MS02-040: Beveiligingsupdate voor MDAC (Microsoft Data Access Components)

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 326573 - Bekijk de producten waarop dit artikel van toepassing is.
Opmerking

Vervanging van MS02-040

Deze beveiligingsrelease is vervangen door Microsoft Security Bulletin MS03-033:
http://www.microsoft.com/technet/security/bulletin/MS03-033.asp
Ga naar het volgende artikel in de Microsoft Knowledge Base voor meer informatie:
823718 MS03-033: Beveiligingsupdate voor MDAC (Microsoft Data Access Components)
Opmerking: als u de downloads voor Microsoft Security Bulletin MS03-033 wilt bekijken, gaat u naar de sectie 'Downloadgegevens' van dit artikel.
Dit artikel is gearchiveerd. Het wordt aangeboden in de huidige vorm en wordt niet meer bijgewerkt.
Alles uitklappen | Alles samenvouwen

Op deze pagina

Samenvatting

Na de uitgifte van dit bulletin is vastgesteld dat het betreffende beveiligingslek niet geldt voor de opdracht OpenRowSet. De opdracht OpenRowSet is een Microsoft SQL Server-opdracht. Het beveiligingslek heeft echter betrekking op de Open Database Connectivity (ODBC) van het onderliggende MDAC-onderdeel. OBDC komt in alle versies van Windows voor. Bovendien werd de oorspronkelijke beveiligingspatch die hierbij werd uitgegeven op enkele systemen niet correct geïnstalleerd vanwege een probleem met de manier waarop het installatieprogramma van Microsoft Windows de bestandsbeveiligingscache van Windows bijwerkte. Het bulletin is bijgewerkt met aanvullende informatie en een koppeling waar gebruikers een bijgewerkte beveiligingspatch kunnen vinden.

MDAC (Microsoft Data Access Components) is een verzameling onderdelen die wordt gebruikt voor databaseconnectiviteit in Microsoft Windows-besturingssystemen. MDAC is een algemeen gebruikte technologie die waarschijnlijk in de meeste Windows-systemen aanwezig is.

Standaard maakt MDAC deel uit van Microsoft Windows XP, Microsoft Windows 2000 en Microsoft Windows Millennium Edition (ME). Ook een aantal andere producten en technologieën bevat of installeert MDAC. MDAC is bijvoorbeeld een onderdeel van Microsoft Windows NT 4.0 Option Pack en Microsoft SQL Server 2000. Sommige MDAC-onderdelen maken deel uit van Microsoft Internet Explorer, ook als MDAC zelf niet is geïnstalleerd. MDAC is ook beschikbaar als zelfstandige technologie. U kunt MDAC downloaden vanaf de volgende Microsoft-website:
http://msdn.microsoft.com/library/default.asp?url=/downloads/list/dataaccess.asp


MDAC biedt de onderliggende functionaliteit voor een aantal databasebewerkingen, zoals het tot stand brengen van verbindingen met externe databases en het retourneren van gegevens naar een client. Het is met name het MDAC-onderdeel Open Database Connectivity (ODBC) dat deze functionaliteit biedt.

De oorzaak van het beveiligingsprobleem is een ongecontroleerde buffer in een van de ODBC-functies in MDAC die wordt gebruikt om gegevensbronnen te verbinden. Een aanvaller kan dit beveiligingslek gebruiken door een webpagina te maken die, na een bezoek van een gebruiker, door de aanvaller samengestelde code uitvoert met de referenties van de gebruiker. Deze webpagina kan op een website staan of rechtstreeks naar een gebruiker worden verzonden in een e-mailbericht.

Op een systeem waarop SQL Server wordt uitgevoerd, kan een aanvaller dit beveiligingslek benutten met de Transact-SQL-opdracht OpenRowSet. Een aanvaller die een databaseverzoek verstuurt dat een bewust ongeldige parameter bevat in een aanroep van OpenRowSet kan de buffer doen overlopen, waardoor de SQL Server-computer vastloopt, of acties uitvoert die door de aanvaller zijn bepaald.

