MS02-040: Actualização de segurança para o Microsoft Data Access Components

Traduções de Artigos Traduções de Artigos
Artigo: 326573 - Ver produtos para os quais este artigo se aplica.
Importante

Substituição do MS02-040

Esta edição de segurança foi substituída pelo boletim de segurança MS03-033 da Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS03-033.asp
Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
823718 MS03-033: Actualização de segurança para o Microsoft Data Access Components
Nota: para visualizar as transferências do boletim de segurança MS03-033 da Microsoft, consulte a secção "Informações de transferência" deste artigo.
Este artigo foi arquivado. Este artigo é oferecido "tal como está" e deixará de ser actualizado.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Depois da publicação deste boletim, foi determinado que a vulnerabilidade corrigida não está associada ao comando OpenRowSet. O comando OpenRowSet é um comando do Microsoft SQL Server. Em vez disso, a vulnerabilidade está associada ao componente subjacente do MDAC, Interligação de bases de dados abertas (ODBC, Open Database Connectivity). O OBDC está presente em todas as versões do Windows. Além disso, o patch de segurança original disponibilizado com o boletim não foi instalado correctamente em alguns sistemas devido a uma falha no modo como o Microsoft Windows Installer actualizou a cache da Protecção de ficheiros do Windows (Windows File Protection). O boletim foi actualizado para incluir estas informações adicionais e para direccionar os utilizadores para um patch de segurança actualizado.

O Microsoft Data Access Components (MDAC) é um conjunto de componentes utilizados para fornecer interligação de bases de dados em sistemas operativos Microsoft Windows. O MDAC é uma tecnologia ubíqua e é provável que esteja presente na maioria dos sistemas Windows.

Por predefinição, o MDAC está incluído no Microsoft Windows XP, Microsoft Windows 2000 e Microsoft Windows Millennium Edition (Me). Vários outros produtos e tecnologias também incluem ou instalam o MDAC. Por exemplo, tanto o Microsoft Windows NT 4.0 Option Pack como o Microsoft SQL Server 2000 incluem o MDAC, estando alguns componentes presentes como parte do Microsoft Internet Explorer, mesmo se o próprio MDAC não estiver instalado. O MDAC também está disponível como uma tecnologia autónoma. Para transferir o MDAC, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/downloads/details.aspx?familyid=78cac895-efc2-4f8e-a9e0-3a1afbd5922e


O MDAC fornece a funcionalidade subjacente a várias operações de bases de dados, como a ligação a bases de dados remotas e a devolução de dados a um cliente. Especificamente, é o componente do MDAC conhecido como Interligação de bases de dados abertas (ODBC, Open Database Connectivity) que fornece esta funcionalidade.

Existe uma vulnerabilidade de segurança porque uma das funções do ODBC no MDAC utilizada para ligar a origens de dados contém uma memória intermédia não verificada. Um atacante pode tentar explorar a vulnerabilidade construindo uma página Web que, quando visitada pelo utilizador, pode executar código à escolha do atacante com as credenciais do utilizador. A página Web pode ser hospedada num Web site ou enviada directamente ao utilizador através de uma mensagem de correio electrónico.

No caso de um sistema que com o SQL Sever em execução, um atacante pode tentar explorar esta vulnerabilidade utilizando o comando OpenRowSet de Transact-SQL. Um atacante que submeta uma consulta da base de dados que contenha um parâmetro especialmente mal formado numa chamada ao OpenRowSet pode sobrecarregar a memória intermédia, para provocar a falha do computador que está a executar o SQL Server ou para levar o computador que está a executar o SQL Server a efectuar acções ditadas pelo atacante.

