MS02-008:MSXML 4.0 中的 XMLHTTP 控制項可允許存取本機檔案

如需其他有關此弱點的資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
318203 MS02-008:XMLHTTP Control in MSXML 3.0 Can Allow Access to Local Files
318202 MS02-008:XMLHTTP Control in MSXML 2.0 Can Allow Access to Local Files
徵狀
一個存在的資訊外洩弱點,可能允許攻擊者讀取曾造訪錯誤網站的使用者位於本機檔案系統上的檔案。

攻擊者不能新增、變更或刪除檔案。此外,攻擊者無法使用電子郵件進行這項攻擊;只能透過網站利用此項弱點。使用者於瀏覽網站時若特別留意,或避免造訪不知名或不受信任的網站,可減少受此弱點影響的風險。
發生的原因
這個弱點是因為 Microsoft XML 核心服務中的 XMLHTTP 控制項未遵守「Internet Explorer 安全性區域」的限制。這使得一個網頁得以將使用者本機系統上的檔案指定為 XML 資料來源,藉此讀取檔案。
解決方案
如果要解決這個問題,請取得最新版的 Microsoft SQL Server 2000。如需其他詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
290211 INF:如何取得最新版 SQL Server 2000 Service Pack
您可以從「Microsoft 下載中心」下載下列檔案:
發行日期:2002 年 2 月 21 日

如需有關如何下載 Microsoft 支援檔案的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
119591 如何從線上服務取得 Microsoft 支援檔案
Microsoft 已對這個檔案做過病毒的掃描。Microsoft 是利用發佈當日的最新病毒偵測軟體來掃描檔案,看看有沒有病毒感染。檔案會儲存在安全的伺服器上,以避免任何未經授權的更改。 此修正程式的英文版具有下列表格中所列之檔案屬性 (或更新):
日期版本大小檔名平台
07-Feb-20024.00.9406.01,229,312Msxml4.dllx86
07-Feb-20024.00.9406.044,544Msxml4a.dllx86
07-Feb-20024.00.9406.082,432Msxml4r.dllx86

狀況說明
Microsoft 已確認這項問題將在 Microsoft XML 4.0 中造成一定程度的安全性弱點。 本問題在 Microsoft SQL Server 2000 Service Pack 3 中獲得第一次修正。本問題在 Microsoft XML 4.0 Service Pack 1 中獲得第一次修正。

如果要下載最新版的 MSXML,請造訪下列 Microsoft 網站:
其他相關資訊
受影響的 MSXML 版本隨附在數個產品中。您應該套用補充程式到下列任何 Microsoft 產品的系統:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
MSXML 也可以個別安裝。MSXML 以 DLL 的形式,安裝在 Windows 作業系統資料夾的 System32 子資料夾。在多數系統上這可能是 C:\Windows 或 C:\winnt。如果您在 System32 資料夾中有下列任何或所有檔案,您需要這個補充程式:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
如果您只有 Msxml.dll,您不需要此補充程式,因為這是較早未受影響的版本。

重要請注意這個補充程式的 Hotfix 安裝程式不包含解除安裝功能。
参考
如需更多有關這個弱點的詳細資訊,請造訪下列 Microsoft 網站:
security_patch kbMSXML400preSP1fix Security Update, February 13, 2002
內容

文章識別碼:317244 - 最後檢閱時間:12/18/2006 06:44:26 - 修訂: 8.0

Microsoft XML Core Services 4.0

  • kbqfe kbhotfixserver kbbug kbfix kbie600presp1fix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbsqlserv2000presp3fix kbsqlserv2000sp3fix kbwin2000presp3fix kbwin2000sp3fix kbwinxpsp1fix KB317244
意見反應