• [アーティクル]

セキュリティ情報

Microsoft セキュリティ情報 MS02-008 - 重大

XMLHTTP コントロールでローカル ファイルへのアクセスを許可できる

公開日: 2002 年 2 月 21 日 |更新日: 2003 年 5 月 9 日

バージョン: 1.7

投稿日: 2002 年 2 月 21 日
更新日: 2003 年 5 月 9 日

まとめ

このセキュリティ情報を読む必要があるユーザー: Microsoft® XML Core Services 2.6 以降を使用しているお客様。 これには、Microsoft Windows® XP、SQL Server™ 2000、インターネット エクスプローラー 6.0 を使用しているお客様が含まれます。

脆弱性の影響: 情報漏えい

最大重大度評価: 重大

推奨事項: お客様とシステム管理者は、影響を受けるすべてのマシンに直ちにパッチを適用する必要があります。

影響を受けるソフトウェア:

  • Microsoft XML Core Services バージョン 2.6、3.0、および 4.0
  • 影響を受けるバージョンのMicrosoft XML Core Services も、次の製品の一部として出荷されます。
    • Microsoft Windows XP
    • Microsoft Internet エクスプローラー 6.0
    • Microsoft SQL Server 2000

一般情報

技術詳細

技術的な説明:

Microsoft XML Core Services (MSXML) には XMLHTTP ActiveX コントロールが含まれています。これにより、ブラウザーでレンダリングされる Web ページは、POST、GET、PUT などの HTTP 操作を介して XML データを送受信できます。 このコントロールには、Web ページを制限するように設計されたセキュリティ対策が用意されているため、コントロールを使用してリモート データ ソースからのデータのみを要求できます。

XMLHTTP コントロールが IE セキュリティ ゾーン設定を、Web サイトからのデータ要求に応答して返されるリダイレクトされたデータ ストリームに適用する方法に欠陥があります。 攻撃者がこの欠陥を悪用し、ユーザーのローカル システム上にあるデータ ソースを指定しようとする可能性があるため、脆弱性が発生します。 攻撃者はこれを使用して、ローカル システムから攻撃者の Web サイトに情報を返す可能性があります。

攻撃者はこの脆弱性を悪用するために、ユーザーを自分の管理下にあるサイトに誘導する必要があります。 HTMLメールでは悪用できません。 さらに、攻撃者は、読み取ろうとするすべてのファイルの完全なパスとファイル名を知る必要があります。 最後に、この脆弱性は攻撃者にデータの追加、変更、または削除を行う機能を与えるものではありません。

軽減要因:

  • この脆弱性は、Web サイト経由でのみ悪用される可能性があります。 HTML メールを介してこの脆弱性を悪用することはできません。
  • 攻撃者は、ファイルを読み取るために、ファイルの完全なパスとファイル名を知る必要があります。
  • この脆弱性は、ファイルを追加、変更、または削除する機能を提供しません。

重大度の評価:

インターネット サーバー イントラネット サーバー クライアント システム
MSXML バージョン 2.6 重大
MSXML バージョン 3.0 重大
MSXML バージョン 4.0 重大

上記 の評価 は、脆弱性の影響を受けるシステムの種類、一般的な展開パターン、および脆弱性を悪用した場合の影響に基づいています。 この脆弱性は個人情報の開示に影響を与え、クライアント システムに影響を与える可能性が最も高くなります。

脆弱性識別子:CAN-2002-0057

テスト済みバージョン:

Microsoft は MSXML バージョン 2.6、3.0、および 4.0 をテストしました。 以前のバージョンはサポートされなくなり、これらの脆弱性の影響を受ける場合と影響されない場合があります。

よく寄せられる質問

この脆弱性の範囲は何ですか?
これは情報漏えいの脆弱性です。 攻撃者が、不正な形式の Web サイトにアクセスしたユーザーのローカル ファイル システム上のファイルを読み取る可能性があります。 攻撃者はファイルの追加、変更、または削除を行うことができません。 さらに、電子メールを使用してこの攻撃を実行することはできず、脆弱性は Web サイト経由でのみ悪用される可能性があります。 閲覧時に注意を払い、不明または信頼できないサイトへのアクセスを避けるお客様は、この脆弱性によるリスクが低くなります。