Os factores atenuantes são os seguintes:
  • Utilizadores que leiam mensagens de correio electrónico como texto simples devem tomar medidas antes de um atacante poder explorar esta vulnerabilidade.
  • Os sistemas configurados para desactivarem o processamento de scripts activo no Internet Explorer não são afectados por esta vulnerabilidade.
  • No cenário de ataque baseado na Web, um utilizador tem de visitar um Web site mal intencionado sob controlo de um atacante. Um atacante não pode forçar o acesso dos utilizadores a um Web site mal intencionado a não ser através do vector de correio electrónico em HTML. Em vez disso, um atacante tem de atrair utilizadores ao Web site, normalmente conseguindo que o utilizador clique numa hiperligação que o leve ao Web site do atacante.
  • As credenciais obtidas através de um ataque com êxito seriam iguais às da aplicação em que o ODBC é executado. Na maior parte dos casos, um atacante apenas obtém o mesmo nível de credenciais com que o utilizador iniciou sessão.
  • Por predefinição, o Outlook Express 6.0 e o Outlook 2002 abrem correio electrónico em HTML na zona de sites restritos. Adicionalmente, o Outlook 98 e 2000 abrem correio electrónico em HTML na zona de sites restritos se a actualização de segurança de correio electrónico do Outlook tiver sido instalada. Os clientes que utilizam estes produtos não correriam riscos de ataques baseados em correio electrónico que tentassem explorar esta vulnerabilidade a não ser que o utilizador clicasse numa hiperligação maliciosa na mensagem de correio electrónico.

Mais Informação

Informações de transferência

Nota: as hiperligações que se seguem reflectem o novo patch de segurança, MS03-033. O ficheiro que se segue está disponível para transferência a partir do centro de transferências da Microsoft:
Reduzir esta imagemExpandir esta imagem
Transferir
Transferir o pacote do patch de segurança MS03-033 do Microsoft Data Access Components (MDAC) agora. Data de edição: 20 de Agosto de 2003

Para obter informações adicionais sobre como transferir ficheiros de suporte da Microsoft, clique no seguinte número de artigo para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
119591 Como obter ficheiros de suporte da Microsoft a partir de serviços online
A Microsoft procedeu à detecção de vírus neste ficheiro. A Microsoft utilizou o software de detecção de vírus mais actual disponível na data em que o ficheiro foi publicado. O ficheiro está armazenado em servidores com segurança melhorada, que ajudam a impedir quaisquer alterações não autorizadas ao ficheiro.

Pré-requisitos

Deve ter uma das seguintes versões do MDAC:
  • MDAC 2.5
  • MDAC 2.6
  • MDAC 2.7
Outras versões do MDAC, incluindo o MDAC 2.8, não são afectadas por esta vulnerabilidade.

Nota: estas actualizações aplicam-se a todas as línguas aplicáveis.

Opções de instalação

É necessário reiniciar o computador depois de aplicar esta actualização. Esta actualização suporta os seguintes parâmetros de configuração:
Parâmetro         Descrição
--------------------------------------------------------------------------
/?                Apresenta a lista de parâmetros de instalação
/Q                Modo silencioso
/T:<caminho comp> Especifica a pasta de trabalho temporária
/C                Só extrai ficheiros para a pasta quando utilizado com /T
/C:<Cmd>          Substitui o comando de instalação definido pelo autor
/N                Não é apresentada a caixa de diálogo de reinício
				

Por exemplo, a seguinte linha de comandos instala a actualização sem a intervenção do utilizador e suprime um reinício:

Q823718_MDAC_SecurityPatch /C:"dahotfix.exe /q /n" /q

O parâmetro /q especificado para dahotfix.exe é para uma instalação silenciosa e o parâmetro /n suprime um reinício.

Aviso: o computador mantém-se vulnerável até ser reiniciado.

Necessidade de reinício

Deve reiniciar o computador depois de aplicar esta actualização.

Informações de remoção

Este patch de segurança não pode ser removido depois de ter sido instalado.

Informações sobre a substituição de patches de segurança

Este patch de segurança foi substituído pelo patch de segurança fornecido no boletim de segurança MS03-033 da Microsoft. Para obter mais informações sobre o boletim de segurança MS03-033 da Microsoft, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS03-033.asp
Para obter informações adicionais sobre o boletim de segurança MS03-033 da Microsoft, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
823718 MS03-033: Actualização de segurança para o Microsoft Data Access Components

Informações sobre os ficheiros

A versão inglesa deste patch de segurança tem os atributos de ficheiro listados na tabela que se segue (ou posteriores). As datas e horas destes ficheiros são indicadas no formato de hora universal coordenada (UTC, Universal Coordinated Time). Ao visualizar as informações dos ficheiros, estas serão convertidas na hora local. Para determinar a diferença entre a hora UTC e a hora local, utilize o separador Fuso horário (Time Zone) da ferramenta Data e hora (Date and Time) do Painel de controlo (Control Panel).

