MS02-040: Ενημερωμένη έκδοση ασφαλείας για τα Microsoft Data Access Components

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 326573 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ενημέρωση

Αντικατάσταση του MS02-040

Αυτή η έκδοση ασφαλείας αντικαταστάθηκε από το Ενημερωτικό δελτίο ασφαλείας MS03-033:
http://www.microsoft.com/technet/security/bulletin/MS03-033.asp
Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
823718 MS03-033: Ενημερωμένη έκδοση ασφαλείας για τα Microsoft Data Access Components
Σημείωση Για να δείτε τα στοιχεία λήψης για το Ενημερωτικό δελτίο ασφαλείας MS03-033, ανατρέξτε στην ενότητα "Πληροφορίες λήψης" αυτής της ενότητας.
Αυτό το αρχείο έχει αρχειοθετηθεί. Προσφέρεται “ως έχει” και δεν θα ενημερώνεται πια.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

Περίληψη

Μετά την κυκλοφορία αυτού του ενημερωτικού δελτίου, προσδιορίστηκε ότι το θέμα ευπάθειας που αναφέρεται δεν αφορά την εντολή OpenRowSet. Η εντολή OpenRowSet είναι μια εντολή του Microsoft SQL Server. Το θέμα ευπάθειας αφορά το υποκείμενο στοιχείο ODBC (Open Database Connectivity), το οποίο είναι στοιχείο MDAC. Το στοιχείο OBDC υπάρχει σε όλες τις εκδόσεις των Windows. Επιπλέον, η αρχική ενημερωμένη έκδοση κώδικα ασφαλείας που κυκλοφόρησε μαζί με αυτό δεν εγκαταστάθηκε σωστά σε κάποια συστήματα, εξαιτίας σφάλματος στον τρόπο που το πρόγραμμα Microsoft Windows Installer ενημέρωσε τη μνήμη cache της δυνατότητας "Προστασία αρχείων των Windows" (Windows File Protection). Το ενημερωτικό δελτίο έχει ενημερωθεί ώστε να συμπεριλαμβάνει αυτές τις πρόσθετες πληροφορίες και να κατευθύνει τους χρήστες σε μια ενημερωμένη έκδοση κώδικα ασφαλείας.

Τα στοιχεία MDAC (Microsoft Data Access Components) είναι μια συλλογή στοιχείων που χρησιμοποιούνται για την παροχή σύνδεσης με βάσεις δεδομένων σε λειτουργικά συστήματα Microsoft Windows. Τα MDAC είναι ευρέως διαδεδομένη τεχνολογία και είναι πιθανώς παρούσα στα περισσότερα συστήματα Windows.

Από προεπιλογή, τα MDAC περιλαμβάνονται ως τμήμα των Microsoft Windows XP, των Microsoft Windows 2000 και των Microsoft Windows Millennium Edition (Me). Αρκετά άλλα προϊόντα και τεχνολογίες περιλαμβάνουν επίσης ή εγκαθιστούν τα MDAC. Για παράδειγμα, τα MDAC συμπεριλαμβάνονται τόσο στο Microsoft Windows NT 4.0 Option Pack, όσο και στον Microsoft SQL Server 2000, ενώ κάποια από τα στοιχεία των MDAC υπάρχουν ως μέρος του Microsoft Internet Explorer ακόμα κι όταν τα MDAC δεν είναι εγκατεστημένα. Τα MDAC διατίθενται επίσης και ως αυτόνομη τεχνολογία. Για να κάνετε λήψη των MDAC, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
http://msdn2.microsoft.com/en-us/data/aa937695.aspx


Τα MDAC παρέχουν την υποκείμενη λειτουργικότητα για ένα πλήθος λειτουργιών βάσης δεδομένων, όπως είναι η σύνδεση με απομακρυσμένες βάσεις δεδομένων και η επιστροφή δεδομένων στον υπολογιστή-πελάτη. Συγκεκριμένα, το στοιχείο MDAC, που είναι γνωστό ως ODBC (Open Database Connectivity), παρέχει αυτή τη λειτουργικότητα.

Προκύπτει ένα θέμα ευπάθειας ασφαλείας, επειδή μία από τις λειτουργίες ODBC στα MDAC, η οποία χρησιμοποιείται για σύνδεση με αρχεία προέλευσης δεδομένων, περιέχει ένα buffer που δεν έχει ελεγχθεί. Ένας εισβολέας μπορεί να εκμεταλλευτεί το θέμα ευπάθειας δημιουργώντας μια ιστοσελίδα, η οποία, όταν την επισκέπτεται ένας χρήστης, εκτελεί κώδικα της επιλογής του εισβολέα με πιστοποιήσεις του χρήστη. Η ιστοσελίδα μπορεί να περιέχεται σε μια τοποθεσία Web ή να έχει σταλεί απευθείας στο χρήστη μέσω μηνύματος ηλεκτρονικού ταχυδρομείου.

