你目前正处于脱机状态,正在等待 Internet 重新连接

MS06-061:Microsoft XML Core Services 中的漏洞可能允许远程执行代码

针对 Windows XP 的支持已终止

Microsoft 已于 2014 年 4 月 8 日终止了针对 Windows XP 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

针对 Windows Server 2003 的支持已于 2015 年 7 月 14 日终止。

Microsoft 已于 2015 年 7 月 14 日终止了对于 Windows Server 2003 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

简介
Microsoft 已发布安全公告 MS06-061。该安全公告包含此安全更新的所有相关信息,其中包括文件清单信息和部署选项。要查看完整的安全公告,请访问以下 Microsoft 网站之一:

Service Pack 信息

此问题最早在 Microsoft Office 2003 Service Pack 3 中得到了解决。 要解决此问题,请获取最新的 Office 2003 Service Pack。有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
870924 如何获取最新的 Office 2003 Service Pack

此安全更新的已知问题

  • 如果安装了多个版本的 Microsoft XML Parser 或 Microsoft XML Core Services (MSXML),则可能必须安装此安全更新的多个程序包。另外,如果在安装此安全更新后安装了某个版本的 MSXML,则可能必须安装此安全更新的其他程序包。 有关推出的或包括在各种 Microsoft 产品或软件更新中的不同 MSXML 版本的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    269238Microsoft XML 分析器 (MSXML) 的版本列表
  • 安装 Windows 2000 Service Pack 4 安全更新 924191 的原始版本后,Microsoft XML Parser (MSXML) 2.6 版 CLSID 的“Kill 位”错误地设置为 0x00000190 (400) 而不是 0x00000400 (1024)。2006 年 10 月 19 日,Microsoft 发布了该安全更新的新版本来解决此问题。

    注意:如果您以前安装了 Windows 2000 的原始安全更新,那么在 2006 年 10 月 19 日发布的新安全更新不能正确更新“添加或删除程序”中显示的版本信息。版本号应更新到 0061014.135844。但是,版本信息继续显示为 20060915.123522。该问题可以忽略。在这种情况下,可在 MSXML 2.6 版 CLSID 的注册表中正确更新“Kill 位”。
  • 安装此安全更新后,无法在 Microsoft Internet Explorer 中使用 Microsoft XML Parser 2.6 版。这种现象是设计导致的。安全更新程序包 924191 会为该版本的 MSXML 设置“Kill 位”。“Kill 位”会阻止在 Internet Explorer 中运行该组件。

    注意:如果开发人员在应用程序中使用基于 MSXML 2.6 版的程序 ID (ProgID),则必须更新 ProgID 才能使用 MSXML 3.0。

    使用与 MSXML 2.6 版相关的 ProgID 的示例代码
    var o = new ActiveXObject("Msxml2.DOMDocument.2.6");
    使用与 MSXML 3.0 版相关的 ProgID 的已更新示例代码
    var o = new ActiveXObject("Msxml2.DOMDocument.3.0");
    该发布版的 924191 安全更新程序包会为下表中列出的 MSXML 2.6 CLSID 设置“Kill 位”。
    GUID符号名称
    f5078f22-c551-11d3-89b9-0000f81fe221CLSID_XMLDocument26
    f5078f1b-c551-11d3-89b9-0000f81fe221CLSID_DOMDocument26
    f5078f1c-c551-11d3-89b9-0000f81fe221CLSID_FreeThreadedDOMDocument26
    f5078f1d-c551-11d3-89b9-0000f81fe221CLSID_XMLSchemaCache26
    f5078f1e-c551-11d3-89b9-0000f81fe221CLSID_XMLHTTP26
    f5078f21-c551-11d3-89b9-0000f81fe221CLSID_XSLTemplate26
    f5078f1f-c551-11d3-89b9-0000f81fe221CLSID_DSOControl26
    f5078f20-c551-11d3-89b9-0000f81fe221CLSID_XMLParser26
    f5078f28-c551-11d3-89b9-0000f81fe221CLSID_Viewer26
    f5078f29-c551-11d3-89b9-0000f81fe221CLSID_BufferedMoniker26
    f5078f26-c551-11d3-89b9-0000f81fe221CLSID_XSLPatternFactory26
  • MSXML 4.0 Service Pack 2 (SP2) 和 MSXML 6.0 的安全更新程序包 925672 和 925673 是完全安装程序包。可以使用这些程序包在未安装早期版本 MSXML 4.0 或 MSXML 6.0 的计算机上安装 MSXML 4.0 SP2 或 MSXML 6.0。也可以使用这些程序包更新 MSXML 4.0、MSXML 4.0 SP1 或 MSXML 6.0 的现有安装。
  • 如果计算机上已安装了早期版本的 MSXML 4.0 SP2 或 MSXML 6.0,则 Windows Update 和 Microsoft Update 只提供安全更新程序包 925672 和 925673。如果没有安装早期版本的 MSXML 4.0 SP2 或 MSXML 6.0,请从 Microsoft 下载中心下载和安装这些程序包。
  • 如果已安装了 MSXML 4.0 或 MSXML 4.0 SP1,则 Windows Update 和 Microsoft Update 不会提供安全更新 925672。要更新 MSXML 4.0 或 MSXML 4.0 SP1,请使用下列方法之一:
  • 下表列出了 MSXML 4.0 SP2 和 MSXML 6.0 的安全更新程序包 925672 和 925673 安装的文件。