De beperkende factoren zijn de volgende:
  • Gebruikers die e-mailberichten als onbewerkte tekst lezen, moeten actie ondernemen voordat een aanvaller het beveiligingslek benut.
  • Dit beveiligingslek is niet van toepassing op systemen die zodanig zijn geconfigureerd dat het actief uitvoeren van scripts in Internet Explorer is uitgeschakeld.
  • In het webgebaseerde aanvalsscenario moet een bezoeker een schadelijke website bezoeken waarover een aanvaller de controle heeft. Een aanvaller kan gebruikers niet dwingen een schadelijke website buiten de HTML-e-mailvector te bezoeken. In plaats daarvan moet een aanvaller gebruikers naar de website lokken door ze bijvoorbeeld zover te krijgen dat ze op een koppeling klikken die hen naar de website van de aanvaller brengt.
  • De referenties die worden verkregen via een geslaagde aanval zijn gelijk aan die van de toepassing waaronder ODBC wordt uitgevoerd. Doorgaans verkrijgt een aanvaller alleen referenties op hetzelfde niveau als waarmee de gebruiker zich heeft aangemeld.
  • Standaard wordt HTML-e-mail in Outlook Express 6.0 en Outlook 2002 geopend in de zone voor websites met beperkte toegang. In Outlook 98 en Outlook 2000 wordt HTML-e-mail in de zone voor websites met beperkte toegang geopend als de beveiligingsupdate voor e-mail van Outlook is geïnstalleerd. Klanten die een van deze producten gebruiken, lopen niet het risico te worden aangevallen via een e-mailbericht waarin deze zwakke plekken worden misbruikt, tenzij de gebruiker op een schadelijke koppeling in het e-mailbericht heeft geklikt.

Meer informatie

Downloadgegevens

Opmerking: de volgende koppelingen verwijzen naar de nieuwe beveiligingspatch, MS03-033. U kunt het volgende bestand downloaden van het Microsoft Downloadcentrum:
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
De beveiligingspatch MS03-033 voor MDAC (Microsoft Data Access Components) nu downloaden. Releasedatum: 20 augustus 2003

Als u meer informatie wilt over het downloaden van Microsoft-ondersteuningsbestanden, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
119591 How to Obtain Microsoft Support Files from Online Services
Microsoft heeft dit bestand op virussen gecontroleerd. Hiervoor is de meest actuele software voor virusdetectie gebruikt die beschikbaar was op de datum dat het bestand werd gepubliceerd. Het bestand is ondergebracht op beveiligde servers die onbevoegde wijzigingen aan het bestand helpen verhinderen.

Voorwaarden

U moet beschikken over een van de volgende versies van MDAC:
  • MDAC 2.5
  • MDAC 2.6
  • MDAC 2.7
Andere versies van MDAC, waaronder MDAC 2.8, worden niet beïnvloed door dit beveiligingslek.

Opmerking: deze updates gelden voor alle van toepassing zijnde talen.

Installatieopties

Nadat u deze update hebt toegepast, moet u de computer opnieuw opstarten. Deze update kan worden geïnstalleerd met de volgende Setup-schakelopties:
Schakeloptie      Omschrijving
-------------------------------------------------------------------------
/?                De lijst met schakelopties weergeven
/Q                Stille modus
/T:<volledig pad> De tijdelijke werkmap opgeven
/C                Bestanden worden alleen in de map uitgepakt bij gebruik met de optie /T
/C:<Cmd>          Installatieopdracht van de auteur overschrijven
/N                Het dialoogvenster voor opnieuw starten niet weergeven
				

Met de volgende opdrachtregel wordt de update bijvoorbeeld geïnstalleerd zonder tussenkomst van de gebruiker, en wordt het opnieuw opstarten onderdrukt:

Q823718_MDAC_SecurityPatch /C:"dahotfix.exe /q /n" /q

De schakeloptie /q die voor dahotfix.exe wordt opgegeven, dient voor een stille installatie en met de schakeloptie /n onderdrukt u het opnieuw opstarten.

Waarschuwing De computer heeft een verminderde beveiliging totdat u deze opnieuw opstart.

Computer opnieuw opstarten

Nadat u deze update hebt toegepast, moet u de computer opnieuw opstarten.

Informatie over verwijderen

Deze beveiligingsupdate kan, eenmaal geïnstalleerd, niet meer worden verwijderd.

Informatie over vervanging van de beveiligingspatch

Deze beveiligingspatch is vervangen door de beveiligingspatch van het Microsoft Security Bulletin MS03-033. Voor meer informatie over Microsoft Security Bulletin MS03-033 gaat u naar de volgende Microsoft-website:
http://www.microsoft.com/technet/security/bulletin/MS03-033.asp
Klik voor meer informatie over Microsoft Security Bulletin MS03-033 op het volgende artikelnummer in de Microsoft Knowledge Base:
823718 MS03-033: Beveiligingsupdate voor MDAC (Microsoft Data Access Components)

Bestandsgegevens

De Engelse versie van deze beveiligingspatch heeft de bestandskenmerken die in de volgende tabel worden weergegeven (of recentere kenmerken). De datums en tijden voor deze bestanden worden weergegeven in UTC-notatie (Coordinated Universal Time). Wanneer u de bestandsinformatie weergeeft, wordt deze naar lokale tijd geconverteerd. Als u het verschil tussen UTC en lokale tijd wilt bepalen, gebruikt u het tabblad Tijdzone van het onderdeel Datum en tijd in het Configuratiescherm.

