MS02-008: MSXML 4.0'daki XMLHTTP denetimleri yerel dosyalara erişime izin verebilir

Bu güvenlik açığı hakkında ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:

318203 MS02-008: MSXML 3.0'daki XMLHTTP Denetimi Yerel Dosyalara Erişime İzin Verebilir
318202 MS02-008: MSXML 2.0'daki XMLHTTP denetimleri yerel dosyalara erişime izin verebilir (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir)

Belirtiler

Bir saldırganın, özel olarak hatalı biçimlendirilmiş bir Web sitesini ziyaret eden bir kullanıcının yerel dosya sistemindeki dosyaları okumasına olanak sağlayan bir bilginin açığa çıkması güvenlik açığı bulunmaktadır.

Saldırgan, dosya ekleyemez, değiştiremez ve silemez. Ayrıca saldırgan, bu saldırıyı gerçekleştirmek için e-posta kullanamaz; güvenlik açığından yalnızca bir Web sitesi aracılığıyla yararlanılabilir. Gezerken dikkatli olan ve bilinmeyen veya güvenilmeyen siteleri ziyaret etmekten kaçınan müşterilerimiz bu güvenlik açığından daha az etkilenir.

Neden

Güvenlik açığı, Microsoft XML Çekirdek Hizmetleri'ndeki XMLHTTP denetiminin Internet Explorer Güvenlik Bölgesi kısıtlamalarına uygun davranmaması nedeniyle oluşur. Bu, bir Web sayfasının kullanıcının yerel sistemindeki bir dosyayı okumak için dosyayı bir XML veri kaynağı olarak belirtmesine olanak sağlar.

Çözüm

Bu sorunu gidermek için, en son Microsoft SQL Server 2000 hizmet paketini edinin. Ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
290211 En son SQL Server 2000 hizmet paketi nasıl elde edilir
Aşağıdaki dosya Microsoft Yükleme Merkezi'nden yüklenebilir:
Karşıdan Yükle Msxml4qfe.exe paketini şimdi karşıdan yükle.Yayın Tarihi: 21 Şubat 2002

Microsoft Destek dosyalarını karşıdan yükleme hakkında ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
119591 Microsoft Destek Dosyaları Çevrimiçi Hizmetler'den Nasıl Alınır
Microsoft bu dosyada virüs taraması yapmıştır. Microsoft, dosyanın kullanıma sunulduğu tarihteki en güncel virüs tarama yazılımını kullanmıştır. Dosya, üzerinde herhangi bir yetkisiz değişiklik yapılmasını engellemeye yardım eden geliştirilmiş güvenliğe sahip sunucularda depolanır.
Bu düzeltmenin İngilizce sürümü, aşağıdaki tabloda listelenen dosya özniteliklerine (veya daha yeni dosya öznitelikleri) sahiptir. Bu dosyalarla ilgili tarihler ve saatler UTC (eşgüdümlü evrensel saat) kullanılarak listelenmiştir. Dosya bilgilerini görüntülediğinizde yerel saate dönüştürülür. UTC ve yerel saat arasındaki farkı bulmak için, Denetim Masası'ndaki Tarih ve Saat aracında Saat Dilimi sekmesini kullanın.

Tarih Sürüm Boyut Dosya adı Platform
-------------------------------------------------------------
07 Şub 2002 4.00.9406.0 1.229.312 Msxml4.dll x86
07 Şub 2002 4.00.9406.0 44.544 Msxml4a.dll x86
07 Şub 2002 4.00.9406.0 82.432 Msxml4r.dll x86
Bu düzeltmenin yüklenebilmesi için Windows Installer 2.0 veya sonraki bir sürümü gerekir. Windows Installer 2.0'ı veya Windows Installer'ın sonraki bir sürümünü yükledikten sonra bilgisayarınızı yeniden başlatmanız gerekebilir.

Windows Installer'ı karşıdan yüklemek için, aşağıdaki Microsoft Web sitelerinden birini ziyaret edin:

Not Windows XP kullanıcıları bu adımı atlayabilir.
Windows NT 4.0 ve 2000 için Yeniden Dağıtılabilen Windows Installer 2.0
http://www.microsoft.com/downloads/details.aspx?FamilyID=4b6140f9-2d36-4977-8fa1-6f8a0f5dca8f&DisplayLang=en

Durum

Microsoft, bu sorunun Microsoft XML 4.0'da bir ölçüde güvenlik açığına neden olabileceğini onaylamıştır. Bu sorun ilk olarak Microsoft SQL Server 2000 Service Pack 3'te giderilmiştir.Bu sorun Microsoft XML 4.0 Service Pack 1'de giderilmiştir.
MSXML'nin en son sürümünü karşıdan yüklemek için aşağıdaki Microsoft Web sitesini ziyaret edin:

Daha fazla bilgi

MSXML'nin etkilenen sürümleri birkaç ürünün parçası olarak gelir. Düzeltme ekini, aşağıdaki Microsoft ürünlerinden biri bulunan sistemlere uygulamanız gerekir:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
MSXML ayrı olarak da yüklenebilir. MSXML, Windows işletim sistemi klasörünün System32 alt klasörüne bir DLL dosyası olarak yüklenir. Çoğu sistemde bu C:\Windows veya C:\winnt klasörü olacaktır. System32 klasöründe aşağıdaki dosyalardan biri veya tümü varsa düzeltme ekini uygulamalısınız:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Yalnızca Msxml.dll dosyası varsa, daha eski ve etkilenmeyen bir sürüm olduğu için düzeltme ekini uygulamanız gerekmez.

Önemli Bu düzeltme ekinin yükleyicisinde kaldırma özelliği yoktur.

Referanslar

Bu güvenlik açığı hakkında daha fazla bilgi için, aşağıdaki Microsoft Web sitesine bakın:
Özellikler

Makale No: 317244 - Son İnceleme: 21 Şub 2007 - Düzeltme: 1

Geri bildirim