MS02-047: 22 sierpnia 2002, Zbiorcza poprawka dla programu Internet Explorer

Ten artykuł został opublikowany wcześniej pod numerem PL323759
Ten artykuł został zarchiwizowany. Jest oferowany „taki, jaki jest” i nie będzie już aktualizowany.
Streszczenie
Zbiorcza poprawka dla programu Internet Explorer wydana przez firmę Microsoft zawiera poprawki problemów, które opisano w następujących artykułach bazy wiedzy Microsoft Knowledge Base:
321232 MS02-023: 15 maja 2002, Zbiorcza poprawka dla programu Internet Explorer
316059 MS02-005: 11 lutego 2002, Zbiorcza poprawka dla programu Internet Explorer
319182 MS02-015: 28 marca 2002, Zbiorcza poprawka dla programu Internet Explorer
Ta zbiorcza poprawka usuwa ponadto następujące luki w zabezpieczeniach:
 • Luka przepełnienia buforu, która wpływa na obsługę protokołu Gopher. Ta luka była pierwotnie opisana w następującym biuletynie Microsoft Security Bulletin:Biuletyn zawiera instrukcje obejścia, które należało stosować, gdy jeszcze nie było tej poprawki zbiorczej.
 • Luka przepełnienia buforu dotycząca formantu ActiveX, który jest używany do wyświetlania specjalnie sformatowanego tekstu. Formant zawiera lukę umożliwiającą atakującemu uruchomienie kodu na komputerze użytkownika w imieniu tego użytkownika.
 • Luka dotycząca sposobu obsługi przez program Internet Explorer dyrektywy HTML, która wyświetla dane XML. Dyrektywa jest tak zaprojektowana, aby wyświetlać jedynie dane XML z tej samej witryny. Jednak nie działa ona poprawnie, gdy źródło danych XML jest w rzeczywistości przekierowane na źródło danych w innej domenie. Ten błąd umożliwia otwarcie przez stronę sieci Web atakującego pliku XML, który znajduje się na komputerze zdalnym w oknie przeglądarki, które może być odczytywane przez tę witrynę. Atakujący może wówczas czytać zawartość witryn sieci Web, do których ma dostęp użytkownik, a nie atakujący.
 • Luka dotycząca sposobu, w jaki program Internet Explorer przedstawia pochodzenie pliku w oknie dialogowym Pobieranie pliku. Ten błąd umożliwia atakującemu fałszywe przedstawienie źródła pliku proponowanego do pobrania, wprowadzając użytkownika w błąd, aby zaakceptował pobieranie z niezaufanego źródła, wierząc, że jest zaufane.
 • Nowo odkryty wariant luki „Weryfikacja domeny ramki”, który został opisany w biuletynie Microsoft Security Bulletin:Ten wariant występuje z powodu niepoprawnego sprawdzania domeny, gdy ramki są wywoływane w połączeniu z tagiem Object. Z powodu tego zachowania luka umożliwia złośliwemu operatorowi witryny sieci Web otwarcie dwóch okien przeglądarki, jednego w domenie witryny, a drugiego na lokalnym pliku użytkownika. Mogą one przekazywać informacje systemowe, drugie