この脆弱性の原因は何ですか?
この脆弱性は、Microsoft XML Core Services の XMLHTTP コントロールが IE セキュリティ ゾーンの制限を考慮していないために発生します。 これにより、Web ページでファイルを読み取る手段として、ユーザーのローカル システム上のファイルを XML データ ソースとして指定できます。

XML とは
拡張マークアップ言語 ( XML) には、コンピューターに格納できる事実上あらゆる種類の情報を記述するために使用できる非常に柔軟な構文があります。 XML ドキュメントに含まれる情報は、アプリケーションとシステム間で簡単に渡すことができます。また、Web ブラウザーで簡単に表示できます。 Web で入手できる情報の複雑さと量によって、情報を共有する手段としての XML の人気が高まっています。 XML は、データベースと他のデータ リポジトリ間で情報を転送する手段としても使用されます。

MSXML とは
MSXML は、XML ドキュメントを操作するための関数を提供する一連のサービスです。 MSXML の主な用途は、情報を表示、格納、または操作できるように、XML ドキュメントを解析、生成、検証、変換することです。 影響を受けるバージョンの MSXML は、次の Microsoft 製品の一部として出荷されます。

  • Microsoft Windows XP
  • Microsoft Internet エクスプローラー 6.0
  • Microsoft SQL Server 2000

Web サイトの所有者は、XML を使用して情報を配信することを選択できます。 顧客がその Web サイトにアクセスすると、インターネット エクスプローラー ブラウザーは MSXML サービスを使用して情報をレンダリングします。

XMLHTTP とは
XMLHTTP は MSXML のコンポーネントです。 XMLHTTP は、標準のハイパーテキスト転送プロトコル (HTTP) を使用して、インターネット経由でプログラムに XML ドキュメントを渡すために設計されています。 XMLHTTP を使用するプログラムの例として、Outlook Web Access Client があります。Outlook Web Access Client では、XMLHTTP を使用してメール サーバーから電子メールを取得します。 もう 1 つの一般的な用途は、XML データを Web サーバーに投稿することです。

XMLHTTP の問題
XMLHTTP GET コマンドに対する通常の応答は、XML ドキュメントなどのデータ ストリームです。 応答は、データ ストリームが使用できない、または応答が別の場所にあるデータ ストリームへのリダイレクトの形式になる可能性があることを示すエラー メッセージである可能性もあります。 問題は、応答のセキュリティ設定がチェックされないことです。

"セキュリティ設定" とはどういう意味ですか?
WEB ページによって XMLHTTP コントロールが呼び出されると、ページがレンダリングされる IE セキュリティ ゾーンに関連付けられている制限を考慮する必要があります。 具体的には、インターネット Web サイトにアクセスする場合、コントロールは、ユーザーのシステム上のデータへのアクセスに対するインターネット ゾーンの禁止を尊重する必要があります。 この脆弱性は、これを行わないため、発生します。 ほとんどの条件下では、この欠陥は脅威を引き起こすことはありません。 コントロールは Web サイトの要求を調べ、ローカル ファイルを要求した場合は実行を拒否します。 ただし、このような方法で要求を偽装して、コントロールがローカル ファイルの要求であることを認識できないようにし、脆弱性を悪用する可能性があります。

これにより、攻撃者は何を行うことができますか?
攻撃者はこの脆弱性を使用して、他のユーザーのシステムからファイルを読み取る可能性があります。 攻撃者はユーザーのディスクでファイルを検索できないため、完全なパスとファイル名を事前に把握しておく必要があります。 ただし、多くのシステム ファイルは既定の場所にあります。