MDAC 2.5 Service Pack 2

   Data         Hora   Versão            Tamanho  Ficheiro
   --------------------------------------------------------------
   23-Jul-2003  20:56  3.520.6100.40     212,992  Odbc32.dll       
   21-Jul-2003  22:24  3.70.11.40         24,848  Odbcbcp.dll      
   23-Jul-2003  02:29  3.520.6100.40     102,672  Odbccp32.dll     
   21-Jul-2003  22:24  3.70.11.40        524,560  Sqlsrv32.dll     
				

MDAC 2.5 Service Pack 3

   Data         Hora   Versão            Tamanho  Ficheiro
   --------------------------------------------------------------
   24-Jul-2003  00:13  3.520.6300.40     212,992  Odbc32.dll       
   21-Jul-2003  22:24  3.70.11.40         24,848  Odbcbcp.dll      
   24-Jul-2003  00:11  3.520.6300.40     102,672  Odbccp32.dll     
   21-Jul-2003  22:24  3.70.11.40        524,560  Sqlsrv32.dll     
				

MDAC 2.6 Service Pack 2

   Data         Hora   Versão            Tamanho  Ficheiro
   --------------------------------------------------------------
   21-Jul-2003  17:28  2000.80.746.0      86,588  Dbnetlib.dll     
   22-Jul-2003  22:04  3.520.7501.40     217,360  Odbc32.dll       
   21-Jul-2003  17:28  2000.80.746.0      29,252  Odbcbcp.dll      
   22-Jul-2003  22:04  3.520.7501.40     102,672  Odbccp32.dll     
   31-Jul-2003  23:07  2000.80.746.0     479,800  Sqloledb.dll     
   21-Jul-2003  17:28  2000.80.746.0     455,236  Sqlsrv32.dll     
 				

MDAC 2.7 RTM

   Data         Hora   Versão            Tamanho  Ficheiro
   --------------------------------------------------------------
   31-Jul-2003  17:49  2000.81.9001.40    61,440  Dbnetlib.dll     
   22-Jul-2003  23:04  3.520.9001.40     204,800  Odbc32.dll       
   22-Jul-2003  23:10  2000.81.9001.40    24,576  Odbcbcp.dll      
   22-Jul-2003  23:10  3.520.9001.40      94,208  Odbccp32.dll     
   31-Jul-2003  17:49  2000.81.9001.40   450,560  Sqloledb.dll     
   22-Jul-2003  23:08  2000.81.9001.40   356,352  Sqlsrv32.dll     
				

MDAC 2.7 Service Pack 1

   Data         Hora   Versão            Tamanho  Ficheiro
   --------------------------------------------------------------
   22-Jul-2003  18:27  2000.81.9041.40    61,440  Dbnetlib.dll     
   22-Jul-2003  18:22  3.520.9041.40     204,800  Odbc32.dll       
   22-Jul-2003  18:28  2000.81.9041.40    24,576  Odbcbcp.dll      
   22-Jul-2003  18:28  3.520.9041.40      98,304  Odbccp32.dll     
   31-Jul-2003  18:47  2000.81.9041.40   471,040  Sqloledb.dll     
   22-Jul-2003  18:27  2000.81.9041.40   385,024  Sqlsrv32.dll     
				

Verificação

Certifique-se de que tem as versões correctas dos ficheiros listados neste artigo.

Referências

Para obter informações adicionais sobre o boletim de segurança MS02-040 da Microsoft, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-040.asp

Propriedades

Artigo: 326573 - Última revisão: 24 de fevereiro de 2014 - Revisão: 5.2
A informação contida neste artigo aplica-se a:
  • Microsoft Data Access Components 2.5
  • Microsoft Data Access Components 2.6
  • Microsoft Data Access Components 2.7
Palavras-chave: 
kbnosurvey kbarchive kbbug kbfix kbsecvulnerability kbqfe kbsecurity kbsecbulletin kbsechack KB326573

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com