MS02-040 : Mise à jour de la sécurité pour Microsoft Data Access Components

Traductions disponibles Traductions disponibles
Numéro d'article: 326573 - Voir les produits auxquels s'applique cet article
Cet article peut contenir des liens vers des informations en langue anglaise (pas encore traduites).
Avertissement

Remplacement de MS02-040

Cette mise à jour de la sécurité a été remplacée par le Bulletin de sécurité Microsoft MS03-033 :
http://www.microsoft.com/technet/security/bulletin/MS03-033.mspx
Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
823718 MS03-033 : Mise à jour de la sécurité pour Microsoft Data Access Components
Remarque Pour afficher les téléchargements du Bulletin de sécurité Microsoft MS03-033, reportez-vous à la section "Informations sur le téléchargement" de cet article.
Cet article a été archivé. Il est proposé « en l'état » et ne sera plus mis à jour.
Agrandir tout | Réduire tout

Sommaire

Résumé

Après la publication de ce bulletin, il a été déterminé que la faille de sécurité n'était pas liée à la commande OpenRowSet. OpenRowSet est une commande Microsoft SQL Server. Au lieu de cela, le problème est dû à la connectivité ODBC (Open Database Connectivity) du composant MDAC sous-jacent. La connectivité ODBC est présente dans toutes les versions de Windows. En outre, le correctif de sécurité publié à l'origine ne s'installait pas correctement sur certains systèmes à cause d'un défaut dans la manière dont Microsoft Windows Installer mettait à jour le cache de protection des fichiers Windows. Le bulletin a été mis à jour afin d'inclure ces informations supplémentaires et de diriger les utilisateurs vers un correctif de sécurité mis à jour.

MDAC est un ensemble de composants utilisés pour fournir une connectivité à des bases de données sur les systèmes d'exploitation Microsoft Windows. Cette technologie est largement répandue et présente sur la plupart des systèmes Windows.

Par défaut, MDAC est fourni avec Microsoft Windows XP, Microsoft Windows 2000 et Microsoft Windows Millennium Edition. Ces composants sont également fournis avec plusieurs autres produits et technologies. Par exemple, Microsoft Windows NT 4.0 Option Pack et Microsoft SQL Server 2000 contiennent tous deux MDAC, et certains composants MDAC sont présents dans Microsoft Internet Explorer même si la technologie MDAC en elle-même n'est pas installée. MDAC est également disponible en version autonome. Pour télécharger MDAC, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais) :
http://msdn2.microsoft.com/en-us/data/aa937695.aspx


Les composants MDAC fournissent les fonctionnalités de base pour de nombreuses opérations de bases de données, telles que la connexion à des bases de données distantes et le renvoi de données à un client. Plus précisément, cette fonctionnalité est offerte par le composant MDAC nommé ODBC.

Il existe un problème de sécurité car l'une des fonctions ODBC de MDAC utilisées pour établir la connexion aux sources de données contient un tampon non contrôlé. Un utilisateur malveillant peut tenter d'exploiter ce problème en créant une page Web qui, lorsqu'elle reçoit la visite d'un utilisateur, peut exécuter du code choisi par l'utilisateur malveillant à l'aide des informations d'identification de l'utilisateur visiteur. La page Web peut être hébergée sur un site Web ou envoyée directement à l'utilisateur dans un message électronique.

Dans le cas d'un système qui exécute SQL Server, un utilisateur malveillant peut tenter d'exploiter ce problème au moyen d'une commande OpenRowSet Transact-SQL. Un utilisateur malveillant qui soumet une requête de base de données contenant un paramètre spécialement mal formé dans un appel à OpenRowSet peut provoquer un dépassement de capacité de la mémoire tampon avec pour conséquence le blocage de l'ordinateur SQL Server ou l'exécution d'actions déterminées par l'utilisateur malveillant.

Les facteurs atténuants sont les suivants :
  • Pour qu'un utilisateur malveillant puisse exploiter ce problème, les utilisateurs qui lisent leurs messages électroniques en texte clair doivent effectuer une action.
  • Les systèmes configurés pour désactiver Active Scripting dans Internet Explorer ne sont pas affectés par ce problème.
  • Dans le scénario d'attaque par le Web, un utilisateur doit visiter un site Web contrôlé par l'utilisateur malveillant. Un agresseur ne peut forcer les utilisateurs à visiter un site Web malveillant en dehors du vecteur de messagerie électronique HTML. Au lieu de cela, l'agresseur doit les y attirer, généralement en les incitant à cliquer sur un lien qui mène à son site Web.
  • Les informations d'identification obtenues suite à la réussite d'une attaque seraient identiques à celles de l'application sous laquelle ODBC est exécuté. La plupart du temps, l'agresseur n'obtient que les informations d'identification avec lesquels l'utilisateur a ouvert une session.
  • Par défaut, Outlook Express 6.0 et Outlook 2002 ouvrent le courrier au format HTML dans la zone Sites sensibles. En outre, Outlook 98 et Outlook 2000 ouvrent le courrier au format HTML dans la zone Sites sensibles si la mise à jour de la sécurité de la messagerie électronique Microsoft Outlook a été installée. Les clients qui utilisent ces produits ne sont pas exposés aux attaques par messagerie électronique qui essaient d'exploiter ce problème, sauf si l'utilisateur clique sur un lien nuisible dans un message électronique.

