MS02-040: Sikkerhetsoppdatering for Microsoft Data Access Components

Artikkeloversettelser Artikkeloversettelser
Artikkel-ID: 326573 - Vis produkter som denne artikkelen gjelder for.
Merknad

Erstatning for MS02-040

Denne sikkerhetsoppdateringen er erstattet av Microsofts sikkerhetsbulletin MS03-033:
http://www.microsoft.com/technet/security/bulletin/MS03-033.asp
Hvis du vil ha mer informasjon, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
823718 MS03-033: Sikkerhetsoppdatering for Microsoft Data Access Components (denne artikkelen kan være på engelsk)
Obs!  Hvis du vil se nedlastinger for Microsofts sikkerhetsbulletin MS03-033, ser du under Nedlastingsinformasjon i denne artikkelen.
Denne artikkelen er arkivert. Den tilbys "som den er" og vil ikke bli oppdatert.
Vis alt | Skjul alt

På denne siden

Sammendrag

Etter at denne bulletinen ble gitt ut, ble det fastslått at sikkerhetsproblemet som er drøftet, ikke gjelder OpenRowSet-kommandoen. OpenRowSet-kommandoen er en Microsoft SQL Server-kommando. Sikkerhetsproblemet gjelder den underliggende MDAC-komponenten ODBC (Open Database Connectivity). OBDC finnes i alle versjoner av Windows. Dessuten ble ikke den opprinnelige sikkerhetsoppdateringen riktig installert på enkelte systemer på grunn av en feil i måten Microsoft Windows Installer oppdaterte hurtigbufferen for Filbeskyttelse for Windows. Bulletinen er oppdatert for å inkludere denne tilleggsinformasjonen, og for å lede brukere til en oppdatert sikkerhetsoppdatering.

Microsoft Data Access Components (MDAC) er en samling komponenter som brukes til å gi databasetilkobling på Microsoft Windows-operativsystemer. MDAC-teknologien er svært utbredt, og finnes sannsynligvis på de fleste Windows-systemer.

Som standard er MDAC en del av Microsoft Windows XP, Microsoft Windows 2000 og Microsoft Windows Millennium Edition (Me). En rekke andre produkter og teknologier inkluderer eller installerer også MDAC. MDAC er for eksempel inkludert i både Microsoft Windows NT 4.0 Option Pack og Microsoft SQL Server 2000 MDAC, og noen MDAC-komponenter finnes som en del av Microsoft Internet Explorer selv om MDAC ikke er installert. MDAC er også tilgjengelig som en frittstående teknologi. Hvis du vil laste ned MDAC, går du til følgende Microsoft-webområde:
http://msdn2.microsoft.com/en-us/data/aa937695.aspx


MDAC gir den underliggende funksjonaliteten for en rekke databaseoperasjoner, blant annet for tilkobling til eksterne databaser og returnering av data til en klient. Det er særlig MDAC-komponenten kjent som ODBC (Open Database Connectivity) som sørger for denne funksjonaliteten.

Det oppstår et sikkerhetsproblem fordi en av ODBC-funksjonene i MDAC som brukes til å koble til datakilder, inneholder en ukontrollert buffer. En angriper kan prøve å utnytte sikkerhetsproblemet ved å lage en webside som kjører en kode valgt av angriperen, når brukeren åpner siden. Koden kjøres med brukerens legitimasjonsbeskrivelser. Websiden kan ligge på et webområde eller sendes direkte til brukeren i en e-postmelding.

På systemer som kjører SQL Server, kan en angriper prøve å utnytte dette sikkerhetsproblemet ved å bruke Transact-SQL-kommandoen OpenRowSet. En angriper som sender en databasespørring som inneholder en spesielt misformet parameter i et kall til OpenRowSet, kan forårsake overløp av bufferen for å få datamaskinen som kjører SQL Server, til å svikte eller til å utføre handlinger som dikteres av angriperen.

