MS02-040: Aggiornamento della protezione per Microsoft Data Access Components

Traduzione articoli Traduzione articoli
Identificativo articolo: 326573 - Visualizza i prodotti a cui si riferisce l?articolo.
Avviso

Sostituzione di MS02-040

Questa versione della patch di protezione Ŕ stata sostituita dal Bollettino Microsoft sulla sicurezza MS03-033:
http://www.microsoft.com/italy/technet/solutions/security/ms03_033.asp
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
823718 MS03-033: Aggiornamento della protezione per Microsoft Data Access Components
Nota Per visualizzare i collegamenti per il download relativi al Bollettino Microsoft sulla sicurezza MS03-033, fare riferimento alla sezione "Informazioni sul download" in questo articolo.
Questo articolo Ŕ stato archiviato. L?articolo, quindi, viene offerto ?cosý come Ŕ? e non verrÓ pi¨ aggiornato.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

Dopo il rilascio di questo bollettino, Ŕ stato determinato che il problema di protezione a cui si riferisce non riguarda il comando OpenRowSet. OpenRowSet Ŕ infatti un comando di Microsoft SQL Server, mentre il problema di vulnerabilitÓ si riferisce al componente MDAC ODBC (Open Database Connectivity) sottostante. ODBC Ŕ incluso in tutte le versioni di Windows. Inoltre, la patch di protezione originale rilasciata con il bollettino non veniva installata correttamente in alcuni sistemi a causa di un difetto nel metodo di aggiornamento della cache di Protezione file di Windows. Il bollettino Ŕ stato modificato con queste informazioni aggiuntive e per indicare agli utenti come scaricare la patch di protezione aggiornata.

Microsoft Data Access Components (MDAC) Ŕ una raccolta di componenti utilizzati per fornire connettivitÓ di database nei sistemi operativi Microsoft Windows. MDAC Ŕ una tecnologia molto diffusa ed Ŕ probabile che sia presente sulla maggior parte dei sistemi Windows.

In base all'impostazione predefinita, MDAC Ŕ incluso in Microsoft Windows XP, Microsoft Windows 2000 e Microsoft Windows Millennium Edition (ME). MDAC Ŕ incluso o viene installato da numerosi altri prodotti e tecnologie, ad esempio in Microsoft Windows NT 4.0 Option Pack, Microsoft SQL Server 2000 e alcuni componenti di MDAC fanno parte di Microsoft Internet Explorer anche se MDAC non Ŕ installato. MDAC Ŕ disponibile anche come tecnologia autonoma. Per scaricare MDAC, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
http://msdn2.microsoft.com/en-us/data/aa937695.aspx


MDAC offre le funzionalitÓ di base per numerose operazioni di database, quali la connessione a database remoti e la restituzione di dati a un client. In particolare, questa funzionalitÓ viene fornita dal componente MDAC conosciuto come ODBC (Open Database Connectivity).

Esiste un problema di protezione causato dal fatto che una delle funzioni ODBC in MDAC, utilizzata per connettersi alle origini dati, contiene un buffer non controllato. Un utente malintenzionato pu˛ tentare di sfruttare questo problema di protezione creando una pagina Web che, quando viene visitata dall'utente, pu˛ attivare l'esecuzione di codice dannoso con le credenziali dell'utente. La pagina Web pu˛ essere inserita in un sito Web o inviata direttamente all'utente con un messaggio di posta elettronica.

Nel caso di un sistema che esegue SQL Server l'utente malintenzionato pu˛ tentare di sfruttare il problema di protezione utilizzando il comando OpenRowSet di Transact-SQL. Un utente malintenzionato che invia una query di database contenente un parametro formulato erroneamente all'interno di una chiamata a OpenRowSet, potrebbe causare un sovraccarico del buffer allo scopo di provocare l'arresto del computer che esegue SQL Server o di fare in modo che esegua operazioni imposte.

