MS02-040: Sikkerhedsopdatering til Microsoft Data Access Components

Oversættelser af artikler Oversættelser af artikler
Artikel-id: 326573 - Få vist de produkter, som denne artikel refererer til.
Meddelelse

Erstatter MS02-040

Denne sikkerhedsrettelse er blevet erstattet med Microsoft-sikkerhedsbulletin MS03-033:
http://www.microsoft.com/technet/security/bulletin/MS03-033.asp
Yderligere oplysninger finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
823718 MS03-033: Sikkerhedsopdatering til Microsoft Data Access Components
Bemærk! Hvis du vil se filer, der kan hentes, til Microsoft-sikkerhedsbulletin MS03-033, skal du se afsnittet "Oplysninger om overførsel" i denne artikel.
Denne artikel er blevet arkiveret. Den vises "som den er og forefindes" og opdateres ikke længere.
Udvid alle | Skjul alle

På denne side

Sammenfatning

Efter frigivelsen af denne bulletin blev det erfaret, at den beskrevne svaghed ikke forekommer i kommandoen OpenRowSet. Kommandoen OpenRowSet er en Microsoft SQL Server-kommando. Svagheden forekommer i stedet i den underliggende MDAC-komponent ODBC (Open Database Connectivity). ODBC findes i alle versioner af Windows. Desuden blev den oprindelige sikkerhedsrettelse ikke installeret korrekt på nogle systemer på grund af en fejl i den måde, som Microsoft Windows Installer opdaterede Windows Filbeskyttelse-cachen. Bulletinen er blevet opdateret, så den nu indeholder yderligere oplysninger, bl.a. for at omdirigere brugerne til en opdateret sikkerhedsrettelse.

MDAC (Microsoft Data Access Components) er en samling komponenter, der bruges til at oprette forbindelse til databaser på Microsoft Windows-operativsystemer. MDAC er en vidt udbredt teknologi, som er installeret på de fleste Windows-systemer.

MDAC er som standard medtaget i Microsoft Windows XP, Microsoft Windows 2000 og Microsoft Windows Millennium Edition (Me). En række andre produkter og teknologier indeholder eller installerer også MDAC. For eksempel indeholder Microsoft Windows NT 4.0 Option Pack og Microsoft SQL Server 2000 MDAC, og nogle af MDAC-komponenterne er medtaget i Microsoft Internet Explorer, selvom selve MDAC ikke installeres. MDAC fås også som en separat teknologi. Besøg følgende Microsoft-websted for at hente MDAC:
http://msdn2.microsoft.com/en-us/data/aa937695.aspx


MDAC indeholder den underliggende funktionalitet for en række databasehandlinger, f.eks. tilslutning til en fjerndatabase og returnering af data til en klient. Det er mere specifikt MDAC-komponenten ODBC (Open Database Connectivity), der indeholder denne funktionalitet.

Der opstår en sikkerhedssvaghed, da en af ODBC-funktionerne i MDAC, som bruges til at oprette forbindelse til datakilder, indeholder en ukontrolleret buffer. En hacker kan forsøge at udnytte svagheden ved at oprette en webside, der udfører hackerens kode under brugerens sikkerhedsindstillinger, når brugeren besøger websiden. Websiden kan være placeret på et websted, eller den kan sendes direkte til brugeren i en e-mail-meddelelse.

Hvis det angrebne system kører SQL Server, kan hackeren forsøge at udnytte svagheden ved at bruge transaktionskommandoen OpenRowSet i SQL. Hvis en hacker sender en databaseforespørgsel, som indeholder en specielt udformet parameter i et kald til kommandoen OpenRowSet, kan det medføre bufferoverløb. Dette kan enten medføre, at der opstår en fejl på den computer, der kører SQL Server, eller det kan medføre, at computeren udfører handlinger, der er angivet af hackeren.

