MS02-040: Actualización de seguridad para Microsoft Data Access Components

Seleccione idioma Seleccione idioma
Id. de artículo: 326573 - Ver los productos a los que se aplica este artículo
Aviso

Sustitución de MS02-040

Esta versión de seguridad ha quedado reemplazada por el Boletín de seguridad de Microsoft MS03-033:
http://www.microsoft.com/spain/technet/seguridad/boletines/MS03-033-IT.asp
Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
823718 MS03-033: Actualización de seguridad para Microsoft Data Access Components
Nota: para ver descargas para el Boletín de seguridad de Microsoft MS03-033, consulte la sección "Información de descarga" de este artículo.
Este artículo se ha archivado. Se ofrece "tal cual" y no se volverá a actualizar.
Expandir todo | Contraer todo

En esta página

Resumen

Después de publicarse este boletín, se determinó que la vulnerabilidad corregida no afectaba al comando OpenRowSet. OpenRowSet es un comando de Microsoft SQL Server. En su lugar, la vulnerabilidad esá relacionada con el componente subyacente de MDAC Conectividad abierta de bases de datos (ODBC). OBDC está presente en todas las versiones de Windows. Además, la revisión de seguridad original publicada no se instalaba correctamente en algunos sistemas debido a un error en la forma en que Microsoft Windows Installer actualizaba la caché de Protección de archivos de Windows. Se ha actualizado el boletín para incluir esta información adicional y para proporcionar a los usuarios una revisión de seguridad actualizada.

Microsoft Data Access Components (MDAC) es un conjunto de componentes que se utilizan para proporcionar conectividad a bases de datos en los sistemas operativos Microsoft Windows. MDAC es una tecnología ubicua que probablemente está presente en la mayoría de los sistemas Windows.

De manera predeterminada, MDAC se incluye como parte de Microsoft Windows XP, Microsoft Windows 2000 y Microsoft Windows Millennium Edition (Me). Otros productos y tecnologías también incluyen o instalan MDAC. Por ejemplo, MDAC se incluye en Microsoft Windows NT 4.0 Option Pack y en Microsoft SQL Server 2000, y algunos componentes de MDAC forman parte de Microsoft Internet Explorer incluso aunque no se haya instalado MDAC. MDAC está disponible también como tecnología independiente. Para descargar MDAC, visite el siguiente sitio Web de Microsoft:
http://msdn2.microsoft.com/en-us/data/aa937695.aspx


MDAC proporciona la funcionalidad subyacente para una serie de operaciones de bases de datos, como la conexión con bases de datos remotas y la devolución de datos a un cliente. En concreto, es el componente de MDAC conocido como Conectividad abierta de bases de datos (ODBC) el que proporciona esta funcionalidad.

Se produce una vulnerabilidad de seguridad porque una de las funciones ODBC de MDAC que se utiliza para conectarse a orígenes de datos contiene un búfer sin comprobar. Un atacante puede explotar esta vulnerabilidad si construye una página Web que, cuando el usuario la visite, pueda ejecutar el código que desee el atacante con las credenciales del usuario. La página Web puede estar alojada en un sitio Web o puede enviarse directamente al usuario en un mensaje de correo electrónico.

En el caso de un sistema que ejecuta SQL Server, un atacante puede explotar esta vulnerabilidad mediante el comando OpenRowSet de Transact-SQL. Un atacante que envíe una consulta de base de datos que contenga un parámetro especialmente mal formulado en una llamada a OpenRowSet puede desbordar el búfer, haciendo que el equipo donde se ejecuta SQL Server produzca un error o realice las acciones dictadas por el atacante.