Στην περίπτωση συστήματος που εκτελεί τον SQL Server, ένας εισβολέας μπορεί να εκμεταλλευτεί αυτό το θέμα ευπάθειας, χρησιμοποιώντας την εντολή Transact-SQL OpenRowSet. Ένας εισβολέας που υποβάλλει ένα ερώτημα βάσης δεδομένων, η οποία περιέχει μια ακατάλληλη παράμετρο σε κλήση προς την εντολή OpenRowSet, ίσως προκαλέσει την υπερχείλιση του buffer, είτε για να παρουσιάσει σφάλμα στον υπολογιστή που εκτελεί τον SQL Server ή να κάνει τον υπολογιστή που εκτελεί τον SQL Server να προβεί σε ενέργειες που υπαγορεύει ο εισβολέας.

Οι παράγοντες που αμβλύνουν τις επιπτώσεις είναι οι εξής:
  • Οι χρήστες που διαβάζουν μηνύματα ηλεκτρονικού ταχυδρομείου ως απλό κείμενο πρέπει να προβούν σε κάποια ενέργεια, προκειμένου να μπορέσει ο εισβολέας να εκμεταλλευτεί το θέμα ευπάθειας.
  • Τα συστήματα που έχουν ρυθμιστεί για την ενεργοποίηση ενεργών δεσμών ενεργειών στον Internet Explorer δεν επηρεάζονται από αυτό το θέμα ευπάθειας.
  • Στο σενάριο εισβολής με βάση το Web, ο εισβολέας πρέπει να επισκεφθεί μια κακόβουλη τοποθεσία στο Web, η οποία ελέγχεται από τον εισβολέα. Ο εισβολέας δεν μπορεί να υποχρεώσει τους χρήστες να επισκεφθούν μια κακόβουλη τοποθεσία Web έξω από το φορέα ηλεκτρονικού ταχυδρομείου HTML. Αντίθετα, ο εισβολέας πρέπει να προσελκύσει τους χρήστες με δόλιο τρόπο στην τοποθεσία Web, συνήθως πείθοντας το χρήστη να κάνει κλικ σε μια σύνδεση που τον μεταφέρει στην τοποθεσία του εισβολέα.
  • Οι πιστοποιήσεις που αποκτούνται μέσω επιτυχούς εισβολής θα ήταν ισοδύναμες με αυτές της εφαρμογής στην οποία εκτελείται το στοιχείο ODBC. Τις περισσότερες φορές, ο εισβολέας αποκτά μόνο το ίδιο επίπεδο πιστοποιήσεων με εκείνες βάσει των οποίων έχει συνδεθεί ο χρήστης.
  • Από προεπιλογή, το Outlook Express 6.0 και το Outlook 2002 ανοίγουν μηνύματα ηλεκτρονικού ταχυδρομείου HTML στη ζώνη "Ελεγχόμενες τοποθεσίες" (Restricted Sites). Επιπλέον, το Outlook 98 και το Outlook 2000 ανοίγουν μηνύματα ηλεκτρονικού ταχυδρομείου HTML στη ζώνη "Ελεγχόμενες τοποθεσίες" (Restricted Sites), εάν έχει εγκατασταθεί η Ενημερωμένη έκδοση κώδικα ασφαλείας για το ηλεκτρονικό ταχυδρομείο του Outlook. Οι πελάτες που χρησιμοποιούν οποιοδήποτε από αυτά τα προϊόντα δεν θα κινδυνεύουν από μια επίθεση μέσω ηλεκτρονικού ταχυδρομείου που προσπάθησε να εκμεταλλευθεί αυτό το θέμα ευπάθειας, εκτός εάν ο χρήστης έκανε κλικ σε κακόβουλη σύνδεση του μηνύματος ηλεκτρονικού ταχυδρομείου.

Περισσότερες πληροφορίες

Πληροφορίες λήψης

Σημείωση Οι ακόλουθες συνδέσεις απεικονίζουν τη νέα ενημερωμένη έκδοση κώδικα ασφαλείας, MS03-033. Το ακόλουθο αρχείο είναι διαθέσιμο για λήψη από το Κέντρο λήψης της Microsoft (Microsoft Download Center):
Σύμπτυξη αυτής της εικόναςΑνάπτυξη αυτής της εικόνας
Λήψη
Άμεση λήψη του πακέτου ενημερωμένης έκδοσης κώδικα ασφαλείας MS03-033 των Microsoft Data Access Components (MDAC). Ημερομηνία κυκλοφορίας: 20 Αυγούστου 2003

