MS02-008: Formant XMLHTTP w programie MSXML 4.0 umożliwia dostęp do plików lokalnych
Symptomy
Istnieje luka dotycząca ujawniania informacji, która umożliwia atakującemu odczyt plików w lokalnym systemie plików użytkownika, który odwiedzi specjalnie zniekształconą witrynę sieci Web.
Atakujący nie mógłby dodawać, modyfikować ani usuwać plików. Ponadto nie byłby w stanie użyć poczty e-mail do przeprowadzenia tego ataku; ta luka może być wykorzystana jedynie za pomocą witryny sieci Web. Klienci, którzy zachowują ostrożność podczas przeglądania sieci Web i unikają odwiedzania nieznanych lub niezaufanych witryn, są mniej narażeni na ryzyko związane z tą luką.
Przyczyna
Przyczyną tej luki jest formant XMLHTTP w usługach Microsoft XML Core Services, który nie respektuje ograniczeń stref zabezpieczeń programu Internet Explorer. Umożliwia to stronie sieci Web określenie pliku w lokalnym systemie użytkownika jako źródła danych XML, co jest sposobem na odczytanie tego pliku.
Rozwiązanie
Aby rozwiązać ten problem, należy zaopatrzyć się w najnowszy dodatek Service Pack dla programu Microsoft SQL Server 2000. Aby uzyskać dodatkowe informacje, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
|