okno do pierwszego. Dzięki temu operator sieci Web może czytać, ale nie zmieniać, na lokalnym komputerze użytkownika dowolny plik, który można otworzyć w oknie przeglądarki. Ponadto ten szczególny wariant pozwala atakującemu uruchomić plik wykonywalny (.exe) na lokalnym komputerze, ale nie pozwala przekazać parametrów. Luka jest podobna do luki „Wywoływanie lokalnego pliku wykonywalnego przez tag Object” opisanej w następującym biuletynie Microsoft Security Bulletin:
 • Nowo zgłoszony wariant luki „Skrypty krzyżowe w lokalnych zasobach HTML”, który był pierwotnie opisany w następującym biuletynie Microsoft Security Bulletin:Podobnie jak wariant oryginalny, ta luka umożliwia atakującemu utworzenie strony sieci Web, która po otwarciu uruchamia strefę Komputer lokalny. Oznacza to, że może działać z mniejszymi ograniczeniami niż w strefie internetowej.
Ponadto poprawka opisana w tym artykule ustawia także bit „zabicia” formantu ActiveX MSN Chat, który jest opisany w biuletynie Microsoft Security Bulletin MS02-022 a także formant ActiveX TSAC opisany w biuletynie Microsoft Security Bulletin MS02-046Zostało to zrobione, aby uniemożliwić wprowadzenie takich formantów zawierających luki do systemów użytkowników. Firma Microsoft zaleca, aby klienci, którzy używają formantu MSN Chat, upewnili się, że została zastosowana zaktualizowana wersja formantu opisana w następującym biuletynie Microsoft Security Bulletin:Firma Microsoft zaleca, aby klienci, którzy korzystają z formantu TSAC, upewnili się, że zastosowali zaktualizowaną wersję formantu omówioną w biuletynie MS02-046: Aby uzyskać dodatkowe informacje dotyczące uniemożliwiania wykonywania formantu ActiveX w programie Internet Explorer przy użyciu bitu „zabicia”, należy kliknąć następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
240797 How to Stop an ActiveX Control from Running in Internet Explorer
Aby uzyskać dodatkowe informacje dotyczące znanych problemów, które mogą pojawić się podczas instalowania tej aktualizacji, należy kliknąć numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
325192 Problemy występujące po zainstalowaniu aktualizacji programu Internet Explorer lub systemu Windows
Aby uzyskać dodatkowe informacje dotyczące najnowszego dodatku Service Pack dla systemu Microsoft Windows 2000, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
260910 Jak uzyskać najnowszy dodatek Service Pack dla systemu Windows 2000
Więcej informacji
Aby uzyskać więcej informacji o tej poprawce, należy odwiedzić następującą witrynę firmy Microsoft w sieci Web:Następujący plik jest dostępny do pobrania w witrynie Microsoft – Centrum pobierania:
Data wydania: 22 sierpnia 2002

