MS02-040: Aktualizacja zabezpieczeń składników Microsoft Data Access Components

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 326573 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Uwaga

Zastąpienie aktualizacji MS02-040

To wydanie dotyczące zabezpieczeń zostało zastąpione przez biuletyn Security Bulletin MS03-033:
http://www.microsoft.com/technet/security/bulletin/MS03-033.asp
Aby uzyskać dodatkowe informacje, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base.
823718 MS03-033: Aktualizacja zabezpieczeń składników Microsoft Data Access Components
Uwaga Listę pobieranych pakietów związanych z biuletynem Microsoft Security Bulletin MS03-033 zamieszono w sekcji „Informacje dotyczące pobierania” w tym artykule.
Ten artykuł został zarchiwizowany. Jest oferowany „taki, jaki jest” i nie będzie już aktualizowany.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

Po wydaniu tego biuletynu ustalono, że omówiona luka w zabezpieczeniach nie jest związana z poleceniem OpenRowSet. Polecenie OpenRowSet jest używane w programie Microsoft SQL Server. Ustalono, że luka w zabezpieczeniach dotyczy podstawowego składnika MDAC Open Database Connectivity (ODBC). Składnik ODBC występuje we wszystkich wersjach systemu Windows. Ponadto oryginalna poprawka zabezpieczeń wydana w związku z tą luką w zabezpieczeniach nie była poprawnie instalowana w niektórych systemach ze względu na wadę procesu aktualizowania przez Instalatora Windows firmy Microsoft pamięci podręcznej Ochrony plików systemu Windows. Biuletyn został zaktualizowany w celu uwzględnienia dodatkowych informacji i poinformowania użytkowników o zaktualizowanej poprawce zabezpieczeń.

Składniki Microsoft Data Access Components (MDAC) są kolekcją składników używanych do zapewniania łączności z bazami danych w systemach operacyjnych Windows firmy Microsoft. Składniki MDAC są powszechnie wykorzystywaną technologią, dostępną w większości systemów Windows:

Domyślnie składniki MDAC są uwzględniane jako część systemu Microsoft Windows XP, systemu Microsoft Windows 2000 i systemu Microsoft Windows Millennium Edition (Me). Składniki MDAC są również uwzględniane w kilku innych produktach i technologiach oraz instalowane przez inne produkty i technologie. Na przykład składniki MDAC uwzględniono w pakiecie Microsoft Windows NT 4.0 Option Pack i programie Microsoft SQL Server 2000, a niektóre składniki MDAC są częścią programu Internet Explorer, nawet jeżeli składniki MDAC nie są zainstalowane. Składniki MDAC są również dostępne jako samodzielna technologia. Aby pobrać składniki MDAC, odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://msdn.microsoft.com/library/default.asp?url=/downloads/list/dataaccess.asp


Składniki MDAC zapewniają podstawowe funkcje wymagane do wykonywania wielu operacji związanych z bazami danych, na przykład łączenia się ze zdalnymi bazami danych i zwracania danych do komputera klienckiego. W szczególności składnik MDAC zwany Open Database Connectivity (ODBC) wykonuje funkcje tego typu.

Przyczyną luki w zabezpieczeniach jest niesprawdzany bufor jednej z funkcji ODBC w składnikach MDAC, używanej do łączenia się ze źródłami danych. Osoba podejmująca próbę ataku sieciowego może usiłować wykorzystać lukę w zabezpieczeniach, konstruując stronę sieci Web, która może wykonywać szkodliwy kod źródłowy, wybrany przez tę osobę, przy użyciu poświadczeń użytkownika odwiedzającego daną stronę. Strona sieci Web może być udostępniona w witrynie sieci Web lub przesłana bezpośrednio do użytkownika w wiadomości e-mail.

W przypadku systemu, w którym jest uruchomiony program SQL Server, osoba nieupoważniona może usiłować wykorzystać tę lukę w zabezpieczeniach przy użyciu polecenia OpenRowSet języka Transact-SQL. Osoba podejmująca próbę ataku sieciowego, przesyłając kwerendę bazy danych zawierającą specjalnie nieprawidłowo uformowany parametr w wywołaniu polecenia OpenRowSet, może spowodować przepełnienie buforu powodujące awarię komputera, na którym jest uruchomiony program SQL Server lub wykonanie przez ten komputer akcji określonych przez tę osobę.

