你目前正处于脱机状态,正在等待 Internet 重新连接

你的浏览器不受支持

你需要更新你的浏览器才能使用该网站。

更新到 Internet Explorer 的最新版本

MS02-008:MSXML 4.0 中的 XMLHTTP 控件允许访问本地文件

有关此漏洞的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
318203 MS02-008:MSXML 3.0 中的 XMLHTTP 控件允许访问本地文件
318202 MS02-008:MSXML 2.0 中的 XMLHTTP 控件允许访问本地文件
症状
存在一个信息暴露安全漏洞,在用户访问一个特别构建的别有用心的网站时,此漏洞使攻击者能够读取该用户的本地文件系统上的文件。

攻击者不能添加、更改或删除文件。另外,攻击者不能使用电子邮件执行这种攻击,因为只能通过 Web 站点利用这种安全漏洞。如果客户在浏览时能够做到小心并避免访问未知的或不受信任的站点,就能减少此安全漏洞带来的风险。
原因
存在这种安全漏洞是因为,Microsoft XML 核心服务中的 XMLHTTP 控件没有考虑 Internet Explorer 安全区域的限制。这使得 Web 页能够指定用户本地系统上的某个文件作为一个 XML 数据源,籍此读取该文件。
解决方案
若要解决此问题,请获取最新的 Microsoft SQL Server 2000 Service Pack。有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
290211 INF:如何获取最新的 SQL Server 2000 Service Pack
从 Microsoft 下载中心可以下载以下文件:
发布日期:2002 年 2 月 21 日

有关如何下载 Microsoft 支持文件的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591 How to Obtain Microsoft Support Files from Online Services
Microsoft 已对此文件进行了病毒扫描。Microsoft 使用的是该文件发布时可以获得的最新病毒检测软件。该文件存储在安全性得到增强的服务器上,以防止在未经授权的情况下对其进行更改。 该修复程序的英文版应具有以下或更新的文件属性:
日期         版本         大小        文件名      平台   -------------------------------------------------------------07-Feb-2002  4.00.9406.0   1,229,312   Msxml4.dll    x8607-Feb-2002  4.00.9406.0      44,544   Msxml4a.dll   x8607-Feb-2002  4.00.9406.0      82,432   Msxml4r.dll   x86				

状态
Microsoft 已确认此问题可能会在 Microsoft XML 4.0 中造成一定程度的安全漏洞。 从 Microsoft SQL Server 2000 Service Pack 3 开始对此问题进行修复。这个问题已在 Microsoft XML 4.0 Service Pack 1 中得到纠正。

要下载最新版本的 MSXML,请访问下面的 Microsoft Web 站点:
更多信息
受影响的 MSXML 版本通常是作为几种产品的一部分提供的。应当对包含以下任何 Microsoft 产品的系统应用此修补程序:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
MSXML 也可以独立安装。MSXML 作为一个 DLL 安装在 Windows 操作系统文件夹中的 System32 子文件夹中。在多数系统上,Windows 操作系统文件夹一般是 C:\Windows 或 C:\winnt。如果在 System32 文件夹中具有以下任何或全部文件,则需要此修补程序:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
如果只有 Msxml.dll,则不需要此修补程序,因为这是一个较早的、不受影响的版本。

重要说明:请注意,本修补程序的修复安装程序不具有卸载功能。
参考
有关此漏洞的详细信息,请访问下面的 Microsoft Web 站点:
security_patch kbMSXML400preSP1fix Security Update, February 13, 2002
属性

文章 ID:317244 - 上次审阅时间:12/18/2006 06:44:00 - 修订版本: 8.0

  • Microsoft XML Core Services 4.0
  • kbbug kbfix kbwin2000presp3fix kbsqlserv2000presp3fix kbsecvulnerability kbqfe kbie600presp1fix kbwin2000sp3fix kbsecurity kbsecbulletin kbsechack kbsqlserv2000sp3fix kbwinxpsp1fix kbhotfixserver KB317244
反馈
s.js'><\/script>");