135844. Jednak wyświetlana informacja o wersji to 20060915.123522. Można zignorować ten problem. W takim przypadku bit kasacji jest poprawnie aktualizowany w rejestrze identyfikatorów klasy wersji 2.6 programu MSXML.
 • Po zainstalowaniu tej aktualizacji zabezpieczeń nie można korzystać z programu Microsoft XML Parser w wersji 2.6 w programie Microsoft Internet Explorer. Takie zachowanie jest zgodne z projektem programu. Pakiet aktualizacji zabezpieczeń 924191 ustawia „bit kasacji” dla tej wersji programu MSXML. „Bit kasacji” zapobiega uruchomieniu składnika w programie Internet Explorer.

  Uwaga: Deweloperzy używający identyfikatorów programów (ProgID) zależnych od programu MSXML w wersji 2.6 w aplikacji muszą aktualizować identyfikatory ProgID do korzystania z programu MSXML 3.0.

  Kod przykładowy, w którym wykorzystano identyfikator ProgID zależny od programu MSXML w wersji 2.6
  var o = new ActiveXObject("Msxml2.DOMDocument.2.6");
  Kod przykładowy, w którym wykorzystano identyfikator ProgID zależny od programu MSXML w wersji 3.0
  var o = new ActiveXObject("Msxml2.DOMDocument.3.0");
  Wersja 924191 aktualizacji zabezpieczeń dla tego wydania ustawia "kill bit" dla MSXML 2.6 CLSIDs jak w poniższej tabeli:
  identyfikator GUIDNazwa symboliczna
  f5078f22-c551-11d3-89b9-0000f81fe221CLSID_XMLDocument26
  f5078f22-c551-11d3-89b9-0000f81fe221CLSID_DOMDocument26
  f5078f1c-c551-11d3-89b9-0000f81fe221CLSID_FreeThreadedDOMDocument26
  f5078f1d-c551-11d3-89b9-0000f81fe221CLSID_XMLSchemaCache26
  f5078f1e-c551-11d3-89b9-0000f81fe221CLSID_XMLHTTP26
  f5078f21-c551-11d3-89b9-0000f81fe221CLSID_XSLTemplate26
  f5078f1f-c551-11d3-89b9-0000f81fe221CLSID_DSOControl26
  f5078f20-c551-11d3-89b9-0000f81fe221CLSID_XMLParser26
  f5078f28-c551-11d3-89b9-0000f81fe221CLSID_Viewer26
  f5078f29-c551-11d3-89b9-0000f81fe221CLSID_BufferedMoniker26
  f5078f26-c551-11d3-89b9-0000f81fe221CLSID_XSLPatternFactory26
 • Pakiety aktualizacji zabezpieczeń 925672 i 925673 dla programu MSXML 4.0 z dodatkiem Service Pack 2 (SP2) i programu MSXML 6.0 są pełnymi pakietami instalacyjnymi. Za pomocą tych pakietów można zainstalować program MSXML 4.0 z dodatkiem SP2 lub MSXML 6.0 na komputerze, na którym nie zainstalowano wcześniejszych wersji programu MSXML 4.0 lub MSXML 6.0. Tych pakietów można również użyć w celu zaktualizowania istniejącej instalacji programu MSXML 4.0, MSXML 4.0 z dodatkiem SP1 lub MSXML 6.0.
 • Rozszerzenia Windows Update i Microsoft Update oferują pakiety aktualizacji zabezpieczeń 925672 i 925673, tylko jeśli starsza wersja programu MSXML 4.0 z dodatkiem SP2 lub MSXML 6.0 jest już zainstalowana na komputerze. Jeśli na komputerze nie ma zainstalowanej starszej wersji programu MSXML 4.0 z dodatkiem SP2 lub MSXML 6.0, pobierz te pakiety z Centrum pobierania firmy Microsoft i je zainstaluj.
 • Rozszerzenia Windows Update i Microsoft Update nie oferują aktualizacji zabezpieczeń 925672, jeśli na komputerze jest zainstalowany program MSXML 4.0 lub MSXML 4.0 z dodatkiem SP1. Aby zaktualizować program MSXML 4.0 lub MSXML 4.0 z dodatkiem SP1, należy zastosować jedną z poniższych metod:
 • W poniższych tabelach podano informacje o plikach instalowanych razem z pakietami aktualizacji zabezpieczeń 925672 i 925673 dla programu MSXML 4.0 z dodatkiem SP2 oraz MSXML 6.0.