Czynniki ograniczające zagrożenie są następujące:
  • W przypadku użytkowników odczytujących wiadomości e-mail w formacie zwykłego tekstu osoba nieupoważniona może wykorzystać tę lukę w zabezpieczeniach tylko wówczas, gdy użytkownik wykona jakąkolwiek akcję.
  • Ta luka w zabezpieczeniach nie występuje w przypadku systemów skonfigurowanych do wyłączania aktywnych skryptów w programie Internet Explorer.
  • W scenariuszu ataku opartego na sieci Web użytkownik musi odwiedzić szkodliwą witrynę sieci Web, kontrolowaną przez osobę podejmującą próbę ataku sieciowego, która nie może jednak nakłonić użytkowników do odwiedzenia tej witryny sieci Web bez zastosowania wiadomości e-mail w formacie HTML, dlatego musi zachęcić użytkowników do odwiedzenia tej witryny sieci Web, zazwyczaj przez kliknięcie łącza prowadzącego do danej witryny.
  • Skuteczny atak sieciowy umożliwia uzyskanie poświadczeń na poziomie aplikacji, w kontekście której jest uruchomiony składnik ODBC. Osoba podejmująca próbę ataku sieciowego zazwyczaj uzyskuje tylko poświadczenia na takim samym poziomie co zalogowany użytkownik.
  • Domyślnie programy Outlook Express 6.0 i Outlook 2002 otwierają wiadomości e-mail w formacie HTML w strefie Witryny z ograniczeniami. Ponadto programy Outlook 98 i Outlook 2000 otwierają wiadomości e-mail w formacie HTML w strefie Witryny z ograniczeniami, jeżeli zainstalowano poprawkę zabezpieczeń poczty e-mail dla programu Outlook. Klienci korzystający z tych produktów są zabezpieczeni przed atakiem przy użyciu poczty e-mail, związanym z wykorzystaniem tej luki w zabezpieczeniach, pod warunkiem, że użytkownik nie kliknął szkodliwego łącza w wiadomości e-mail.

Więcej informacji

Informacje dotyczące pobierania

Uwaga Następujące łącza są związane z nową poprawką zabezpieczeń MS03-033. Następujący plik jest dostępny w witrynie Microsoft – Centrum pobierania:

Zwiń ten obrazekRozwiń ten obrazek
Pobieranie
Pobierz pakiet poprawki zabezpieczeń składników Microsoft Data Access Components (MDAC) MS03-033.

Data wydania: 20 sierpnia 2003

Aby uzyskać dodatkowe informacje dotyczące sposobu pobierania plików Pomocy technicznej firmy Microsoft, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
119591Jak uzyskać pliki Pomocy technicznej Microsoft w usługach online
Firma Microsoft skanowała ten plik w poszukiwaniu wirusów. Firma Microsoft używa najnowszego oprogramowania do wykrywania wirusów, dostępnego w chwili opublikowania pliku. Plik jest przechowywany na bezpiecznych serwerach, które ułatwiają zabezpieczenie plików przed wprowadzaniem nieautoryzowanych zmian.

Wymagania wstępne

Aktualizacja może być stosowana w odniesieniu do jednej z następujących wersji składników MDAC:
  • MDAC 2.5
  • MDAC 2.6
  • MDAC 2.7
W innych wersjach składników MDAC, włącznie ze składnikami MDAC 2.8, ta luka w zabezpieczeniach nie występuje.

Uwaga Te aktualizacje dotyczą wszystkich wersji językowych.

Opcje instalacji

Po zastosowaniu tej aktualizacji należy ponownie uruchomić komputer. Aktualizacja obsługuje następujące przełączniki Instalatora:
Przełącznik              Opis                  
-------------------------------------------------------------------------
/?                  Wyświetla listę przełączników instalacji
/Q                  Tryb cichy
/T:<pełna ścieżka>  Określa tymczasowy folder roboczy
/C                  Wyodrębnia pliki tylko do folderu wówczas, gdy podano też przełącznik /T
/C:<polec>          Pomija zdefiniowane przez autora polecenie instalacyjne
/N                  Pomija okno dialogowe ponownego uruchomiania
				

Na przykład następujące polecenie wpisane w wierszu polecenia umożliwia instalację aktualizacji bez interwencji ze strony użytkownika i pominięcie ponownego uruchomienia komputera:

Q823718_MDAC_SecurityPatch /C:"dahotfix.exe /q /n" /q

Przełącznik /q określony dla pliku dahotfix.exe oznacza instalację cichą, a przełącznik /n powoduje pominięcie ponownego uruchomienia komputera.

Ostrzeżenie: Komputer jest prawidłowo zabezpieczony dopiero po ponownym uruchomieniu.

Wymagania dotyczące ponownego uruchamiania

Po zastosowaniu tej aktualizacji należy ponownie uruchomić komputer.

Informacje dotyczące usuwania

Ta poprawka zabezpieczeń nie może być usunięta po instalacji.

