2002年2月21日 微软发布今年第8号安全公告

微软2002年2月21日发布的
和XML服务相关的
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-008.asp
XMLHTTP控件能允许访问本地文件漏洞（MS02-008）
发布日期：2002-2-22
安全威胁：严重
安全影响：信息泄露

受影响系统：

Microsoft XML Core Services versions 2.6, 3.0, and 4.0
Microsoft Windows XP
Microsoft Internet Explorer 6.0
Microsoft SQL Server 2000

漏洞描述：

　　微软XML服务（MSXML）包含了XMLHTTP ActiveX控件，它允许网页通过浏览器发送和接收XML数据，比如通过POST、GET等，这个控件提供安全标准去禁止网页能使用这个控件从远程数据源接收数据。
　　但是当IE安全设置区允许使用XMLHTTP控件，并且从网站得到返回的数据流时存在安全缺陷。攻击者可以利用这个漏洞，并且指定特殊的数据源就是用户的本地系统，这样，攻击者就能够将用户本地信息返回到攻击者网站中。他们也可以诱使用户访问他们的网站。这个漏洞不能通过HTML的邮件利用。但是攻击者能够知道他可以访问的文件路径以及文件名，但是他们并不能有权限做修改、删除和添加操作。

注意：

1、这个漏洞只能通过网站利用起来，不能通过EMAIL。
2、为了能读文件，攻击者需要知道文件的名称和完全路径。
3、即使成功利用这个漏洞，也没有权限进行修改、删除和添加文件的操作。

解决方案：

　　金山毒霸安全小组提供的安全建议：
　　由于XMLHTTP控件不能在IE安全设置里面被禁止，同时这个漏洞只有在攻击者通过网站才能利用起来，建议用户不要访问一些潜在的非安全网站，避免本地文件信息被泄露。
　　微软已经为此发布了一个安全公告（MS02-008）以及相应补丁程序：
　　http://www.microsoft.com/technet/security/bulletin/MS02-008.asp

补丁下载：

　　http://www.microsoft.com/Windowsupdate