Aby uzyskać dodatkowe informacje o tym, jak pobierać pliki Pomocy technicznej firmy Microsoft, należy kliknąć następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
119591 Jak uzyskać pliki Pomocy technicznej Microsoft w usługach online
Firma Microsoft przeskanowała ten plik w poszukiwaniu wirusów. Firma Microsoft użyła najnowszego oprogramowania do wykrywania wirusów dostępnego w chwili opublikowania pliku. Plik jest przechowywany na serwerach o podwyższonych zabezpieczeniach, które utrudniają nieautoryzowane zmiany w pliku. Wersja programu Internet Explorer 5.01 tej aktualizacji jest przeznaczona jedynie do systemu Windows 2000 i jest także dostępna w dodatku Service Pack 3 (SP3) dla systemu Windows 2000. Aby uzyskać dodatkowe informacje, należy kliknąć numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
260910 Jak uzyskać najnowszy dodatek Service Pack dla systemu Windows 2000

Informacje o instalowaniu

Wersja programu Internet Explorer 5.5 tej aktualizacji wymaga dodatku Service Pack 2 (SP2) lub Service Pack 1 (SP1) dla programu Internet Explorer 5.5. Aby uzyskać dodatkowe informacje, należy kliknąć numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
276369 Jak uzyskać najnowszy dodatek Service Pack do programu Internet Explorer 5.5
Wersja programu Internet Explorer 5.01 tej aktualizacji jest przeznaczona jedynie do systemu Windows 2000 i wymaga dodatku Service Pack 2 (SP2) dla systemu Windows 2000. Aby uzyskać dodatkowe informacje, należy kliknąć numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
260910 Jak uzyskać najnowszy dodatek Service Pack dla systemu Windows 2000
Po zastosowaniu tej aktualizacji należy ponownie uruchomić komputer. Pakiet obsługuje następujące przełączniki:
 • /q - Określa tryb cichy lub wyłącza monity podczas wyodrębniania plików.
 • /q:u - Określa cichy tryb użytkownika, w którym pewne okna dialogowe są widoczne dla użytkownika.
 • /q:a - Określa cichy tryb administracyjny, w którym żadne okna dialogowe nie są widoczne dla użytkownika.
 • /t:<ścieżka> - Określa docelowy folder do wyodrębniania plików.
 • /c - Wyodrębnia pliki bez instalowania.
 • /c:<ścieżka> - Określa ścieżkę i nazwę pliku .inf lub .exe instalatora.
 • /r:n - Nigdy nie uruchamia ponownie komputera po instalacji.
 • /r:i - Ponownie uruchamia komputer, gdy jest to konieczne — automatycznie uruchamia komputer, jeśli jest to konieczne do zakończenia instalacji.
 • /r:a - Zawsze ponownie uruchamia komputer po instalacji.
 • /r:s - Uruchamia ponownie komputer po instalacji bez monitowania użytkownika.
 • /n:v - Bez sprawdzania wersji — instaluje program na dowolnych wcześniejszych wersjach.
Na przykład polecenie nazwa pliku /q:a /r:n powoduje instalację aktualizacji bez interwencji użytkownika i nie wymusza ponownego uruchomienia komputera.

Ostrzeżenie: Ryzyko związane z opisywanym zagrożeniem zostanie wyeliminowane dopiero po ponownym uruchomieniu komputera i zalogowaniu się jako administrator w celu ukończenia instalacji.

UWAGA: Niemożliwe jest pomyślne zainstalowanie tej aktualizacji na komputerze z systemem Windows XP w trybie nieinteraktywnym (na przykład korzystając z Harmonogramu zadań systemu Windows, programu Microsoft Systems Management Server lub programu Tivoli firmy IBM). Firma Microsoft bada ten problem i wprowadzi do tego artykułu więcej informacji, gdy będą one dostępne.

Informacje o pliku

Atrybuty pliku w wersji anglojęzycznej tej poprawki są podane w poniższej tabeli (mogą to być atrybuty nowsze). Daty i godziny ostatniej modyfikacji plików podano zgodnie z czasem UTC (Coordinated Universal Time). Są one zamieniane na czas lokalny po wyświetleniu informacji dotyczących plików. Różnicę między czasem UTC i czasem lokalnym można sprawdzić na karcie Strefa czasowa apletu Data i godzina w Panelu sterowania.

