MS02-008: O controlo XMLHTTP do MSXML 4.0 pode permitir o acesso a ficheiros locais

Este artigo poderá conter hiperligações para conteúdo em inglês (ainda não traduzido).

Para obter informações adicionais sobre esta vulnerabilidade, clique nos números de artigo existentes abaixo para visualizar os artigos na base de dados de conhecimentos da Microsoft (KB, Microsoft Knowledge Base):
318203 MS02-008: O controlo XMLHTTP do MSXML 3.0 pode permitir o acesso a ficheiros locais
318202 MS02-008: XMLHTTP Control in MSXML 2.0 Can Allow Access to Local Files
Sintomas
Existe uma vulnerabilidade de divulgação de informações que pode permitir que um atacante leia ficheiros existentes no sistema de ficheiros local de um utilizador que visite um Web site especificamente mal formado.

O atacante não poderá adicionar, alterar ou eliminar ficheiros. Para além disso, o atacante não poderá utilizar o correio electrónico para levar a cabo este ataque; a vulnerabilidade só pode ser explorada por intermédio de um Web site. Os clientes que tenham cuidado na navegação na Internet e que evitem visitar sites desconhecidos ou não fidedignos correm menos riscos associados a esta vulnerabilidade.
Causa
A vulnerabilidade existe porque o controlo XMLHTTP dos Microsoft XML Core Services não respeita as restrições de zona de segurança do Internet Explorer. Isto permite que uma página Web especifique um ficheiro no sistema de ficheiros local do utilizador como uma origem de dados XML como meio de leitura do ficheiro.
Resolução
Para resolver este problema, obtenha o Service Pack mais recente do Microsoft SQL Server 2000. Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
290211 INF: How to Obtain the Latest SQL Server 2000 Service Pack
O ficheiro que se segue está disponível para transferência a partir do centro de transferências da Microsoft:
Data de edição: 21 de Fevereiro de 2002

Para obter informações adicionais sobre como transferir ficheiros de suporte da Microsoft, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
119591 Como obter ficheiros de suporte da Microsoft a partir de serviços online
A Microsoft procedeu à detecção de vírus neste ficheiro. A Microsoft utilizou o software de detecção de vírus mais actual disponível na data em que o ficheiro foi publicado. O ficheiro está armazenado em servidores com segurança melhorada, que ajudam a impedir quaisquer alterações não autorizadas ao ficheiro. A versão inglesa desta correcção deverá ter os seguintes atributos de ficheiro ou posteriores:
   Data         Versão        Tamanho     Nome fich. Plataforma   -------------------------------------------------------------   07-Feb-2002  4.00.9406.0   1,229,312   Msxml4.dll    x86   07-Feb-2002  4.00.9406.0      44,544   Msxml4a.dll   x86   07-Feb-2002  4.00.9406.0      82,432   Msxml4r.dll   x86				

Ponto Da Situação
A Microsoft confirmou que este problema poderá provocar um certo grau de vulnerabilidade na segurança do Microsoft XML 4.0. Este problema foi corrigido pela primeira vez no Microsoft SQL Server 2000 Service Pack 3.Este problema foi corrigido pela primeira vez no Microsoft XML 4.0 Service Pack 1.

Para transferir a versão mais recente do MSXML, visite o seguinte Web site da Microsoft:
Mais Informação
As versões afectadas do MSXML são fornecidas integradas em vários produtos. Deve aplicar o patch aos sistemas com qualquer um dos seguintes produtos da Microsoft:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
O MSXML também pode ser instalado separadamente. O MSXML é instalado como uma DLL na subpasta System32 da pasta do sistema operativo Windows. Na maior parte dos sistemas, trata-se da pasta C:\Windows ou C:\winnt. Se tiver qualquer um dos seguintes ficheiros na pasta System32, necessita do patch:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Se só tiver o ficheiro Msxml.dll, não necessita do patch porque se trata de uma versão anterior e não afectada.

Importante Note que o programa de instalação deste patch não possui uma funcionalidade de desinstalação.
Referências
Para obter mais informações sobre esta vulnerabilidade, visite o seguinte Web site da Microsoft:
security_patch kbMSXML400preSP1fix Actualização de segurança, 13 de Fevereiro de 2002
Propriedades

ID do Artigo: 317244 - Última Revisão: 12/18/2006 06:44:26 - Revisão: 8.0

  • Microsoft XML Core Services 4.0
  • kbqfe kbhotfixserver kbbug kbfix kbie600presp1fix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbsqlserv2000presp3fix kbsqlserv2000sp3fix kbwin2000presp3fix kbwin2000sp3fix kbwinxpsp1fix KB317244
Esta informação foi útil?