攻撃者がこの脆弱性をどのように悪用する可能性がありますか?
攻撃者は、最初に、サーバー側アプリケーション テクノロジを使用して特別に形式が正しくない別のページに対する XMLHTTP GET 呼び出しを含む Web ページを構築することで、この脆弱性を悪用しようとする可能性があります。 このページは、データ ソースとしてユーザーのシステム上のファイルに XMLHTTP をリダイレクトするように構築する必要があります。 ユーザーが攻撃者の Web サイトにアクセスした場合、不正なページをリダイレクトすると、攻撃者はユーザーのシステムからデータを読み取ることができる可能性があります。

攻撃者は電子メールを使用してローカル ファイルを読み取る可能性がありますか?
いいえ。 この脆弱性は電子メールで悪用されることができず、Webサイト経由でのみ悪用される可能性があります。

パッチは何をしますか?
この修正プログラムは、XMLHTTP GET 呼び出しへの応答で返されるデータ ストリームのセキュリティ設定を正しくチェックするように XMLHTTP コントロールを変更することで、この脆弱性を排除します。 ユーザーがインターネットを閲覧している場合、ローカル ファイルに対するファイル読み取りは許可されません。

操作方法パッチが必要かどうかを確認しますか?
影響を受けるバージョンの MSXML は、複数の製品の一部として出荷されます。 この修正プログラムは、次のいずれかの Microsoft 製品を使用するシステムに適用する必要があります。

  • Microsoft Windows XP
  • Microsoft Internet エクスプローラー 6.0
  • Microsoft SQL Server 2000

MSXML は個別にインストールすることもでき、上記以外の他の製品に含まれる場合もあります。 パッチを適用する必要があるかどうかを判断する最善の方法は、システム上の MSXML .dll をチェックすることです。 MSXML は、Windows オペレーティング システム ディレクトリの system32 サブディレクトリに.dllとしてインストールされます。 ほとんどのシステムでは、これは c:\windows または c:\winnt になります。 system32 ディレクトリに次のファイルがある場合は、適切なパッチまたはパッチを適用する必要があります。

  • MSXML2.DLL
  • MSXML3.DLL
  • MSXML4.DLL

上記の DLL ごとに個別のパッチがあります。 MSXML.DLLしかない場合は、パッチを適用する必要はありません。これは、影響を受けない以前のバージョンであるためです。

このセキュリティ情報の「パッチの可用性」セクションには、Microsoft が MSXML バージョン 3 の更新プログラムを更新したことを示しています。 なぜそれが起こったのですか?
元のバージョンには、英語のみのローカライズ情報が含まれていました。 その後、言語に関係なく、任意のシステムにインストールできる更新バージョンをリリースしました。 MSXML バージョン 2 および 4 のパッチは既に完全にローカライズされており、更新する必要はありませんでした。 元のバージョンと更新されたバージョンの両方で、この脆弱性は完全に排除されます。 元のバージョンをインストールしたお客様は、何も行う必要はありません。 ただし、HFNetChk などのツールでは、以前のバージョンのパッチがシステムにインストールされていることに注意してください。

MSXML バージョン 2.6 の更新プログラムが更新された理由
元の MSXML バージョン 2.6 パッチに関連付けられているインストール ルーチンは、WindowsUpdate を使用して修正プログラムを適用するときに発生した問題を解決するために更新されました。 これは、修正プログラムが適用されていない MSXML バージョン 2.6 を持ち、MDAC 2.6 から 2.7 にアップグレードしたお客様にのみ影響を与えました。

バージョン 2.6 パッチを正常に適用しましたが、これはパッチの適用に失敗したことを意味しますか?
いいえ。 問題が発生したすべての場合、インストールに失敗したことを示すエラー メッセージがユーザーに表示されました。 つまり、2.6 パッチを正常に適用した場合は、何もする必要はありません。 ただし、2.6 パッチの適用を試みたときにエラー メッセージが表示された場合は、パッチを正常に適用できます。

私はまだパッチの適用に問題があります、私は何をすべきですか?
セキュリティパッチの適用で問題が発生した場合は、Microsoft 製品サポート サービスにお問い合わせください。 セキュリティ パッチに関連するすべての呼び出しは無料です。

