В настоящее время вы работаете в автономном режиме; ожидается повторное подключение к Интернету

MS02-008: Элемент управления XMLHTTP в MSXML 4.0 позволяет получить доступ к локальным файлам

Дополнительные сведения об этой уязвимости см. в следующих статьях базы знаний Майкрософт:
318203 MS02-008: Элемент управления XMLHTTP в MSXML 3.0 позволяет получить доступ к локальным файлам
318202 MS02-008: Элемент управления XMLHTTP в MSXML 2.0 позволяет получить доступ к локальным файлам
Проблема
Существующая уязвимость позволяет злоумышленнику просматривать файлы в локальной системе в то время, когда пользователь находится на специально разработанном веб-узле.

Злоумышленник не имеет возможности добавлять, изменять или удалять файлы. Уязвимость не может быть использована с помощью сообщения электронной почты — пользователь обязательно должен посетить специальный веб-узел. Соблюдая осторожность во время работы в Интернете, не посещая неизвестных и не заслуживающих доверия веб-узлов, риск подвергнуться такой атаке можно существенно снизить.
Причина
В основе уязвимости лежит несоблюдение элементом управления XMLHTTP из состава Microsoft XML Core Services ограничений, которые действуют в зонах безопасности Internet Explorer. Это позволяет веб-странице указать файл в локальной системе в качестве источника данных XML и, таким образом, получить возможность его просмотра.
Решение
Для решения этой проблемы необходимо установить последний пакет обновления для Microsoft SQL Server 2000. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
290211 INF: Как получить последний пакет обновления для SQL Server 2000
Загрузите следующий файл с веб-узла центра загрузки корпорации Майкрософт:
Дата выпуска: 21 февраля 2002 г.

Дополнительные сведения о загрузке файлов с узла технической поддержки корпорации Майкрософт см. в следующей статье базы знаний Майкрософт:
119591 Как загрузить файлы поддержки Майкрософт из Интернета
Корпорация Майкрософт проверила этот файл на наличие вирусов. Корпорация Майкрософт использует последние версии антивирусного программного обеспечения на момент публикации файла для проверки его на наличие вирусов. Файл хранится на закрытом сервере, предотвращающем его несанкционированное изменение. Английская версия исправления содержит версии файлов, приведенные в следующей таблице, или более поздние.
   Дата         Версия           Размер   Имя файла     Платформа   -------------------------------------------------------------   07-фев-2002  4.00.9406.0   1 229 312   Msxml4.dll    x86   07-фев-2002  4.00.9406.0      44 544   Msxml4a.dll   x86   07-фев-2002  4.00.9406.0      82 432   Msxml4r.dll   x86				

Статус
Корпорация Майкрософт подтверждает, что эта проблема может послужить причиной повышения уязвимости системы безопасности Microsoft XML 4.0. Впервые ошибка была исправлена в пакете обновления 3 (SP3) для SQL Server 2000.Исправление этой проблемы вошло в состав пакета обновления 1 (SP1) для Microsoft XML 4.0.

Для получения последней версии модуля MSXML обратитесь на веб-узел корпорации Майкрософт по следующему адресу:
Дополнительная информация
Подверженные воздействию уязвимости версии модуля MSXML входят в состав нескольких продуктов. Установить обновление необходимо в каждой системе, где используется любой из перечисленных ниже продуктов.
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
Кроме того, модуль MSXML может быть установлен отдельно в качестве библиотеки DLL в папке %Windows%\System32 (как правило, C:\Windows или C:\winnt). Установите обновление, если в папке System32 имеется хотя бы один из перечисленных ниже файлов.
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Устанавливать обновление для файла Msxml.dll не нужно, поскольку эта версия воздействию уязвимости не подвержена.

Внимание! Программа установки обновления не поддерживает функций удаления.
Ссылки
Дополнительные сведения о данной уязвимости см. на веб-узле корпорации Майкрософт по следующему адресу:
security_patch kbMSXML400preSP1fix Security Update, February 13, 2002
Свойства

Номер статьи: 317244 — последний просмотр: 12/18/2006 06:44:26 — редакция: 8.0

Microsoft XML Core Services 4.0

  • kbqfe kbhotfixserver kbbug kbfix kbie600presp1fix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbsqlserv2000presp3fix kbsqlserv2000sp3fix kbwin2000presp3fix kbwin2000sp3fix kbwinxpsp1fix KB317244
Отзывы и предложения