Der findes følgende formildende faktorer:
  • Brugere, der læser e-mail-meddelelser som almindelig tekst, skal selv foretage handlinger for at en hacker kan udnytte svagheden.
  • Systemer, der er konfigureret til at deaktivere Active Scripting i Internet Explorer, påvirkes ikke af denne svaghed.
  • Hvis en hacker forsøger et webbaseret angreb, kræver det, at en bruger besøger hackerens websted. En hacker kan ikke tvinge brugere til at besøge et skadeligt websted uden for vektoren for e-mails i HTML-format. Hackeren skal i stedet lokke brugere til webstedet, f.eks. ved at få dem til at klikke på et hyperlink, der fører dem til hackerens websted.
  • De logonoplysninger, der fås adgang til gennem et succesfuldt angreb, svarer til logonoplysningerne for det program, som ODBC kører under. For det meste vil hackeren kun opnå de samme rettigheder som den bruger, der er logget på.
  • Som standard bliver e-mails i HTML-format åbnet af Outlook Express 6.0 og Outlook 2002 i zonen Klassificerede websteder. Desuden åbnes e-mails i HTML-format af Outlook 98 og Outlook 2000 i zonen Klassificerede websteder, hvis Outlook E-mail Security Patch er installeret. Kunder, der bruger et af disse produkter, bliver ikke udsat for denne type angreb via en e-mail-meddelelse, medmindre brugeren klikker på et ondsindet hyperlink i e-mail-meddelelsen.

Yderligere Information

Oplysninger om overførsel

Bemærk! Følgende hyperlinks relaterer til den nye sikkerhedsrettelse MS03-033. Følgende fil kan hentes fra Microsoft Download Center:
Skjul billedetUdvid billedet
Hent
Hent MDAC (Microsoft Data Access Components)-sikkerhedsopdatering MS03-033-pakken nu. Udgivelsesdato: 20.08.02

Yderligere oplysninger om, hvordan du henter filer fra Microsoft Support, finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
119591 Sådan hentes Microsoft-supportfiler på onlinetjenester
Microsoft har scannet denne fil for virus. Dertil har Microsoft anvendt de nyeste antivirusprogrammer, der var tilgængelige på det tidspunkt, da filen blev lagt ud. Filen gemmes på servere med forbedret sikkerhed, der medvirker til at forhindre uautoriserede ændringer af filen.

Forudsætninger

Du skal køre en af følgende versioner af MDAC:
  • MDAC 2.5
  • MDAC 2.6
  • MDAC 2.7
Andre versioner af MDAC, herunder MDAC 2.8, påvirkes ikke af denne svaghed.

Bemærk! Disse opdateringer gælder for alle relevante sprog.

Installationsoplysninger

Genstart computeren efter installation af opdateringen. Opdateringen understøtter følgende installationsparametre:
Parameter       Beskrivelse
-------------------------------------------------------------------------
/?                Viser listen over installationsparametre.
/Q                Uden brugerinput.
/T:<komplet sti>    Angiver den midlertidige arbejdsmappe.
/C                Udpakker kun filer til mappen, hvis den angives sammen med /T.
/C:<kommando>          Tilsidesætter den installationskommando, forfatteren har defineret.
/N                Der vises ikke nogen dialogboks om genstart af computeren.
				

Hvis du f.eks. vil installere opdateringen uden selv at foretage brugerinput, og uden at computeren tvinges til at genstarte, skal du bruge følgende kommando:

Q823718_MDAC_SecurityPatch /C:"dahotfix.exe /q /n" /q

Parameteren /q, som angives for dahotfix.exe, angiver, at installationen foretages uden brugerinput, og parameteren /n angiver, at computeren ikke skal genstartes.

Advarsel! Computeren er sårbar, indtil du genstarter den.

Krav om genstart

Du skal genstarte computeren efter installation af opdateringen.

Oplysninger om fjernelse

Denne sikkerhedsrettelse kan ikke fjernes, når den er blevet installeret.

Oplysninger om erstatning af sikkerhedsrettelse

Denne sikkerhedsrettelse er blevet erstattet med den sikkerhedsrettelse, der beskrives i Microsoft-sikkerhedsbulletin MS03-033. Yderligere oplysninger om Microsoft-sikkerhedsbulletin MS03-033 finder du ved at besøge følgende Microsoft-websted:
http://www.microsoft.com/technet/security/bulletin/MS03-033.asp
Yderligere oplysninger om Microsoft-sikkerhedsbulletin MS03-033 finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
823718 MS03-033: Sikkerhedsopdatering til Microsoft Data Access Components (artiklen er evt. på engelsk)

Filoplysninger

Den engelske udgave af denne sikkerhedsopdatering indeholder de filattributter (eller nyere attributter), der er angivet i nedenstående tabel. Dato og klokkeslæt for disse filer er angivet i UTC-format (Universal Time Coordinates). Når du får vist filoplysningerne, konverteres de til lokal tid. Brug fanen Tidszone under funktionen Dato og klokkeslæt i Kontrolpanel til at finde forskellen mellem UTC og lokal tid.