パッチの可用性

このパッチのダウンロード場所

  • https:

  • https://www.microsoft.com/Windowsupdate

    注: FAQ で説明したように、MSXML バージョン 2.6 および 3.0 のパッチはリリース後に更新されました。 元のバージョンをインストールしたお客様は、更新されたバージョンをインストールする必要はありません。

このパッチに関する追加情報

インストール プラットフォーム:

今後のサービス パックに含める:

  • MSXML 2.6
    • Microsoft Windows XP Service Pack 1
    • Microsoft SQL Server 2000 Service Pack 3
  • MSXML 3.0
    • MSXML 3.0 Service Pack 3
    • Microsoft Internet エクスプローラー 6.0 Service Pack 1
    • Windows XP Service Pack 1 (MSXML 3.0 Service Pack 3 を含む)
  • MSXML 4.0 - スタンドアロンでのみインストール可能
    • MSXML 4.0 Service Pack 1

再起動が必要: はい

置き換えられた修正プログラム: なし。

修正プログラムのインストールの確認:

  • コンピューターに修正プログラムがインストールされていることを確認するには、コンピューターに次のレジストリ キーが作成されていることを確認します。
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\更新\DataAccess\Q318202 (MSXML 2.0 の場合)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\更新\DataAccess\Q318203 (MSXML 3.0 の場合)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\更新\MSXML4\Q317244 (MSXML 4.0 の場合)

注意事項:

なし

ローカライズ:

このパッチは、すべての言語にインストールできます。

その他のセキュリティ パッチの取得:

その他のセキュリティの問題に対する修正プログラムは、次の場所から入手できます。

  • セキュリティ パッチは Microsoft ダウンロード センターから入手でき、"security_patch" のキーワード (keyword)検索を行うことで最も簡単に見つけることができます。
  • コンシューマー プラットフォームのパッチは、WindowsUpdate Web サイトから入手できます。

その他の情報:

サポート:

  • マイクロソフト サポート技術情報の記事Q318202 (MSXML 2.0 の場合)、Q318203 (MSXML 3.0 の場合)、およびQ317244 (MSXML 4.0 の場合) では、この問題について説明しており、このセキュリティ情報のリリースから約 24 時間後に利用可能になります。 サポート技術情報の記事は、Microsoft Online サポート Web サイトにあります
  • テクニカル サポートは、Microsoft 製品サポート サービスから入手できます。 セキュリティ パッチに関連付けられているサポート呼び出しに対する料金はかかりません。

セキュリティ リソース:Microsoft TechNet セキュリティ Web サイトは、Microsoft 製品のセキュリティに関する追加情報を提供します。

免責事項:

Microsoft サポート技術情報で提供される情報は、いかなる種類の保証もなく"現状のまま" 提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

リビジョン:

  • V1.0 (2002 年 2 月 21 日): セキュリティ情報が作成されました。
  • V1.1 (2002 年 2 月 27 日): 修正プログラムの検証情報とサポート技術情報の記事が更新されました。
  • V1.2 (2002 年 3 月 5 日): このセキュリティ情報は、追加の DLL パッチ情報で更新されました。
  • V1.3 (2002 年 3 月 11 日): 更新プログラムが必要かどうかの判断に関する追加情報が更新されました。
  • V1.4 (2002 年 4 月 11 日): Q318203 (MSXML3) パッケージの更新について説明する FAQ 項目が追加されました。
  • V1.5 (2002 年 5 月 30 日): Q318202 (MSXML2) パッケージの更新について説明する FAQ 項目が追加されました。
  • V1.6 (2002 年 11 月 12 日): このセキュリティ情報は、今後のサービス パック セクションの追加情報で更新されました。
  • V1.7 (2003 年 5 月 9 日): Windows Update へのダウンロード リンクを更新しました。

2014-04-18T13:49:36Z-07:00</https にビルド:>