W folderze %WINDIR%\System32 są instalowane następujące pliki:
  Data    Godzina  Wersja    Rozmiar  Nazwa pliku Wersja programu Internet Explorer  --------------------------------------------------------------------------------------------  2002-07-23 15:49 6.0.2719.2200  2 759 680 Mshtml.dll  6  2002-03-05 03:09 6.0.2715.400   548 864 Shdoclc.dll 6  2002-07-23 15:51 6.0.2719.2200  1 336 320 Shdocvw.dll 6  2002-07-23 15:57 6.0.2715.400   109 568 Url.dll   6    2002-07-23 15:51 6.0.2719.2200   480 768 Urlmon.dll  6  2000-06-06 23:43 4.71.704.0     2 272 W95inf16.dll 6  2000-06-06 23:43 4.71.16.0      4 608 W95inf32.dll 6  2000-06-06 20:38 6.0.2718.400   583 168 Wininet.dll 6  2000-06-06 20:43 5.50.4134.600   92 432 Advpack.dll 5.5 SP2  2002-07-22 20:59 5.50.4919.2200 2 755 856 Mshtml.dll  5.5 SP2  2002-07-22 21:00 5.50.4919.2200 1 149 200 Shdocvw.dll 5.5 SP2  2002-03-05 01:53 5.50.4915.500   84 240 Url.dll   5.5 SP2  2002-07-22 21:01 5.50.4919.2200  451 344 Urlmon.dll  5.5 SP2  2000-06-06 20:43 4.71.704.0     2 272 W95inf16.dll 5.5 SP2  2000-06-06 20:43 4.71.16.0      4 608 W95inf32.dll 5.5 SP2  2000-06-06 21:27 5.50.4918.600   481 552 Wininet.dll 5.5 SP2  2001-12-18 15:48 5.50.4724.1700   79 120 Actxprxy.dll 5.5 SP1  2000-06-06 20:43 5.50.4134.600   92 432 Advpack.dll 5.5 SP1  2001-12-18 01:45 5.50.4724.1700   46 864 Digest.dll  5.5 SP1  2002-07-22 19:41 5.50.4731.2200 2 754 320 Mshtml.dll  5.5 SP1  2001-12-18 01:42 5.50.4724.1700  408 336 Mshtmled.dll 5.5 SP1  2001-12-18 01:43 5.50.4724.1700   71 952 Plugin.ocx  5.5 SP1  2001-12-18 15:48 5.50.4724.1700  494 352 Shdoc401.dll 5.5 SP1  2002-07-24 15:30 5.50.4731.2200 1 148 688 Shdocvw.dll 5.5 SP1  2001-12-18 14:52 5.50.4724.1700   23 312 Shfolder.dll 5.5 SP1  2002-03-05 01:53 5.50.4915.500   84 240 Url.dll   5.5 SP1  2002-07-22 19:43 5.50.4731.2200  450 832 Urlmon.dll  5.5 SP1  2000-06-06 20:43 4.71.704.0     2 272 W95inf16.dll 5.5 SP1  2000-06-06 20:43 4.71.16.0      4 608 W95inf32.dll 5.5 SP1  2002-06-11 19:33 5.50.4730.700   482 064 Wininet.dll 5.5 SP1  2000-06-06 20:43 5.50.4134.600   92 432 Advpack.dll 5.01 SP2  2001-09-09 22:31           11 264 Instcat.exe 5.01 SP2  2002-07-23 14:53 5.0.3504.2500  2 355 472 Mshtml.dll  5.01 SP2  2002-07-23 14:54 5.0.3504.2500  1 106 192 Shdocvw.dll 5.01 SP2  2002-03-05 01:53 5.50.4915.500   84 240 Url.dll   5.01 SP2  2002-07-23 14:55 5.0.3504.2500   451 344 Urlmon.dll  5.01 SP2  2000-06-06 20:43 4.71.704.0     2 272 W95inf16.dll 5.01 SP2  2000-06-06 20:43 4.71.16.0      4 608 W95inf32.dll 5.01 SP2  2000-06-06 23:56 5.0.3506.1000   461 584 Wininet.dll 5.01 SP2				
UWAGA: Z powodu zależności między plikami niniejsza aktualizacja może zawierać dodatkowe pliki.
poprawka 28
Właściwości

Identyfikator artykułu: 323759 — ostatni przegląd: 02/27/2014 18:42:33 — zmiana: 8.5

Microsoft Internet Explorer 5.5 Service Pack 1, Microsoft Internet Explorer 5.5 Service Pack 2, Microsoft Internet Explorer 5.5 Service Pack 1, Microsoft Internet Explorer 5.5 Service Pack 2, Microsoft Internet Explorer 5.5 Service Pack 1, Microsoft Internet Explorer 5.5 Service Pack 2, Microsoft Internet Explorer 5.5 Service Pack 1, Microsoft Internet Explorer 5.5 Service Pack 2, Microsoft Internet Explorer 5.5 Service Pack 1, Microsoft Internet Explorer 5.5 Service Pack 2, Microsoft Internet Explorer 5.01, Microsoft Internet Explorer 5.01, Microsoft Internet Explorer 6.0

 • kbnosurvey kbarchive kbbug kbfix kbie501presp3fix kbsecvulnerability kbie600presp1fix kbsecurity kbie550presp3fix kbsecbulletin kbwin2ksp4fix kbproductlink KB323759
Opinia