MS02-040: Aktualizace zabezpečení součástí MDAC (Microsoft Data Access Components)

ID článku: 326573 - Produkty, které se vztahují k tomuto článku.
Poznámka

Nahrazení bulletinu MS02-040

Toto vydání bulletinu o zabezpečení bylo nahrazeno bulletinem zabezpečení MS03-033:
http://www.microsoft.com/technet/security/bulletin/MS03-033.mspx
(http://www.microsoft.com/technet/security/bulletin/MS03-033.mspx)
Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
823718
(http://support.microsoft.com/kb/823718/ )
MS03-033: Aktualizace zabezpečení součástí MDAC (Microsoft Data Access Components)
Poznámka: Informace o souborech ke stažení přidružených k bulletinu zabezpečení MS03-033 naleznete dále v tomto článku v části Informace o souborech ke stažení.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Po vydání tohoto bulletinu bylo zjištěno, že řešená chyba zabezpečení nesouvisí s příkazem OpenRowSet. OpenRowSet je příkaz serveru Microsoft SQL Server. Chyba zabezpečení ale ve skutečnosti souvisí se součástí ODBC (Open Database Connectivity), což je jedna ze součástí MDAC. Součást ODBC se vyskytuje ve všech verzích systému Windows. Původně vydaná oprava zabezpečení se navíc do některých systémů neinstalovala správně. Důvodem byla chyba ve způsobu, jakým instalační služba systému Microsoft Windows aktualizovala mezipaměť funkce Ochrana souborů systému Windows. Bulletin byl aktualizován a nyní zahrnuje tyto doplňující informace a poskytuje uživatelům odkaz na aktualizovanou opravu zabezpečení.

Microsoft Data Access Components (MDAC) je kolekce součástí používaných k zajištění připojení databází v operačních systémech Microsoft Windows. Technologie MDAC je všudypřítomná a je obsažena ve většině počítačů s operačním systémem Windows.

Ve výchozím nastavení je technologie MDAC součástí systémů Microsoft Windows XP, Microsoft Windows 2000 a Microsoft Windows Millennium Edition (ME). Součásti MDAC zahrnuje nebo instaluje také řada dalších produktů a technologií. Technologii MDAC například obsahuje sada Microsoft Windows NT 4.0 Option Pack nebo Microsoft SQL Server 2000 a některé součásti této technologie obsahuje také aplikace Microsoft Internet Explorer, přestože sama tato technologie není součástí instalace. Technologie MDAC je k dispozici i samostatně. Součásti MDAC je možné stáhnout z následujícího webu společnosti Microsoft:
http://msdn2.microsoft.com/en-us/data/aa937695.aspx
(http://msdn2.microsoft.com/en-us/data/aa937695.aspx)


Technologie MDAC poskytuje základní funkce pro mnohé databázové operace, například připojení ke vzdáleným databázím a vrácení dat klientovi. Tyto funkce konkrétně poskytuje součást MDAC s názvem ODBC (Open Database Connectivity).

Zjištěná chyba zabezpečení je důsledkem toho, že jedna z funkcí součásti ODBC, která se používá k připojení ke zdrojům dat, obsahuje nekontrolovanou vyrovnávací paměť. Útočník se může pokusit zneužít tuto chybu zabezpečení tím, že vytvoří webovou stránku, která po návštěvě uživatelem bude moci spustit útočníkem zvolený kód s pověřeními daného uživatele. Tato webová stránka může být vystavena na webu nebo odeslána uživateli přímo v e-mailové zprávě.

Pokud v počítači běží SQL Server, může se útočník pokusit o zneužití této chyby prostřednictvím příkazu OpenRowSet v jazyce Transact-SQL. Útočník, který odešle dotaz na databázi se speciálním nebezpečným parametrem volání OpenRowSet, může způsobit přetečení vyrovnávací paměti. Tím může buď způsobit selhání počítače se serverem SQL, nebo v tomto počítači provést libovolné akce.