Los factores atenuantes son los siguientes:
  • Los usuarios que leen los mensajes de correo electrónico como texto sin cifrar deben realizar una acción antes de que un atacante pueda explotar esta vulnerabilidad.
  • Los sistemas configurados para deshabilitar las secuencias de comandos activas en Internet Explorer no se ven afectados por esta vulnerabilidad.
  • En el caso de un ataque basado en Web, un usuario debe visitar un sitio Web malintencionado que esté bajo control de un atacante. Un atacante no puede obligar a los usuarios a visitar un sitio Web malintencionado que esté fuera del vector de correo electrónico HTML. En su lugar, un atacante debe atraer a los usuarios al sitio Web, normalmente haciendo que los usuarios hagan clic en un vínculo que les lleve al sitio Web del atacante.
  • Las credenciales obtenidas mediante un ataque con éxito serían iguales que las de la aplicación bajo la que se esté ejecutando ODBC. La mayoría de las veces, un atacante sólo consigue el mismo nivel de credenciales que el usuario que ha iniciado sesión.
  • De manera predeterminada, Outlook Express 6.0 y Outlook 2002 abren el correo HTML en la zona Sitios restringidos. Además, Outlook 98 y Outlook 2000 abren el correo HTML en la zona Sitios restringidos si está instalada la actualización de seguridad de correo electrónico de Outlook. Los clientes que utilicen cualquiera de estos productos no estarán expuestos a ningún ataque por correo electrónico que intente explotar esta vulnerabilidad a menos que el usuario haya hecho clic en un vínculo malintencionado del mensaje de correo.

Más información

Información de descarga

Nota: los vínculos siguientes reflejan la nueva revisión de seguridad, MS03-033. El archivo siguiente se puede descargar desde el Centro de descarga de Microsoft:
Contraer esta imagenAmpliar esta imagen
Descargar
Descargue ahora el paquete de la revisión de seguridad MS03-033 de Microsoft Data Access Components (MDAC). Fecha de publicación: 20 de agosto de 2003

Para obtener información adicional acerca de cómo descargar los archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
119591 Cómo obtener Archivos de soporte técnico de Microsoft desde los servicios en línea
Microsoft exploró este archivo en busca de virus con el software de detección de virus más reciente disponible en la fecha de publicación. Asimismo, el archivo se almacenó en servidores seguros que ayudan a impedir la realización de cambios no autorizados.

Requisitos previos

Debe ejecutar una de las siguientes versiones de MDAC:
  • MDAC 2.5
  • MDAC 2.6
  • MDAC 2.7
Las otras versiones de MDAC, incluyendo MDAC 2.8, no se ven afectadas por esta vulnerabilidad.

Nota: estas actualizaciones se aplican a todos los idiomas.

Opciones de instalación

Una vez aplicada esta actualización, debe reiniciar el equipo. Esta actualización acepta los siguientes modificadores de instalación:

Contraer esta tablaAmpliar esta tabla
ModificadorDescripción
/?Muestra la lista de modificadores de instalación
/QModo silencioso
/T:<ruta de acceso completa>Especifica la carpeta de trabajo temporal
/CExtrae los archivos a la carpeta sólo cuando se usa con /T
/C:<Comando>Reemplaza al comando de instalación definido por el autor
/NSin cuadro de diálogo de reinicio



Por ejemplo, la línea de comandos siguiente instala la actualización sin la intervención del usuario y suprime un reinicio:

Q823718_MDAC_SecurityPatch /C:"dahotfix.exe /q /n" /q

El modificador /q especificado para dahotfix.exe corresponde a una instalación silenciosa y el modificador /n suprime un reinicio.

Advertencia: el equipo seguirá siendo vulnerable hasta que lo reinicie.

Requisitos de reinicio

después de aplicar esta actualización, debe reiniciar el equipo.

Información de eliminación

Una vez instalada, esta revisión de seguridad no se puede quitar.