  Program MSXML 6.0 nie jest zainstalowany
  Nazwa plikuWersjaDataGodzinaRozmiar
  Msxml4.dll6.0.3888.01-wrz-0612:081,27 MB
  Msxml6r.dll6.0.3883.019-lip-0610:5584,6 KB
  Program MSXML 6.0 jest zainstalowany
  Nazwa plikuWersjaDataGodzinaRozmiar
  Msxml4.dll6.0.3888.01-wrz-0612:081,27 MB
  Program MSXML 4.0 nie jest zainstalowany
  Nazwa plikuWersjaDataGodzinaRozmiar
  Msxml4.dll4.20.9839.012-wrz-065:511216 KB
  Msxml4r.dll4.10.9404.012-lip-065:4980,5 KB
  Uwaga: Ta aktualizacja zabezpieczeń jest instalowana zarówno w folderze %SystemRoot%\System32, jak i folderze wspólnym.

  Program MSXML 4.0 jest zainstalowany
  Nazwa plikuWersjaDataGodzinaRozmiar
  Msxml4.dll4.20.9839.012-wrz-065:5311,18 MB
  Uwaga: Ta aktualizacja zabezpieczeń jest instalowana zarówno w folderze %SystemRoot%\System32, jak i folderze wspólnym.
 • W przypadku odinstalowania aktualizacji zabezpieczeń 925673 dla programu MSXML 6.0, program MSXML 6.0 jest całkowicie odinstalowywany z komputera.
 • Pakiet aktualizacji zabezpieczeń 925672 dla programu MSXML 4.0 z dodatkiem SP2 nie obsługuje pełnego odinstalowania programu MSXML 4.0, ponieważ ta wersja programu MSXML jest instalowana w trybie „obok”. Celem obejścia tego problemu należy wykonać następujące kroki:
  1. Usuń aktualizację zabezpieczeń 925672 za pomocą funkcji Dodaj lub usuń programy.
  2. Usuń plik MSXML4.dll z folderu %SystemRoot%\System32.
  3. Napraw program MSXML 4.0 za pomocą funkcji Dodaj lub usuń programy.
  Wcześniejsze wersje plików Msxml4.dll i Msxml4r.dll są przywracane zarówno z folderze %SystemRoot%\System32, jak i w folderze wspólnym.
 • Pakiety aktualizacji zabezpieczeń dla programu MSXML 3.0 aktualizują tylko plik MSXML3.dll. Pliki zasobów nie są aktualizowane w przypadku tej wersji.
 • Po zainstalowaniu tej aktualizacji zabezpieczeń mogą wystąpić nieoczekiwane problemy z działaniem aplikacji Microsoft Commerce Server 2002 Business Desk. Aby uzyskać więcej informacji dotyczących tego problemu, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

  926509 Podczas prób uzyskania dostępu do aplikacji Commerce Server Business Desk po zaktualizowaniu komputera przy użyciu najnowszych aktualizacji zabezpieczeń może wystąpić nieoczekiwane zachowanie

Dodatkowe pakiety dla tej aktualizacji zabezpieczeń

Pakiety aktualizacji zabezpieczeń dla tej wersji używają tego numeru artykułu bazy wiedzy Knowledge Base (924191) i następujących numerów artykułów bazy wiedzy Knowledge Base.
 • 925673 MS06-061: Aktualizacja zabezpieczeń programu Microsoft XML Core Services 6.0
 • 925672 MS06-061: Aktualizacja zabezpieczeń dla programu Microsoft XML Core Services 4.0 z dodatkiem SP2
 • 924424 Opis aktualizacji zabezpieczeń pakietu Office 2003: 10 października 2006
Właściwości

Identyfikator artykułu: 924191 — ostatni przegląd: 17.07.2008 — zmiana: 1

Opinia