De begrensende faktorer er som følger:
  • Brukere som leser e-postmeldninger som ren tekst, må utføre en handling før en angriper kan utnytte sikkerhetsproblemet.
  • Systemer som er konfigurert til å deaktivere aktiv skripting i Internet Explorer, påvirkes ikke av dette sikkerhetsproblemet.
  • I en webbasert angrepssituasjon må en bruker besøke et skadelig webområde som kontrolleres av en angriper. En angriper kan ikke tvinge brukere til å gå til et skadelig webområde med unntak av HTMLs e-postvektor. I stedet må angriperen lokke brukere til webområdet, vanligvis ved å få brukere til å klikke en kobling som tar dem til webområdet til angriperen.
  • Legitimasjonsbeskrivelsene som gis ved et vellykket angrep, kan være lik de som gis av programmet som ODBC kjøres under. Som regel får en angriper bare samme nivå for legitimasjonsbeskrivelse som brukeren logget på med.
  • HTML-e-post åpnes som standard i Outlook Express 6.0 og Outlook 2002 i Begrenset områdesone. Videre åpnes HTML-e-post i Outlook 98 og 2000 i Begrenset områdesone hvis oppdateringen for e-postsikkerhet for Outlook er installert på datamaskinen. Kunder som bruker noen av disse produktene, løper ingen risiko for e-postbaserte angrep som prøver å utnytte dette sikkerhetsproblemet, med mindre brukeren klikker en skadelig kobling i e-postmeldingen.

Mer informasjon

Nedlastingsinformasjon

Obs!  Følgende koblinger viser den nye sikkerhetsoppdateringen MS03-033. Følgende fil kan lastes ned fra Microsoft Download Center:
Skjul dette bildetVis dette bildet
Last ned
Last ned sikkerhetsoppdateringspakken MS03-033 for Microsoft Data Access Components (MDAC) nå. Utgivelsesdato: 20. august 2003

Hvis du vil ha mer informasjon om hvordan du laster ned Microsoft-støttefiler, klikker du dette artikkelnummeret for å vise artikkelen i Microsoft Knowledge Base:
119591 Slik laster du ned Microsoft-støttefiler fra elektroniske tjenester
Microsoft søkte etter virus i denne filen. Microsoft brukte det nyeste antivirusprogrammet som var tilgjengelig den datoen filen ble gjort tilgjengelig. Filen er lagret på servere med forbedret sikkerhet som forhindrer at uvedkommende gjør endringer i filen.

Forutsetninger

Du må kjøre en av følgende versjoner av MDAC:
  • MDAC 2.5
  • MDAC 2.6
  • MDAC 2.7
Andre versjoner av MDAC, inkludert MDAC 2.8, påvirkes ikke av dette sikkerhetsproblemet.

Obs!  Disse oppdateringene gjelder for alle aktuelle språk.

Installasjonsalternativer

Du må starte datamaskinen på nytt etter at du har brukt denne oppdateringen. Denne oppdateringen støtter følgende kommandolinjebrytere for installasjonsprogrammet:
Bryter            Beskrivelse
-------------------------------------------------------------------------
/?                Viser listen over kommandolinjebrytere for installasjonsprogrammet
/Q                Stille modus
/T:<fullstendig bane>    Angir den midlertidige arbeidsmappen
/C                Pakk bare ut filer i mappen når bryteren /T brukes.
/C:<Cmd>          	Overstyr installasjonskommandoen som defineres av forfatteren
/N                Ingen omstartsdialogboks
				

Følgende kommandolinje installerer for eksempel oppdateringen uten noen brukermedvirkning, og forhindrer omstart:

Q823718_MDAC_SecurityPatch /C:"dahotfix.exe /q /n" /q

/q-bryteren som angis for dahotfix.exe, gjelder for en stille installasjon, og /n-bryteren forhindrer omstart.

Advarsel!  Datamaskinen er sårbar inntil du starter den på nytt.

Omstartskrav

Du må starte datamaskinen på nytt etter at du har brukt denne oppdateringen.

Informasjon om fjerning

Denne sikkerhetsoppdateringen kan ikke fjernes etter at den er installert.

Informasjon om erstatning av sikkerhetsoppdatering

Denne sikkerhetsoppdateringen er erstattet av sikkerhetsoppdateringen som gis i Microsofts sikkerhetsbulletin MS03-033. Hvis du vil ha mer informasjon om Microsofts sikkerhetsbulletin MS03-033, går du til følgende Microsoft-webområde:
http://www.microsoft.com/technet/security/bulletin/MS03-033.asp
Hvis du vil ha mer informasjon om Microsofts sikkerhetsbulletin MS03-033, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
823718 MS03-033: Sikkerhetsoppdatering for Microsoft Data Access Components (denne artikkelen kan være på engelsk)

Filinformasjon

Den engelskspråklige versjonen av denne sikkerhetsoppdateringen har filattributtene (eller senere) som er oppført i følgende tabell. Datoene og klokkeslettene for disse filene er oppført i Coordinated Universal Time (UTC). Når du viser filinformasjonen, konverteres den til lokal tid. Hvis du vil finne forskjellen mellom UTC og lokal tid, bruker du Tidssone-kategorien i verktøyet Dato og klokkeslett i Kontrollpanel.