Información acerca de la sustitución de la revisión de seguridad

Esta revisión de seguridad ha quedado reemplazada por la revisión de seguridad incluida en el Boletín de seguridad de Microsoft MS03-033. Para obtener más información acerca del Boletín de seguridad de Microsoft MS03-033, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/spain/technet/seguridad/boletines/MS03-033-IT.asp
Para obtener información adicional acerca del Boletín de seguridad de Microsoft MS03-033, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
823718 MS03-033: Actualización de seguridad para Microsoft Data Access Components

Información sobre archivos

La versión en inglés de esta revisión de seguridad tiene los atributos de archivo enumerados en la siguiente tabla u otros posteriores. Las fechas y las horas de estos archivos se muestran según el Horario universal coordinado (UTC). Cuando vea la información de archivo, se convertirá a la hora local. Para ver la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria de la herramienta Fecha y hora del Panel de control.

Service Pack 2 de MDAC 2.5

Contraer esta tablaAmpliar esta tabla
FechaHoraVersiónTamañoNombre de archivo
23-Jul-200320:563.520.6100.40212.992Odbc32.dll
21-Jul-200322:243.70.11.4024.848Odbcbcp.dll
23-Jul-200302:293.520.6100.40102.672Odbccp32.dll
21-Jul-200322:243.70.11.40524.560Sqlsrv32.dll


Service Pack 3 de MDAC 2.5

Contraer esta tablaAmpliar esta tabla
FechaHoraVersiónTamañoNombre de archivo
24-Jul-200300:133.520.6300.40212.992Odbc32.dll
21-Jul-200322:243.70.11.4024.848Odbcbcp.dll
24-Jul-200300:113.520.6300.40102.672Odbccp32.dll
21-Jul-200322:243.70.11.40524.560Sqlsrv32.dll


Service Pack 2 de MDAC 2.6

Contraer esta tablaAmpliar esta tabla
FechaHoraVersiónTamañoNombre de archivo
21-Jul-200317:282000.80.746.0 86.588Dbnetlib.dll
22-Jul-200322:043.520.7501.40217.360Odbc32.dll
21-Jul-200317:282000.80.746.0 29.252Odbcbcp.dll
22-Jul-200322:043.520.7501.40102.672Odbccp32.dll
31-Jul-200323:072000.80.746.0 479.800Sqloledb.dll
21-Jul-200317:282000.80.746.0 455.236Sqlsrv32.dll


RTM de MDAC 2.7

Contraer esta tablaAmpliar esta tabla
FechaHoraVersiónTamañoNombre de archivo
31-Jul-200317:492000.81.9001.4061.440Dbnetlib.dll
22-Jul-200323:043.520.9001.40204.800Odbc32.dll
22-Jul-200323:102000.81.9001.4024.576Odbcbcp.dll
22-Jul-200323:103.520.9001.4094.208Odbccp32.dll
31-Jul-200317:492000.81.9001.40450.560Sqloledb.dll
22-Jul-200323:082000.81.9001.40356.352Sqlsrv32.dll


Service Pack 1 de MDAC 2.7

Contraer esta tablaAmpliar esta tabla
FechaHoraVersiónTamañoNombre de archivo
22-Jul-200318:272000.81.9041.4061.440Dbnetlib.dll
22-Jul-200318:223.520.9041.40204.800Odbc32.dll
22-Jul-200318:282000.81.9041.4024.576Odbcbcp.dll
22-Jul-200318:283.520.9041.4098.304Odbccp32.dll
31-Jul-200318:472000.81.9041.40471.040Sqloledb.dll
22-Jul-200318:472000.81.9041.40385.024Sqlsrv32.dll


Comprobación

Compruebe que tiene las versiones correctas de los archivos enumerados en este artículo.

Referencias

Para obtener información adicional acerca del Boletín de seguridad de Microsoft MS02-40, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-040.asp

Propiedades

Id. de artículo: 326573 - Última revisión: lunes, 24 de febrero de 2014 - Versión: 5.2
La información de este artículo se refiere a:
  • Microsoft Data Access Components 2.5
  • Microsoft Data Access Components 2.6
  • Microsoft Data Access Components 2.7
Palabras clave: 
kbnosurvey kbarchive kbbug kbfix kbqfe kbsecbulletin kbsechack kbsecurity kbsecvulnerability KB326573

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com