Di seguito sono elencati i fattori attenuanti:
  • Gli utenti che accedono ai messaggi di posta elettronica in formato testo normale devono eseguire un'operazione prima che un utente malintenzionato possa sfruttare questo problema di protezione.
  • I sistemi configurati per la disattivazione di script attivi in Internet Explorer non sono soggetti a questa vulnerabilitÓ.
  • Nel caso di un attacco tramite Web, l'utente dovrÓ visitare un sito Web dannoso sotto il controllo dell'utente malintenzionato. Quest'ultimo non pu˛ comunque indurre un utente a visitare automaticamente un sito Web pericoloso all'esterno del vettore di posta elettronica HTML. DovrÓ invece attirare l'utente in quel sito, di solito inducendolo a fare clic su un collegamento a tale sito Web.
  • Le credenziali ottenute mediante un attacco sono le stesse dell'applicazione nell'ambito della quale Ŕ in esecuzione ODBC. Quasi sempre l'utente malintenzionato ottiene solo lo stesso livello di credenziali utilizzate dall'utente per connettersi al sistema.
  • In base all'impostazione predefinita, in Outlook Express 6.0 e Outlook 2002 i messaggi di posta in formato HTML vengono aperti nell'area Siti con restrizioni. Anche in Outlook 98 e in Outlook 2000 i messaggi di posta elettronica in formato HTML vengono aperti nell'area Siti con restrizioni, ma solo se Ŕ stato installato l'aggiornamento per la protezione della posta elettronica di Outlook. Gli utenti che utilizzano uno qualsiasi di questi prodotti non dovrebbero correre alcun rischio in seguito a un attacco sferrato tramite posta elettronica che tentasse di sfruttare queste vulnerabilitÓ, a meno che l'utente faccia clic sul collegamento contenuto nel messaggio di posta elettronica.

Informazioni

Informazioni sul download

Nota Di seguito Ŕ riportato il collegamento alla nuova patch di protezione, MS03-033. Il seguente file Ŕ disponibile per il download dall'Area download Microsoft:
Download della patch di protezione MS03-033 per Microsoft Data Access Components (MDAC) Data di rilascio: 20 agosto 2003

Per ulteriori informazioni sul download di file di supporto Microsoft, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
119591 Come ottenere file di supporto Microsoft dai servizi online
Il file Ŕ stato controllato e non contiene virus. Microsoft ha utilizzato il software antivirus pi¨ recente disponibile al momento della data di pubblicazione del file. Il file viene salvato su server con un livello di protezione avanzata che impedisce modifiche non autorizzate.

Prerequisiti

╚ necessario che sia in esecuzione una delle seguenti versioni di MDAC:
  • MDAC 2.5
  • MDAC 2.6
  • MDAC 2.7
Le altre versioni di MDAC, incluso MDAC 2.8, non sono soggette a questa vulnerabilitÓ.

Nota Questi aggiornamenti sono applicabili a tutte le lingue supportate.

Opzioni di installazione

╚ necessario riavviare il computer una volta applicato l'aggiornamento. Questo aggiornamento supporta i seguenti parametri di installazione:
Parametro           Descrizione
----------------------------------------------------------------------------------------------------------------------
/?                  Visualizza l'elenco dei parametri di installazione
/Q                  Consente di eseguire l'installazione senza intervento dell'utente
/T:<full path>      Consente di specificare la cartella temporanea di lavoro
/C                  Consente di estrarre i file solo nella cartella specificata, se utilizzato assieme al parametro /T
/C:<Cmd>            Consente di ignorare il comando di installazione definito dall'autore
/N                  Consente di non visualizzare alcuna finestra di dialogo relativa al riavvio

La riga di comando riportata di seguito consente, ad esempio, di installare l'aggiornamento senza intervento dell'utente e senza riavviare il computer:

Q823718_MDAC_SecurityPatch /C:"dahotfix.exe /q /n" /q

L'opzione /q specificata per dahotfix.exe viene utilizzata per l'installazione invisibile all'utente, mentre l'opzione /n evita il riavvio.

Avviso Il computer risulterÓ vulnerabile finchÚ non sarÓ stato riavviato.

Richiesta di riavvio

╚ necessario riavviare il computer una volta applicato l'aggiornamento.

Informazioni sulla rimozione

Non Ŕ possibile rimuovere questa patch di protezione dopo l'installazione.