MDAC 2.5 Service Pack 2

   	Dato         Tid    Versjon        Størrelse   Filnavn
   --------------------------------------------------------------
   23-jul-2003  20:56  3.520.6100.40     212 992  Odbc32.dll       
   21-jul-2003  22:24  3.70.11.40         24 848  Odbcbcp.dll      
   23-jul-2003  02:29  3.520.6100.40     102 672  Odbccp32.dll     
   21-jul-2003  22:24  3.70.11.40        524 560  Sqlsrv32.dll     
				

MDAC 2.5 Service Pack 3

   	Dato         Tid    Versjon        Størrelse   Filnavn
   --------------------------------------------------------------
   24-jul-2003  00:13  3.520.6300.40     212 992  Odbc32.dll       
   21-jul-2003  22:24  3.70.11.40         24 848  Odbcbcp.dll      
   24-jul-2003  00:11  3.520.6300.40     102 672  Odbccp32.dll     
   21-jul-2003  22:24  3.70.11.40        524 560  Sqlsrv32.dll     
				

MDAC 2.6 Service Pack 2

   	Dato         Tid    Versjon        Størrelse   Filnavn
   --------------------------------------------------------------
   21-jul-2003  17:28  2000.80.746.0      86 588  Dbnetlib.dll     
   22-jul-2003  22:04  3.520.7501.40     217 360  Odbc32.dll       
   21-jul-2003  17:28  2000.80.746.0      29 252  Odbcbcp.dll      
   22-jul-2003  22:04  3.520.7501.40     102 672  Odbccp32.dll     
   31-jul-2003  23:07  2000.80.746.0     479 800  Sqloledb.dll     
   21-jul-2003  17:28  2000.80.746.0     455 236  Sqlsrv32.dll     
 				

MDAC 2.7 RTM

   	Dato         Tid    Versjon        Størrelse   Filnavn
   --------------------------------------------------------------
   31-jul-2003  17:49  2000.81.9001.40    61 440  Dbnetlib.dll     
   22-jul-2003  23:04  3.520.9001.40     204 800  Odbc32.dll       
   22-jul-2003  23:10  2000.81.9001.40    24 576  Odbcbcp.dll      
   22-jul-2003  23:10  3.520.9001.40      94 208  Odbccp32.dll     
   31-jul-2003  17:49  2000.81.9001.40   450 560  Sqloledb.dll     
   22-jul-2003  23:08  2000.81.9001.40   356 352  Sqlsrv32.dll     
				

MDAC 2.7 Service Pack 1

   	Dato         Tid    Versjon        Størrelse   Filnavn
   --------------------------------------------------------------
   22-jul-2003  18:27  2000.81.9041.40    61 440  Dbnetlib.dll     
   22-jul-2003  18:22  3.520.9041.40     204 800  Odbc32.dll       
   22-jul-2003  18:28  2000.81.9041.40    24 576  Odbcbcp.dll      
   22-jul-2003  18:28  3.520.9041.40      98 304  Odbccp32.dll     
   31-jul-2003  18:47  2000.81.9041.40   471 040  Sqloledb.dll     
   22-jul-2003  18:27  2000.81.9041.40   385 024  Sqlsrv32.dll     
				

Bekreftelse

Kontroller at du har de riktige versjonene av filene som er oppført i denne artikkelen.

Referanser

Hvis du vil ha mer informasjon om Microsofts sikkerhetsbulletin MS02-040, går du til følgende Microsoft-webområde:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-040.asp

Egenskaper

Artikkel-ID: 326573 - Forrige gjennomgang: 24. februar 2014 - Gjennomgang: 5.3
Informasjonen i denne artikkelen gjelder:
  • Microsoft Data Access Components 2.5
  • Microsoft Data Access Components 2.6
  • Microsoft Data Access Components 2.7
Nøkkelord: 
kbnosurvey kbarchive kbbug kbfix kbsecvulnerability kbqfe kbsecurity kbsecbulletin kbsechack KB326573

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com