您目前已離線,請等候您的網際網路重新連線

MS02-008: 在 MSXML 2.6 XMLHTTP 控制項可以讓本機檔案的存取權

重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。

按一下這裡查看此文章的英文版本:318202
取得更多資訊有關這項弱點按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中發行項]:
317244MS02-008: 在 MSXML 4.0 XMLHTTP 控制項可以讓本機檔案的存取權
318203MS02-008: XMLHTTP 在 MSXML 3.0 中的控制項可以讓本機檔案的存取權
徵狀
資訊洩漏弱點存在,可以讓造訪蓄意格式不正確的網站上讀取使用者的本機檔案系統上的檔案的攻擊。

攻擊者就不能新增、 變更,或刪除檔案。在另外攻擊者就無法使用電子郵件來執行這項攻擊 ; 可以只有利用此弱點的網站。客戶對於小心瀏覽並避免造訪不明或授信網站時沒有這項弱點所產生的低風險。
發生的原因
這項弱點存在,是因為 XMLHTTP 控制項在 [Microsoft XML 核心服務並不尊重網際網路總管安全性區域限制。這可讓 Web 網頁,以使用者的本機系統上的檔案指定為 XML 資料來源讀取檔案的方法。
解決方案
支援的 Hotfix 現在可以從 Microsoft,但只能用來修正本文所描述的問題。因此只提供給您判斷風險的攻擊的系統。請評估電腦的實體存取設定、 網路和網際網路連線能力以及其他因素,以判斷電腦的風險程度。請參閱相關的 Microsoft Security Bulletin,以協助您判斷風險程度。此 Hotfix 可能會接受其他測試。如果電腦是夠風險,我們建議您立即套用此 Hotfix。

如果要立即解決這個問題,下載 Hotfix,請遵循本文中的指示,或洽詢 Microsoft 技術支援部以取得該 Hotfix。如需 Microsoft 產品支援服務電話號碼及支援成本的相關資訊的完整清單,請造訪下列 Microsoft 網站]:附註 在特殊情況下通常會因支援電話所產生的費用可能就不收取,如果 Microsoft 支援人員認為某特定更新程式可以解決您的問題。平常的支援成本將會套用到其他支援問題是所做不限定特定有問題的更新程式。下列檔案是可以從 Microsoft 下載中心 」 下載:
發行日期: 2002 年 2 月 21日,

如需有關如何下載 Microsoft 支援檔案的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
119591如何從線上服務取得 Microsoft 支援檔案
Microsoft 已掃描這個檔案有無病毒。Microsoft 使用已張貼檔案的日期中的 [可用的最新病毒偵測軟體。檔案儲存在安全性強化的伺服器上,以避免任何未經授權的更改至檔案。 此修正程式的英文版應該具有下列檔案屬性或更新版本:
   Date         Version     Size     File name     Platform   --------------------------------------------------------   08-Jan-2002  8.2.8307.0  689,424  Msxml2.dll    x86				
附註以無訊息模式且不重新開機的情況下安裝補充程式,使用下列參數: / q: /c: dahotfix/q/n"
狀況說明
Microsoft 已確認此問題可能會一定程度的安全性弱點造成 Microsoft XML 2.0 中。
其他相關資訊
受影響的版本的 MSXML 交運數個產品的一部分。您應該將補充程式套用至任何下列的 Microsoft 產品的系統:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
也可以分別安裝 MSXML。MSXML 安裝成 Windows 作業系統資料夾的 [System32] 子資料夾中的 DLL。在大多數的系統上這可能會是 C:\Windows 或 C:\winnt。如果您在 [System32] 資料夾中有任一或所有下列檔案,您需要補充程式:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
如果您只 Msxml.dll 您並不需要修補程式,因為這是版本之前,不會受到影響。

如需有關這項弱點的詳細資訊,請參閱下列 Microsoft 網站]:如果要在自動安裝模式下安裝此 Hotfix,使用下列命令列的引數。

自主式的安裝的 Hotfix 同時顯示"解壓縮 Hotfix 對話方塊 」 並顯示最後的重新開機] 對話方塊:
Q318202_MSXML20_x86.exe /q /c:"dahotfix.exe /q"				
的 Hotfix,但顯示最後的重新開機] 對話方塊的自動安裝完全無訊息安裝:
Q318202_MSXML20_x86.exe /q:a /c:"dahotfix.exe /q"				
的 Hotfix 時抑制最後的重新開機] 對話方塊的自動安裝完全無訊息安裝:
Q318202_MSXML20_x86.exe /q:a /c:"dahotfix.exe /q /n"				
security_patch 安全性更新 2002 年 2 月 13,

警告:本文為自動翻譯

內容

文章識別碼:318202 - 最後檢閱時間:04/07/2006 06:28:11 - 修訂: 6.2

Microsoft XML Parser 2.6

  • kbmt kbqfe kbhotfixserver kbbug kbfix kbsecbulletin kbsechack kbsecurity kbsecvulnerability KB318202 KbMtzh
意見反應
var Route = "76500"; var Ctrl = ""; document.write("