Για περισσότερες πληροφορίες σχετικά με τον τρόπο λήψης αρχείων υποστήριξης της Microsoft, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
119591 Τρόπος απόκτησης αρχείων υποστήριξης της Microsoft από ηλεκτρονικές υπηρεσίες
Η Microsoft εξέτασε αυτό το αρχείο για ιούς. Η Microsoft χρησιμοποίησε το πιο πρόσφατο λογισμικό εντοπισμού ιών που ήταν διαθέσιμο κατά την ημερομηνία δημοσίευσης του αρχείου. Το αρχείο είναι αποθηκευμένο σε διακομιστές με ενισχυμένη ασφάλεια, οι οποίοι βοηθούν στην αποτροπή μη εξουσιοδοτημένων αλλαγών στο αρχείο.

Προϋποθέσεις

Πρέπει να εκτελείτε μία από τις ακόλουθες εκδόσεις των MDAC:
  • MDAC 2.5
  • MDAC 2.6
  • MDAC 2.7
Άλλες εκδόσεις των MDAC, όπως η έκδοση MDAC 2.8, δεν επηρεάζονται από αυτό το θέμα ευπάθειας.

Σημείωση Αυτές οι ενημερωμένες εκδόσεις αφορούν όλες τις ισχύουσες γλώσσες.

Επιλογές εγκατάστασης

Πρέπει να ξεκινήσετε πάλι τον υπολογιστή, αφού εφαρμόσετε αυτήν την ενημερωμένη έκδοση. Αυτή η ενημερωμένη έκδοση υποστηρίζει τους εξής διακόπτες του προγράμματος Εγκατάστασης (Setup):
Διακόπτης            Περιγραφή
-----------------------------------------------------------------------
/?                   Εμφανίζει τη λίστα των διακοπτών εγκατάστασης.
/Q                   Εγκατάσταση χωρίς μηνύματα (Quiet mode)
/T:<πλήρης διαδρομή> Καθορίζει τον προσωρινό φάκελο εργασίας
/C                   Εξαγωγή αρχείων μόνο στο φάκελο όταν 
                     χρησιμοποιείται με /T
/C:<Cmd>             Αντικατάσταση εντολής εγκατάστασης που καθορίζεται 
                     από το συντάκτη
/N                   Παράθυρο διαλόγου 
                     "Να μην γίνει επανεκκίνηση" (No restart)
				

Για παράδειγμα, η ακόλουθη εντολή της γραμμής εντολών εγκαθιστά την ενημερωμένη έκδοση χωρίς παρέμβαση του χρήστη και απαγορεύει την επανεκκίνηση:

Q823718_MDAC_SecurityPatch /C:"dahotfix.exe /q /n" /q

Ο διακόπτης /q που έχει καθοριστεί για το αρχείο dahotfix.exe υποστηρίζει την εγκατάσταση χωρίς την παρέμβαση του χρήστη και ο διακόπτης /n εμποδίζει την επανεκκίνηση.

Προειδοποίηση Ο υπολογιστής σας παραμένει ευάλωτος μέχρι την επανεκκίνησή του.

Απαίτηση επανεκκίνησης

Μετά την εφαρμογή αυτής της ενημερωμένης έκδοσης, πρέπει να ξεκινήσετε πάλι τον υπολογιστή σας.

Πληροφορίες κατάργησης

Αυτή η ενημερωμένη έκδοση κώδικα ασφαλείας δεν καταργείται μετά την εγκατάστασή της.

Πληροφορίες αντικατάστασης της ενημερωμένης έκδοσης κώδικα ασφαλείας

Αυτή η ενημερωμένη έκδοση κώδικα ασφαλείας έχει αντικατασταθεί από την ενημερωμένη έκδοση κώδικα ασφαλείας, η οποία παρέχεται από το Ενημερωτικό δελτίο ασφαλείας MS03-033 της Microsoft. Για περισσότερες πληροφορίες σχετικά με το Ενημερωτικό δελτίο ασφαλείας MS03-033 της Microsoft, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
http://www.microsoft.com/technet/security/bulletin/MS03-033.asp
Για πρόσθετες πληροφορίες σχετικά με το Ενημερωτικό δελτίο ασφαλείας MS03-033 της Microsoft, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
823718 MS03-033: Ενημερωμένη έκδοση ασφαλείας για τα Microsoft Data Access Components

Πληροφορίες αρχείου

Η αγγλική έκδοση αυτής της ενημερωμένης έκδοσης κώδικα ασφαλείας έχει τα χαρακτηριστικά αρχείου (ή νεότερα) που αναφέρονται στον παρακάτω πίνακα. Οι ημερομηνίες και οι ώρες για τα αρχεία αυτά αναφέρονται σε συντονισμένη παγκόσμια ώρα (UTC). Όταν προβάλλετε τις πληροφορίες του αρχείου, αυτές μετατρέπονται στην τοπική ώρα. Για να βρείτε τη διαφορά μεταξύ της συντονισμένης παγκόσμιας ώρας (UTC) και της τοπικής ώρας, χρησιμοποιήστε την καρτέλα Ζώνη ώρας (Time Zone) στο εργαλείο "Ημερομηνία και ώρα" (Date and Time) του Πίνακα Ελέγχου (Control Panel).