Zklidňující fakta:
  • Pokud uživatelé čtou e-mailové zprávy jako prostý text, mohl by útočník zneužít tuto chybu zabezpečení až poté, co by uživatelé provedli určitou akci.
  • Systémy, ve kterých je v konfiguraci aplikace Internet Explorer zakázáno aktivní skriptování, nejsou touto chybou zabezpečení ohroženy.
  • V případě útoku prostřednictvím webu by uživatel musel navštívit útočníkův nebezpečný web. Útočník nemůže přinutit uživatele navštívit web, který chybu zneužívá. Může se ale pokusit o zneužití chyby pomocí e-mailu ve formátu HTML. Útočník se také může snažit uživatele k návštěvě nebezpečného webu zlákat tím, že uživateli předloží odkaz na tento web a pokusí se jej přimět k tomu, aby na tento odkaz klepnul.
  • Pověření, která by útočník získal při úspěšném útoku, by byla stejná jako pověření aplikace, pod kterou běží součást ODBC. Útočník by většinou získal pouze takovou úroveň pověření, jakou má přihlášený uživatel.
  • Ve výchozím nastavení otevírají aplikace Outlook Express 6.0 a Outlook 2002 poštu ve formátu HTML s nastaveným zabezpečením zóny Servery s omezeným přístupem. Aplikace Outlook 98 a 2000 rovněž otevírají poštu ve formátu HTML s nastaveným zabezpečením Zóna serverů s omezeným přístupem, pokud je nainstalována aktualizace zabezpečení e-mailu pro aplikaci Outlook. Zákazníci, kteří používají některý z těchto produktů, nejsou ohroženi útoky, které ke zneužití této chyby zabezpečení používají e-mail, pokud v e-mailu neklepnou na nebezpečný odkaz.
Zpět nahoru | Dejte nám zpětnou vazbu

Další informace

Informace o souborech ke stažení

Poznámka: Následující odkazy platí pro novou opravu zabezpečení MS03-033. Na webu služby Stažení softwaru je k dispozici ke stažení následující soubor:
Zmenšit tento obrázekZvětšit tento obrázek
Stáhnout
Stáhnout balíček s opravou zabezpečení MS03-033 pro součásti MDAC (Microsoft Data Access Components)
(http://www.microsoft.com/downloads/details.aspx?FamilyId=9107ABC6-8995-4A99-B6A0-478B3A847E9C&displaylang=en)
Datum vydání: 20. srpna 2003

Další informace o tom, jak stahovat soubory podpory společnosti Microsoft, naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
119591
(http://support.microsoft.com/kb/119591/ )
Jak získat soubory odborné pomoci společnosti Microsoft ze serverů služeb online
Tento soubor byl zkontrolován na výskyt virů. Společnost Microsoft použila ke kontrole tohoto souboru nejnovější antivirový software, který byl v době jeho publikování k dispozici. Soubor je uložený na zabezpečených serverech neumožňujících neoprávněné změny souborů.

Požadavky

Je nutné používat některou z následujících verzí součástí MDAC:
  • MDAC 2.5
  • MDAC 2.6
  • MDAC 2.7
Další verze součástí MDAC (včetně MDAC 2.8) nejsou touto chybou ovlivněny.

Poznámka: Tyto aktualizace lze použít pro všechny odpovídající jazyky.

Instalační parametry

Po instalaci této aktualizace je třeba restartovat počítač. Tato aktualizace podporuje následující instalační přepínače: 
Přepínač          Popis
-------------------------------------------------------------------------
/?                Zobrazí seznam instalačních přepínačů.
/Q                Použije tichý režim.
/T:<úplná_cesta>  Určuje dočasnou pracovní složku.
/C                Extrahuje soubory pouze do složky, pokud je použit společně s přepínačem /T.
/C:<Cmd>          Přepíše instalační příkaz definovaný autorem.
/N                Zakáže zobrazení dialogového okna s výzvou k restartování.

Chcete-li například nainstalovat aktualizaci bez zásahu uživatele a bez restartování počítače, zadejte následující příkaz:

Q823718_MDAC_SecurityPatch /C:"dahotfix.exe /q /n" /q

Přepínač /q zadaný pro soubor dahotfix.exe umožní tichou instalaci a přepínač /n zabrání restartování.

Upozornění: Dokud počítač nerestartujete, může být ohrožen.

Požadavek na restartování

Po instalaci této aktualizace je třeba restartovat počítač.

Informace o odinstalaci

Tuto opravu zabezpečení nelze po instalaci odebrat.

Informace o nahrazení opravy zabezpečení

Tato oprava zabezpečení byla nahrazena opravou zabezpečení popsanou v bulletinu zabezpečení MS03-033. Další informace o bulletinu zabezpečení MS03-033 naleznete na následujícím webu společnosti Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS03-033.mspx
(http://www.microsoft.com/technet/security/bulletin/MS03-033.mspx)
Další informace o bulletinu zabezpečení MS03-033 naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
823718
(http://support.microsoft.com/kb/823718/ )
MS03-033: Aktualizace zabezpečení součástí MDAC (Microsoft Data Access Components)

Informace o souborech

Anglická verze této opravy zabezpečení má následující nebo vyšší atributy souborů. Data a časy jednotlivých souborů jsou uvedeny ve formátu UTC (Coordinated Universal Time). Při zobrazení informací o souboru jsou data a čas převedeny na místní čas. Rozdíl mezi místním časem a časem UTC naleznete na kartě Časové pásmo na panelu Datum a čas v okně Ovládací panely.

