Você está offline; aguardando reconexão

MS02-008: Formant XMLHTTP w programie MSXML 4.0 umożliwia dostęp do plików lokalnych

Aby uzyskać dodatkowe informacje na temat tej luki, kliknij numery artykułów poniżej w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
318203 MS02-008: Formant XMLHTTP w MSXML 3.0 może umożliwić dostęp do lokalnych plików
318202 MS02-008: XMLHTTP Control in MSXML 2.0 Can Allow Access to Local Files
Symptomy
Istnieje luka dotycząca ujawniania informacji, która umożliwia atakującemu odczyt plików w lokalnym systemie plików użytkownika, który odwiedzi specjalnie zniekształconą witrynę sieci Web.

Atakujący nie mógłby dodawać, modyfikować ani usuwać plików. Ponadto nie byłby w stanie użyć poczty e-mail do przeprowadzenia tego ataku; ta luka może być wykorzystana jedynie za pomocą witryny sieci Web. Klienci, którzy zachowują ostrożność podczas przeglądania sieci Web i unikają odwiedzania nieznanych lub niezaufanych witryn, są mniej narażeni na ryzyko związane z tą luką.
Przyczyna
Przyczyną tej luki jest formant XMLHTTP w usługach Microsoft XML Core Services, który nie respektuje ograniczeń stref zabezpieczeń programu Internet Explorer. Umożliwia to stronie sieci Web określenie pliku w lokalnym systemie użytkownika jako źródła danych XML, co jest sposobem na odczytanie tego pliku.
Rozwiązanie
Aby rozwiązać ten problem, należy zaopatrzyć się w najnowszy dodatek Service Pack dla programu Microsoft SQL Server 2000. Aby uzyskać dodatkowe informacje, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
290211 INF: Jak uzyskać najnowszy dodatek Service Pack dla programu SQL Server 2000
Poniższy plik jest udostępniony do pobrania w witrynie Microsoft — Centrum pobierania:
Data wydania: 21 lutego 2002

Aby uzyskać dodatkowe informacje dotyczące sposobu pobierania plików Pomocy technicznej firmy Microsoft, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
119591 Jak uzyskać pliki Pomocy technicznej Microsoft w usługach online
Firma Microsoft przeskanowała ten plik w poszukiwaniu wirusów. Firma Microsoft użyła najnowszego oprogramowania do wykrywania wirusów dostępnego w chwili opublikowania pliku. Plik jest przechowywany na serwerach o podwyższonych zabezpieczeniach, które utrudniają nieautoryzowane zmiany w pliku. Wersja anglojęzyczna tej poprawki powinna mieć następujące atrybuty pliku (lub nowsze):
   Data         Wersja        Rozmiar     Nazwa pliku   Platforma   --------------------------------------------------------------   07-lut-2002  4.00.9406.0   1 229 312   Msxml4.dll    x86   07-lut-2002  4.00.9406.0      44 544   Msxml4a.dll   x86   07-lut-2002  4.00.9406.0      82 432   Msxml4r.dll   x86				

Stan
Firma Microsoft potwierdziła, że ten problem może stanowić pewną lukę w zabezpieczeniach programu Microsoft XML 4.0. Ten problem został po raz pierwszy rozwiązany w dodatku Service Pack 3 dla programu Microsoft SQL Server 2000.Ten problem został rozwiązany w dodatku Service Pack 1 dla programu Microsoft XML 4.0.

Aby pobrać najnowszą wersję programu MSXML, odwiedź następującą witrynę firmy Microsoft w sieci Web:
Więcej informacji
Zagrożone wersje programu MSXML są dostarczane w ramach kilku produktów. Tę poprawkę należy zastosować do systemów z którymkolwiek z następujących produktów firmy Microsoft:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
Program MSXML można również zainstalować osobno. Program MSXML jest instalowany jako biblioteka DLL w podfolderze System32 folderu systemu operacyjnego Windows. W większości systemów jest to folder C:\Windows lub C:\winnt. Jeśli w folderze System32 znajduje się którykolwiek z następujących plików, zastosowanie poprawki jest konieczne:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Jeśli znajduje się w nim tylko plik Msxml.dll, zastosowanie poprawki nie jest konieczne, ponieważ jest to starsza, niezagrożona wersja.

Ważne: Należy zwrócić uwagę, że Instalator tej poprawki nie ma funkcji dezinstalacji.
Materiały referencyjne
Aby uzyskać więcej informacji na temat tej luki, odwiedź następującą witrynę sieci Web firmy Microsoft:
poprawka_zabezpieczeń kbMSXML400preSP1fix aktualizacja zabezpieczeń, 13 lutego 2002
Propriedades

ID do Artigo: 317244 - Última Revisão: 12/18/2006 06:44:26 - Revisão: 8.0

Microsoft XML Core Services 4.0

  • kbqfe kbhotfixserver kbbug kbfix kbie600presp1fix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbsqlserv2000presp3fix kbsqlserv2000sp3fix kbwin2000presp3fix kbwin2000sp3fix kbwinxpsp1fix KB317244
Comentários
rePV = 0; var varClickTracking = 1; var varCustomerTracking = 1; var Route = "76500"; var Ctrl = ""; document.write(" = 1; var Route = "76500"; var Ctrl = ""; document.write(" ript type="text/javascript" src="https://c.microsoft.com/ms.js">