MDAC 2.5 Service Pack 2

   	Dato  Klokkeslæt   Version     Størrelse      Filnavn
   --------------------------------------------------------------
   23.07.03     20:56  3.520.6100.40     212.992  Odbc32.dll       
   21.07.03     22:24  3.70.11.40         24.848  Odbcbcp.dll      
   23.07.03     02:29  3.520.6100.40     102.672  Odbccp32.dll     
   21.07.03     22:24  3.70.11.40        524.560  Sqlsrv32.dll     
				

MDAC 2.5 Service Pack 3

   	Dato  Klokkeslæt   Version     Størrelse      Filnavn
   --------------------------------------------------------------
   24.07.03     00:13  3.520.6300.40     212.992  Odbc32.dll       
   21.07.03     22:24  3.70.11.40         24.848  Odbcbcp.dll      
   24.07.03     00:11  3.520.6300.40     102.672  Odbccp32.dll     
   21.07.03     22:24  3.70.11.40        524.560  Sqlsrv32.dll     
				

MDAC 2.6 Service Pack 2

   	Dato  Klokkeslæt   Version     Størrelse      Filnavn
   --------------------------------------------------------------
   21.07.03     17:28  2000.80.746.0      86.588  Dbnetlib.dll     
   22.07.03     22:04  3.520.7501.40     217.360  Odbc32.dll       
   21.07.03     17:28  2000.80.746.0      29.252  Odbcbcp.dll      
   22.07.03     22:04  3.520.7501.40     102.672  Odbccp32.dll     
   31.07.03     23:07  2000.80.746.0     479.800  Sqloledb.dll     
   21.07.03     17:28  2000.80.746.0     455.236  Sqlsrv32.dll     
 				

MDAC 2.7 RTM

   	Dato  Klokkeslæt   Version     Størrelse      Filnavn
   --------------------------------------------------------------
   31.07.03     17:49  2000.81.9001.40    61.440  Dbnetlib.dll     
   22.07.03     23:04  3.520.9001.40     204.800  Odbc32.dll       
   22.07.03     23:10  2000.81.9001.40    24.576  Odbcbcp.dll      
   22.07.03     23:10  3.520.9001.40      94.208  Odbccp32.dll     
   31.07.03     17:49  2000.81.9001.40   450.560  Sqloledb.dll     
   22.07.03     23:08  2000.81.9001.40   356.352  Sqlsrv32.dll     
				

MDAC 2.7 Service Pack 1

   	Dato  Klokkeslæt   Version     Størrelse      Filnavn
   --------------------------------------------------------------
   22.07.03     18:27  2000.81.9041.40    61.440  Dbnetlib.dll     
   22.07.03     18:22  3.520.9041.40     204.800  Odbc32.dll       
   22.07.03     18:28  2000.81.9041.40    24.576  Odbcbcp.dll      
   22.07.03     18:28  3.520.9041.40      98.304  Odbccp32.dll     
   31.07.03     18:47  2000.81.9041.40   471.040  Sqloledb.dll     
   22.07.03     18:27  2000.81.9041.40   385.024  Sqlsrv32.dll     
				

Filkontrol

Kontroller, at du har den korrekte version af de filer, der vises på listerne i denne artikel.

Referencer

Yderligere oplysninger om Microsoft-sikkerhedsbulletin MS02-040 finder du ved at besøge følgende Microsoft-websted:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-040.asp

Egenskaber

Artikel-id: 326573 - Seneste redigering: 24. februar 2014 - Redigering: 5.4
Oplysningerne i denne artikel gælder:
  • Microsoft Data Access Components 2.5
  • Microsoft Data Access Components 2.6
  • Microsoft Data Access Components 2.7
Nøgleord: 
kbnosurvey kbarchive kbbug kbfix kbqfe kbsecbulletin kbsechack kbsecurity kbsecvulnerability KB326573

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com