Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

MS02-008: XMLHTTP Control trong MSXML 2.6 có thể cho phép truy nhập tới tệp cục bộ

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:318202
Để có thêm thông tin về lỗ hổng này, bấm số bài viết sau để xem các bài viết trong kiến thức Microsoft Cơ sở:
317244MS02-008: XMLHTTP Control trong MSXML 4.0 có thể cho phép truy nhập tới tệp cục bộ
318203 MS02-008: XMLHTTP Control trong MSXML 3,0 có thể cho phép truy nhập tới tệp cục bộ
TRIỆU CHỨNG
Một lỗ hổng tiết lộ thông tin tồn tại mà có thể cho phép kẻ tấn công để đọc tập tin trên hệ thống tập tin địa phương của một người sử dụng ai ghé thăm một đặc biệt bị thay đổi trang web.

Những kẻ tấn công sẽ không thể thêm, thay đổi hoặc xóa bỏ các tệp. Ngoài ra, những kẻ tấn công không sẽ có thể sử dụng thư điện tử để thực hiện các cuộc tấn công này; các lỗ hổng chỉ có thể được khai thác bởi cách của một trang Web. Khách hàng chú ý khi duyệt và tránh ghé thăm không rõ hoặc không đáng tin cậy các trang web có ít nguy cơ từ lỗ hổng này.
NGUYÊN NHÂN
Các lỗ hổng tồn tại bởi vì XMLHTTP kiểm soát trong các Dịch vụ cốt lõi của Microsoft XML không tôn trọng bảo mật Internet Explorer Khu vực hạn chế. Điều này cho phép một trang Web để xác định một tập tin vào một người sử dụng của địa phương hệ thống như một nguồn dữ liệu XML như một phương tiện để đọc tập tin.
GIẢI PHÁP
Một hotfix được hỗ trợ là bây giờ có sẵn từ Microsoft, nhưng nó chỉ là nhằm khắc phục sự cố mà bài này mô tả. Nó chỉ áp dụng cho hệ thống mà bạn xác định có nguy cơ bị tấn công. Đánh giá khả năng truy cập vật lý của máy tính, mạng và kết nối Internet và các yếu tố khác để xác định mức độ rủi ro cho máy tính. Xem các liên kết Microsoft Security Bulletin để giúp xác định mức độ rủi ro. Hotfix này có thể nhận được thử nghiệm bổ sung. Nếu máy tính đầy đủ có nguy cơ, chúng tôi khuyên bạn áp dụng hotfix này bây giờ.

Để giải quyết vấn đề này ngay lập tức, tải về các hotfix bằng cách làm theo các hướng dẫn sau này trong bài viết này hoặc liên hệ với dịch vụ hỗ trợ sản phẩm Microsoft để có được các hotfix. Đối với một danh sách đầy đủ các dịch vụ hỗ trợ Microsoft sản phẩm điện thoại số và thông tin về chi phí hỗ trợ, ghé thăm Web site sau của Microsoft: Chú ý Trong trường hợp đặc biệt, chi phí mà thường phải gánh chịu cho các cuộc gọi hỗ trợ có thể được hủy bỏ, nếu chuyên viên hỗ trợ Microsoft xác định rằng một Cập Nhật cụ thể sẽ giải quyết vấn đề của bạn. Các chi phí hỗ trợ thông thường sẽ áp dụng để hỗ trợ thêm câu hỏi và vấn đề này không đủ điều kiện cho các Cập Nhật cụ thể trong câu hỏi. Các tập tin sau đây có sẵn cho tải về từ Microsoft Download Center:
Ngày Phát hành: 21 Tháng 2 năm 2002

Để thêm thông tin về làm thế nào để tải về Hỗ trợ của Microsoft tập tin, nhấp vào số bài viết sau đây để xem bài viết trong Microsoft Knowledge Base:
119591 Làm thế nào để có được hỗ trợ của Microsoft tập tin từ các dịch vụ trực tuyến
Microsoft đã quét vi-rút cho tệp này. Microsoft sử dụng nhiều nhất phần mềm phát hiện vi rút hiện tại đã có sẵn trên ngày mà các tập tin đã được đăng. Các tập tin được lưu trữ trên tăng cường bảo mật máy chủ giúp ngăn ngừa bất kỳ thay đổi không được phép để các tập tin. Phiên bản tiếng Anh của sửa chữa nên có các sau khi tập tin thuộc tính hoặc sau này:
   Date         Version     Size     File name     Platform   --------------------------------------------------------   08-Jan-2002  8.2.8307.0  689,424  Msxml2.dll    x86				
Chú ý Để cài đặt các bản vá âm thầm và mà không cần khởi động lại, sử dụng các thiết bị chuyển mạch sau: /q: một /c: "dahotfix /q /n"
TÌNH TRẠNG
Microsoft đã xác nhận rằng vấn đề này có thể gây ra một mức độ an ninh lỗ hổng trong Microsoft XML 2.0.
THÔNG TIN THÊM
Các phiên bản bị ảnh hưởng của MSXML tàu như một phần của một vài sản phẩm. Bạn nên áp dụng các miếng vá cho hệ thống với bất kỳ sau đây Sản phẩm của Microsoft:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
MSXML cũng có thể cài đặt một cách riêng biệt. MSXML được cài đặt như một DLL System32 thư mục con trong thư mục hệ điều hành Windows. Trên hầu hết hệ thống này sẽ có khả năng là C:\Windows hoặc C:\winnt. Nếu bạn có bất kỳ hoặc tất cả các tập tin sau đây trong thư mục System32, bạn cần các bản vá:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Nếu bạn có chỉ Msxml.dll, bạn không cần các bản vá lỗi vì Đây là một phiên bản trước đó, không bị ảnh hưởng.

Để biết thêm về điều này dễ bị tổn thương, xem Web site sau của Microsoft: Để cài đặt hotfix này trong chế độ không giám sát, sử dụng sau đây đối số dòng lệnh.

Cài đặt không giám sát các hotfix cả hai "extracting hotfix hộp thoại" hiển thị và hiển thị một trận chung kết khởi động lại hộp thoại:
Q318202_MSXML20_x86.exe /q /c:"dahotfix.exe /q"				
Không cần giám sát hoàn toàn im lặng cài đặt hotfix nhưng hiển thị một hộp thoại cuối cùng khởi động lại:
Q318202_MSXML20_x86.exe /q:a /c:"dahotfix.exe /q"				
Không cần giám sát hoàn toàn im lặng cài đặt hotfix với trận chung kết khởi động lại hộp thoại bị đàn áp:
Q318202_MSXML20_x86.exe /q:a /c:"dahotfix.exe /q /n"				
security_patch Cập Nhật bảo mật, 13 tháng 2, 2002

Cảnh báo: Bài viết này đã được dịch tự động

Thuộc tính

ID Bài viết: 318202 - Xem lại Lần cuối: 08/27/2011 18:32:00 - Bản sửa đổi: 2.0

  • kbqfe kbhotfixserver kbbug kbfix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbmt KB318202 KbMtvi
Phản hồi