MS02-008: XMLHTTP Control Can Allow Access to Local Files

MS02-008 se zabývá chybou v MS XML Core Services 2.6 a novějších. Tyto služby mají nainstalovány všichni uživatelé Windows XP, IE 6 a SQL Serveru 2000, ale mohou je mít nainstalovány i ostatní. Poznáte to tak, že v systémovém adresáři Windows naleznete jeden ze souborů MSXML2.DLL, MSXML3.DLL nebo MSXML4.DLL. Pokud tam máte jen MSXML.DLL, tak to je starší verze a té se tato chyba netýká.

Princip je velmi jednoduchý: MS XML Core Services špatně interpretují bezpečnostní nastavení IE. Může se stát, že při brouzdání po webu si může útočník pomocí speciálně upravených web stránek přečíst soubory z vašeho disku, ale nic více. Musí však znát názvy souborů na disku. Tuto chybu nelze využít v HTML emailu.

Detaily naleznete u Microsoftu a patch je zatím jen na Windows Update.

MS02-009: Incorrect VBScript Handling in IE can Allow Web Pages to Read Local Files

Patřičným VB skriptem na web stánce si může její tvůrce přečíst obsah souboru, který máte uložen na disku. Postiženy jsou IE 5.01, 5.5 i 6.0 (ony pravděpodobně budou i starší, ale ty Microsoft už ignoruje). Stejně jako u předešlého případu musí útočník znát název souboru na disku a dokáže si ho jen přečíst, nemůže jej měnit, mazat, nebo dokonce spustit. Navíc je zde omezení, že daný soubor musí být takový, který dokáže přímo Internet Exporer zobrazit (HTML stránka, obrázek, textový soubor, ale už ne například Wordovský DOC, spustitelný program).

Tento útok lze použít i pomocí HTML emailů, pokud uživatel používá Outlook (Express). Postiženy nejsou tyto verze: Outlook 98 nebo 2000 s Outlook Email Security Update, Outlook XP (2002) a Outlook Express 6.

Detaily naleznete u Microsoftu a patch je zatím jen na Windows Update.

MS02-010: Unchecked Buffer in ISAPI Filter Could Allow Commerce Server Compromise

Při splnění jistých podmínek může útočník na Microsoft Commerce Serveru 2000 spustit jakýkoliv kód.

Detaily i odkaz na patch naleznete u Microsoftu.