MDAC 2.5 Service Pack 2

   	Datum        Čas    Verze              Velikost  Název souboru
   --------------------------------------------------------------
   23. 7. 2003  20:56  3.520.6100.40     212 992    Odbc32.dll       
   21. 7. 2003  22:24  3.70.11.40         24 848    Odbcbcp.dll      
   23. 7. 2003  02:29  3.520.6100.40     102 672    Odbccp32.dll     
   21. 7. 2003  22:24  3.70.11.40        524 560    Sqlsrv32.dll

Součásti MDAC 2.5 s aktualizací Service Pack 3

   	Datum        Čas    Verze              Velikost  Název souboru
   --------------------------------------------------------------
   24. 7. 2003  00:13  3.520.6300.40     212 992    Odbc32.dll       
   21. 7. 2003  22:24  3.70.11.40         24 848    Odbcbcp.dll      
   24. 7. 2003  00:11  3.520.6300.40     102 672    Odbccp32.dll     
   21. 7. 2003  22:24  3.70.11.40        524 560    Sqlsrv32.dll

Součásti MDAC 2.6 s aktualizací Service Pack 2

   	Datum        Čas    Verze              Velikost  Název souboru
   --------------------------------------------------------------
   21. 7. 2003  17:28  2000.80.746.0      86 588    Dbnetlib.dll     
   22. 7. 2003  22:04  3.520.7501.40     217 360    Odbc32.dll       
   21. 7. 2003  17:28  2000.80.746.0      29 252    Odbcbcp.dll      
   22. 7. 2003  22:04  3.520.7501.40     102 672    Odbccp32.dll     
   31. 7. 2003  23:07  2000.80.746.0     479 800    Sqloledb.dll     
   21. 7. 2003  17:28  2000.80.746.0     455 236    Sqlsrv32.dll

Součásti MDAC 2.7 RTM

   	Datum        Čas    Verze              Velikost  Název souboru
   --------------------------------------------------------------
   31. 7. 2003  17:49  2000.81.9001.40    61 440    Dbnetlib.dll     
   22. 7. 2003  23:04  3.520.9001.40     204 800    Odbc32.dll       
   22. 7. 2003  23:10  2000.81.9001.40    24 576    Odbcbcp.dll      
   22. 7. 2003  23:10  3.520.9001.40      94 208    Odbccp32.dll     
   31. 7. 2003  17:49  2000.81.9001.40   450 560    Sqloledb.dll     
   22. 7. 2003  23:08  2000.81.9001.40   356 352    Sqlsrv32.dll

Součásti MDAC 2.7 s aktualizací Service Pack 1

   	Datum        Čas    Verze              Velikost  Název souboru
   --------------------------------------------------------------
   22. 7. 2003  18:27  2000.81.9041.40    61 440    Dbnetlib.dll     
   22. 7. 2003  18:22  3.520.9041.40     204 800    Odbc32.dll       
   22. 7. 2003  18:28  2000.81.9041.40    24 576    Odbcbcp.dll      
   22. 7. 2003  18:28  3.520.9041.40      98 304    Odbccp32.dll     
   31. 7. 2003  18:47  2000.81.9041.40   471 040    Sqloledb.dll     
   22. 7. 2003  18:27  2000.81.9041.40   385 024    Sqlsrv32.dll

Ověření

Přesvědčte se, zda jsou v počítači nainstalovány správné verze souborů uvedených v tomto článku.
Zpět nahoru | Dejte nám zpětnou vazbu

Odkazy

Další informace o bulletinu zabezpečení MS02-040 naleznete na následujícím webu společnosti Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS02-040.mspx
(http://www.microsoft.com/technet/security/bulletin/MS02-040.mspx)
Zpět nahoru | Dejte nám zpětnou vazbu

Vlastnosti

ID článku: 326573 - Poslední aktualizace: 5. června 2007 - Revize: 7.5
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Data Access Components 2.5
  • Microsoft Data Access Components 2.6
  • Microsoft Data Access Components 2.7
Klíčová slova: 
kbhotfixserver kbqfe kbbug kbfix kbqfe kbsecbulletin kbsechack kbsecurity kbsecvulnerability KB326573
Zpět nahoru | Dejte nám zpětnou vazbu

Dejte nám zpětnou vazbu

 
Zpět nahoruZpět nahoru