MDAC 2.5 Service Pack 2

   Ημερομηνία   Ώρα    Έκδοση            Μέγεθος  Όνομα αρχείου
   --------------------------------------------------------------
   23-Jul-2003  20:56  3.520.6100.40     212.992  Odbc32.dll       
   21-Jul-2003  22:24  3.70.11.40         24.848  Odbcbcp.dll
   23-Jul-2003  02:29  3.520.6100.40     102.672  Odbccp32.dll
   21-Jul-2003  22:24  3.70.11.40        524.560  Sqlsrv32.dll
				

MDAC 2.5 Service Pack 3

   Ημερομηνία   Ώρα    Έκδοση            Μέγεθος  Όνομα αρχείου
   --------------------------------------------------------------
   24-Jul-2003  00:13  3.520.6300.40     212.992  Odbc32.dll
   21-Jul-2003  22:24  3.70.11.40         24.848  Odbcbcp.dll
   24-Jul-2003  00:11  3.520.6300.40     102.672  Odbccp32.dll
   21-Jul-2003  22:24  3.70.11.40        524.560  Sqlsrv32.dll
				

MDAC 2.6 Service Pack 2

   Ημερομηνία   Ώρα    Έκδοση            Μέγεθος  Όνομα αρχείου
   --------------------------------------------------------------
   21-Jul-2003  17:28  2000.80.746.0      86.588  Dbnetlib.dll
   22-Jul-2003  22:04  3.520.7501.40     217.360  Odbc32.dll
   21-Jul-2003  17:28  2000.80.746.0      29.252  Odbcbcp.dll
   22-Jul-2003  22:04  3.520.7501.40     102.672  Odbccp32.dll
   31-Jul-2003  23:07  2000.80.746.0     479.800  Sqloledb.dll
   21-Jul-2003  17:28  2000.80.746.0     455.236  Sqlsrv32.dll
 				

MDAC 2.7 RTM

   Ημερομηνία   Ώρα    Έκδοση            Μέγεθος  Όνομα αρχείου
   --------------------------------------------------------------
   31-Jul-2003  17:49  2000.81.9001.40    61.440  Dbnetlib.dll
   22-Jul-2003  23:04  3.520.9001.40     204.800  Odbc32.dll
   22-Jul-2003  23:10  2000.81.9001.40    24.576  Odbcbcp.dll
   22-Jul-2003  23:10  3.520.9001.40      94.208  Odbccp32.dll
   31-Jul-2003  17:49  2000.81.9001.40   450.560  Sqloledb.dll
   22-Jul-2003  23:08  2000.81.9001.40   356.352  Sqlsrv32.dll
				

MDAC 2.7 Service Pack 1

   Ημερομηνία   Ώρα    Έκδοση            Μέγεθος  Όνομα αρχείου
   --------------------------------------------------------------
   22-Jul-2003  18:27  2000.81.9041.40    61.440  Dbnetlib.dll
   22-Jul-2003  18:22  3.520.9041.40     204.800  Odbc32.dll
   22-Jul-2003  18:28  2000.81.9041.40    24.576  Odbcbcp.dll
   22-Jul-2003  18:28  3.520.9041.40      98.304  Odbccp32.dll
   31-Jul-2003  18:47  2000.81.9041.40   471.040  Sqloledb.dll
   22-Jul-2003  18:27  2000.81.9041.40   385.024  Sqlsrv32.dll
				

Επαλήθευση

Βεβαιωθείτε ότι έχετε τις σωστές εκδόσεις των αρχείων που περιλαμβάνονται σε αυτό το άρθρο.

Αναφορές

Για πρόσθετες πληροφορίες σχετικά με το Ενημερωτικό δελτίο ασφαλείας MS02-040 της Microsoft, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-040.asp

Ιδιότητες

Αναγν. άρθρου: 326573 - Τελευταία αναθεώρηση: Δευτέρα, 24 Φεβρουαρίου 2014 - Αναθεώρηση: 5.3
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Data Access Components 2.5
  • Microsoft Data Access Components 2.6
  • Microsoft Data Access Components 2.7
Λέξεις-κλειδιά: 
kbnosurvey kbarchive kbbug kbfix kbqfe kbsecbulletin kbsechack kbsecurity kbsecvulnerability KB326573

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com