Plus d'informations

Informations sur le téléchargement

Remarque Les liens suivants reflètent la publication du nouveau correctif de sécurité, MS03-033. Vous pouvez télécharger le fichier suivant à partir du Centre de téléchargement Microsoft :
Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package MS03-033 du correctif de sécurité pour Microsoft Data Access Components (MDAC) maintenant. Date de publication : 20 août 2003

Pour plus d'informations sur la façon de télécharger des fichiers du Support technique Microsoft, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
119591 Comment obtenir des fichiers de support technique Microsoft auprès des services en ligne
Microsoft a analysé ce fichier en vue de détecter la présence de virus. Microsoft a utilisé les logiciels de détection de virus les plus récents disponibles à la date de publication de ce fichier. Le fichier est conservé sur des serveurs sécurisés, empêchant toute modification non autorisée du fichier.

Conditions préalables

Vous devez exécuter l'une des versions suivantes des composants MDAC :
  • MDAC 2.5
  • MDAC 2.6
  • MDAC 2.7
Les autres versions des composants MDAC (y compris MDAC 2.8) ne sont pas affectées par ce problème.

Remarque Ces mises à jour s'appliquent à toutes les langues applicables.

Options d'installation

Vous devez redémarrer votre ordinateur après avoir appliqué cette mise à jour. Celle-ci prend en charge les commutateurs d'installation suivants :
Par exemple, la ligne de commande suivante installe la mise à jour sans intervention de la part de l'utilisateur et sans redémarrage de l'ordinateur :

Q823718_MDAC_SecurityPatch /C:"dahotfix.exe /q /n" /q

Le commutateur /q spécifié pour dahotfix.exe permet d'effectuer une installation silencieuse et le commutateur /n empêche le redémarrage de l'ordinateur.

Avertissement Votre ordinateur reste vulnérable tant que vous ne l'avez pas redémarré.

Conditions requises pour le redémarrage

Vous devez redémarrer votre ordinateur après avoir appliqué cette mise à jour.

Informations sur la suppression

Après avoir installé ce correctif de sécurité, vous ne pouvez plus le supprimer.

Informations sur le remplacement du correctif de sécurité

Ce correctif de sécurité a été remplacé par le correctif de sécurité fourni dans le Bulletin de sécurité Microsoft MS03-033. Pour plus d'informations sur le Bulletin de sécurité Microsoft MS03-033, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://www.microsoft.com/france/technet/themes/secur/info/info.asp?mar=/france/technet/themes/secur/info/MS03-033.html
Pour plus d'informations sur le Bulletin de sécurité Microsoft MS03-033, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
823718 MS03-033 : Mise à jour de la sécurité pour Microsoft Data Access Components

Informations sur les fichiers

La version anglaise de ce correctif de sécurité dispose des attributs de fichier répertoriés dans le tableau suivant ou ceux d'une version ultérieure. Les date et heure de création de ces fichiers sont exprimées en temps universel coordonné (UTC). Lorsque vous affichez les informations des fichiers, les données sont converties à l'heure locale. Pour connaître le décalage entre l'heure UTC et l'heure locale, utilisez l'onglet Fuseau horaire de l'utilitaire Date et heure du Panneau de configuration.

Service Pack 2 MDAC 2.5

Service Pack 3 MDAC 2.5

Service Pack 2 MDAC 2.6

MDAC 2.7 RTM

Service Pack 1 MDAC 2.7

Vérification

Assurez-vous de disposer des versions appropriées des fichiers répertoriés dans cet article.

Références

Pour plus d'informations sur le Bulletin de sécurité Microsoft MS02-040, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais) :
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-040.mspx

Propriétés

Numéro d'article: 326573 - Dernière mise à jour: lundi 24 février 2014 - Version: 6.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Data Access Components 2.5
  • Microsoft Data Access Components 2.6
  • Microsoft Data Access Components 2.7
Mots-clés : 
kbnosurvey kbarchive kbbug kbfix kbqfe kbsecbulletin kbsechack kbsecurity kbsecvulnerability KB326573
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com