    未安装 MSXML 6.0
    文件名 版本 日期 时间 大小
    Msxml6.dll 6.0.3888.0 1-Sep-06 12:081.27 MB
    Msxml6r.dll 6.0.3883.0 19-Jul-06 10:55 84.6 KB
    已安装 MSXML 6.0
    文件名 版本 日期 时间 大小
    Msxml6.dll 6.0.3888.0 1-Sep-06 12:081.27 MB
    未安装 MSXML 4.0
    文件名 版本 日期 时间 大小
    Msxml4.dll 4.20.9839.0 12-Sep-06 5:51 1216 KB
    Msxml4r.dll 4.10.9404.0 12-Jul-06 5:49 80.5 KB
    注意:此安全更新安装在 %SystemRoot%\System32 和 side-by-side 两个文件夹中。

    已安装 MSXML 4.0
    文件名 版本 日期 时间 大小
    Msxml4.dll 4.20.9839.0 12-Sep-06 5:5311.18 MB
    注意:此安全更新安装在 %SystemRoot%\System32 和 side-by-side 两个文件夹中。
  • 删除 MSXML 6.0 的安全更新 925673 时,会从计算机中完全删除 MSXML 6.0。
  • 由于 MSXML 4.0 SP2 是在并列模式下安装的,因此这一版本的 MSXML 的安全更新程序包 925672 不支持完全删除 MSXML 4.0。要变通解决此问题,请按照下列步骤操作:
    1. 使用“添加或删除程序”删除安全更新 925672。
    2. 从 %SystemRoot%\System32 文件夹中删除 MSXML4.dll 文件。
    3. 使用“添加或删除程序”修复 MSXML 4.0。
    早期版本的 Msxml4.dll 文件和 Msxml4r.dll 文件会还原到 %SystemRoot%\System32 文件夹和 side-by-side 文件夹中。
  • MSXML 3.0 的安全更新程序包仅更新 MSXML3.dll 文件,而不会更新该版本的资源文件。
  • 安装此安全更新后,可能会在 Microsoft Commerce Server 2002 Business Desk 应用程序中遇到意外情况。 有关此问题的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    926509如果在更新装有最新安全更新的计算机后访问 Commerce Server Business Desk 应用程序,则可能会遇到意外情况

此安全更新的其他程序包

此发布版的安全更新程序包使用该知识库文章编号 (924191) 以及下列知识库文章编号。
  • 925673 MS06-061:Microsoft XML Core Services 6.0 的安全更新
  • 925672 MS06-061:Microsoft XML Core Services 4.0 SP2 安全更新
  • 924424 2006 年 10 月 10 日版 Office 2003 安全更新说明
update security_patch security_update security bug flaw vulnerability malicious attacker exploit registry unauthenticated buffer overrun overflow specially-formed scope specially-crafted denial of service DoS TSE WinNT Win2000 KB925672 KB925673 KB924424 KB269238
属性

文章 ID:924191 - 上次审阅时间:12/10/2007 10:03:42 - 修订版本: 6.3

Microsoft XML Parser 3.0, Microsoft XML Core Services 4.0, Microsoft XML Core Services 6.0, Microsoft Windows 2000 Advanced Server SP4, Microsoft Windows 2000 Datacenter Server, Microsoft Windows 2000 Professional SP4, Microsoft Windows 2000 Server SP4, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Datacenter Edition (64-Bit x86), Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Enterprise Edition (64-Bit x86), Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86), Microsoft Windows Server 2003 R2 Standard Edition (64-Bit x86), Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows Server 2003 Standard Edition (32-bit x86), Microsoft Windows Server 2003, 64-Bit Datacenter Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003 Web Edition, Microsoft Windows XP Home Edition, Microsoft Windows XP Media Center Edition 2005, Microsoft Windows XP Professional Edition, Microsoft Windows XP Professional x64 Edition, Microsoft Windows XP Service Pack 1, Microsoft Windows XP Service Pack 2, Microsoft Windows XP Tablet PC Edition 2005, Microsoft Windows XP Tablet PC Edition Service Pack 2 (SP2), Microsoft Office 2003, All Editions, Microsoft BackOffice Small Business Server 2000 Service Pack 1

  • kbwinserv2003sp2fix kboffice2003presp3fix kbwin2000presp5fix kbwinserv2003presp2fix kbwinxppresp3fix kbexpertisebeginner kbqfe kbsecurity kbsecbulletin kbsecvulnerability kbbug kbfix kbpubtypekc KB924191
反馈