Informazioni sulla sostituzione della patch di protezione

Questa patch di protezione Ŕ stata sostituita dalla patch di protezione inclusa nel Bollettino Microsoft sulla sicurezza MS03-033. Per ulteriori informazioni sul Bollettino Microsoft per la sicurezza MS03-033, visitare il seguente sito Web Microsoft:
http://www.microsoft.com/italy/technet/solutions/security/ms03_033.asp
Per ulteriori informazioni sul Bollettino Microsoft sulla sicurezza MS03-033, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
823718 MS03-033: Aggiornamento della protezione per Microsoft Data Access Components

Informazioni sui file

La versione in lingua inglese di questa patch di protezione ha gli attributi di file elencati nella tabella seguente (o successivi). Date e ore elencate di seguito sono espresse in UTC. Quando si visualizzano le informazioni sul file, l'ora viene convertita in ora locale. Per calcolare la differenza tra l'ora UTC e quella locale, utilizzare la scheda Fuso orario dello strumento Data e ora del Pannello di controllo.

MDAC 2.5 Service Pack 2

   Data          Ora    Versione         Dimensione  Nome file
   --------------------------------------------------------------
   23/07/2003    20.56  3.520.6100.40    212.992     Odbc32.dll       
   21/07/2003    22.24  3.70.11.40        24.848     Odbcbcp.dll      
   23/07/2003    02.29  3.520.6100.40    102.672     Odbccp32.dll     
   21/07/2003    22.24  3.70.11.40       524.560     Sqlsrv32.dll     

MDAC 2.5 Service Pack 3

   Data          Ora    Versione         Dimensione  Nome file
   --------------------------------------------------------------
   24/07/2003    00.13  3.520.6300.40    212.992     Odbc32.dll       
   21/07/2003    22.24  3.70.11.40        24.848     Odbcbcp.dll      
   24/07/2003    00.11  3.520.6300.40    102.672     Odbccp32.dll     
   21/07/2003    22.24  3.70.11.40       524.560     Sqlsrv32.dll     

MDAC 2.6 Service Pack 2

   Data          Ora    Versione         Dimensione  Nome file
   --------------------------------------------------------------
   21/07/2003    17.28  2000.80.746.0     86.588     Dbnetlib.dll     
   22/07/2003    22.04  3.520.7501.40    217.360     Odbc32.dll       
   21/07/2003    17.28  2000.80.746.0     29.252     Odbcbcp.dll      
   22/07/2003    22.04  3.520.7501.40    102.672     Odbccp32.dll     
   31/07/2003    23.07  2000.80.746.0    479.800     Sqloledb.dll     
   21/07/2003    17.28  2000.80.746.0    455.236     Sqlsrv32.dll     

MDAC 2.7 RTM

   Data          Ora    Versione         Dimensione  Nome file
   --------------------------------------------------------------
   31/07/2003    17.49  2000.81.9001.40   61.440     Dbnetlib.dll     
   22/07/2003    23.04  3.520.9001.40    204.800     Odbc32.dll       
   22/07/2003    23.10  2000.81.9001.40   24.576     Odbcbcp.dll      
   22/07/2003    23.10  3.520.9001.40     94.208     Odbccp32.dll     
   31/07/2003    17.49  2000.81.9001.40  450.560     Sqloledb.dll     
   22/07/2003    23.08  2000.81.9001.40  356.352     Sqlsrv32.dll     

MDAC 2.7 Service Pack 1

   Data          Ora    Versione         Dimensione  Nome file
   --------------------------------------------------------------
   22/07/2003    18.27  2000.81.9041.40   61.440     Dbnetlib.dll     
   22/07/2003    18.22  3.520.9041.40    204.800     Odbc32.dll       
   22/07/2003    18.28  2000.81.9041.40   24.576     Odbcbcp.dll      
   22/07/2003    18.28  3.520.9041.40     98.304     Odbccp32.dll     
   31/07/2003    18.47  2000.81.9041.40  471.040     Sqloledb.dll     
   22/07/2003    18.27  2000.81.9041.40  385.024     Sqlsrv32.dll

Verifica

Assicurarsi di disporre delle versioni corrette dei file elencati in questo articolo.

Riferimenti

Per ulteriori informazioni sul Bollettino Microsoft sulla sicurezza MS03-040, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
http://www.microsoft.com/technet/security/bulletin/MS02-040.mspx

ProprietÓ

Identificativo articolo: 326573 - Ultima modifica: lunedý 24 febbraio 2014 - Revisione: 5.2
Le informazioni in questo articolo si applicano a
  • Microsoft Data Access Components 2.5
  • Microsoft Data Access Components 2.6
  • Microsoft Data Access Components 2.7
Chiavi:á
kbnosurvey kbarchive kbbug kbfix kbqfe kbsecbulletin kbsechack kbsecurity kbsecvulnerability KB326573
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com