Informacje dotyczące zastępowania poprawek zabezpieczeń

Ta poprawka zabezpieczeń została zastąpiona przez poprawkę zabezpieczeń udostępnioną w biuletynie Microsoft Security Bulletin MS03-033. Aby uzyskać więcej informacji dotyczących biuletynu Microsoft Security Bulletin MS03-033, odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://www.microsoft.com/technet/security/bulletin/MS03-033.asp
Aby uzyskać dodatkowe informacje dotyczące biuletynu Microsoft Security Bulletin MS03-033, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
823718 MS03-033: Aktualizacja zabezpieczeń składników Microsoft Data Access Components

Informacje dotyczące plików

Wersja anglojęzyczna tej poprawki ma atrybuty pliku wyświetlone w poniższej tabeli (lub nowsze). Daty i godziny ostatniej modyfikacji plików podano zgodnie z czasem UTC (Coordinated Universal Time). Są one zamieniane na czas lokalny po wyświetleniu informacji o pliku. Aby zobaczyć różnicę między czasem UTC i czasem lokalnym, skorzystaj z karty Strefa czasowa narzędzia Data i godzina w Panelu sterowania.

Składniki MDAC 2.5 z dodatkiem Service Pack 2

   Data         Godzina    Wersja           Rozmiar    Nazwa pliku
   ---------------------------------------------------------------
   23-lip-2003  20:56      3.520.6100.40     212992    Odbc32.dll       
   21-lip-2003  22:24      3.70.11.40         24848    Odbcbcp.dll      
   23-lip-2003  02:29      3.520.6100.40     102672    Odbccp32.dll     
   21-lip-2003  22:24      3.70.11.40        524560    Sqlsrv32.dll     
				

Składniki MDAC 2.5 z dodatkiem Service Pack 3

   Data         Godzina    Wersja           Rozmiar    Nazwa pliku
   ---------------------------------------------------------------
   24-lip-2003  00:13     3.520.6300.40      212992    Odbc32.dll       
   21-lip-2003  22:24     3.70.11.40          24848    Odbcbcp.dll      
   24-lip-2003  00:11     3.520.6300.40      102672    Odbccp32.dll     
   21-lip-2003  22:24     3.70.11.40         524560    Sqlsrv32.dll     
				

Składniki MDAC 2.6 z dodatkiem Service Pack 2

   Data         Godzina    Wersja           Rozmiar    Nazwa pliku
   ---------------------------------------------------------------
   21-lip-2003  17:28      2000.80.746.0      86588    Dbnetlib.dll     
   22-lip-2003  22:04      3.520.7501.40     217360    Odbc32.dll       
   21-lip-2003  17:28      2000.80.746.0      29252    Odbcbcp.dll      
   22-lip-2003  22:04      3.520.7501.40     102672    Odbccp32.dll     
   31-lip-2003  23:07      2000.80.746.0     479800    Sqloledb.dll     
   21-lip-2003  17:28      2000.80.746.0     455236    Sqlsrv32.dll     
 				

Składniki MDAC 2.7 RTM

   Data         Godzina    Wersja           Rozmiar    Nazwa pliku
   ---------------------------------------------------------------
   31-lip-2003  17:49      2000.81.9001.40    61440    Dbnetlib.dll     
   22-lip-2003  23:04      3.520.9001.40     204800    Odbc32.dll       
   22-lip-2003  23:10      2000.81.9001.40    24576    Odbcbcp.dll      
   22-lip-2003  23:10      3.520.9001.40      94208    Odbccp32.dll     
   31-lip-2003  17:49      2000.81.9001.40   450560    Sqloledb.dll     
   22-lip-2003  23:08      2000.81.9001.40   356352    Sqlsrv32.dll     
				

Składniki MDAC 2.7 z dodatkiem Service Pack 1

   Data         Godzina    Wersja           Rozmiar    Nazwa pliku
   ---------------------------------------------------------------
   22-lip-2003  18:27      2000.81.9041.40    61440    Dbnetlib.dll     
   22-lip-2003  18:22      3.520.9041.40     204800    Odbc32.dll       
   22-lip-2003  18:28      2000.81.9041.40    24576    Odbcbcp.dll      
   22-lip-2003  18:28      3.520.9041.40      98304    Odbccp32.dll     
   31-lip-2003  18:47      2000.81.9041.40   471040    Sqloledb.dll     
   22-lip-2003  18:27      2000.81.9041.40   385024    Sqlsrv32.dll     
				

Weryfikacja

Należy upewnić się, że dostępne są poprawne wersje plików, wymienionych w tym artykule.

Materiały referencyjne

Aby uzyskać więcej informacji dotyczących biuletynu Microsoft Security Bulletin MS02-040, odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-040.asp

Właściwości

Numer ID artykułu: 326573 - Ostatnia weryfikacja: 24 lutego 2014 - Weryfikacja: 6.3
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Data Access Components 2.5
  • Microsoft Data Access Components 2.6
  • Microsoft Data Access Components 2.7
Słowa kluczowe: 
kbnosurvey kbarchive kbbug kbfix kbsecvulnerability kbqfe kbsecurity kbsecbulletin kbsechack KB326573

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com