MDAC 2.5 Service Pack 2

   Datum        Tijd   Versie            Grootte  Bestandsnaam
   --------------------------------------------------------------
   23-jul-2003  20:56  3.520.6100.40     212.992  Odbc32.dll       
   21-jul-2003  22:24  3.70.11.40         24.848  Odbcbcp.dll      
   23-jul-2003  02:29  3.520.6100.40     102.672  Odbccp32.dll     
   21-jul-2003  22:24  3.70.11.40        524.560  Sqlsrv32.dll     
				

MDAC 2.5 Service Pack 3

   Datum        Tijd   Versie            Grootte  Bestandsnaam
   --------------------------------------------------------------
   24-jul-2003  00:13  3.520.6300.40     212.992  Odbc32.dll       
   21-jul-2003  22:24  3.70.11.40         24.848  Odbcbcp.dll      
   24-jul-2003  00:11  3.520.6300.40     102.672  Odbccp32.dll     
   21-jul-2003  22:24  3.70.11.40        524.560  Sqlsrv32.dll     
				

MDAC 2.6 Service Pack 2

   Datum        Tijd   Versie            Grootte  Bestandsnaam
   --------------------------------------------------------------
   21-jul-2003  17:28  2000.80.746.0      86.588  Dbnetlib.dll     
   22-jul-2003  22:04  3.520.7501.40     217.360  Odbc32.dll       
   21-jul-2003  17:28  2000.80.746.0      29.252  Odbcbcp.dll      
   22-jul-2003  22:04  3.520.7501.40     102.672  Odbccp32.dll     
   31-jul-2003  23:07  2000.80.746.0     479.800  Sqloledb.dll     
   21-jul-2003  17:28  2000.80.746.0     455.236  Sqlsrv32.dll     
 				

MDAC 2.7 RTM

   Datum        Tijd   Versie            Grootte  Bestandsnaam
   --------------------------------------------------------------
   31-jul-2003  17:49  2000.81.9001.40    61.440  Dbnetlib.dll     
   22-jul-2003  23:04  3.520.9001.40     204.800  Odbc32.dll       
   22-jul-2003  23:10  2000.81.9001.40    24.576  Odbcbcp.dll      
   22-jul-2003  23:10  3.520.9001.40      94.208  Odbccp32.dll     
   31-jul-2003  17:49  2000.81.9001.40   450.560  Sqloledb.dll     
   22-jul-2003  23:08  2000.81.9001.40   356.352  Sqlsrv32.dll     
				

MDAC 2.7 Service Pack 1

   Datum        Tijd   Versie            Grootte  Bestandsnaam
   --------------------------------------------------------------
   22-jul-2003  18:27  2000.81.9041.40    61.440  Dbnetlib.dll     
   22-jul-2003  18:22  3.520.9041.40     204.800  Odbc32.dll       
   22-jul-2003  18:28  2000.81.9041.40    24.576  Odbcbcp.dll      
   22-jul-2003  18:28  3.520.9041.40      98.304  Odbccp32.dll     
   31-jul-2003  18:47  2000.81.9041.40   471.040  Sqloledb.dll     
   22-jul-2003  18:27  2000.81.9041.40   385.024  Sqlsrv32.dll     
				

Controle

Zorg dat u beschikt over de juiste versies van de bestanden die in dit artikel zijn vermeld.

Referenties

Voor meer informatie over Microsoft Security Bulletin MS02-040 gaat u naar de volgende Microsoft-website:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-040.asp

Eigenschappen

Artikel ID: 326573 - Laatste beoordeling: maandag 24 februari 2014 - Wijziging: 5.1
De informatie in dit artikel is van toepassing op:
  • Microsoft Data Access Components 2.5
  • Microsoft Data Access Components 2.6
  • Microsoft Data Access Components 2.7
Trefwoorden: 
kbnosurvey kbarchive kbbug kbfix kbsecvulnerability kbqfe kbsecurity kbsecbulletin kbsechack KB326573

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com