MS02-040: Atualização de segurança para o Microsoft Data Access Components

Traduções deste artigo Traduções deste artigo
ID do artigo: 326573 - Exibir os produtos aos quais esse artigo se aplica.
Aviso

Substituição do MS02-040

Este lançamento de segurança foi substituído pelo Boletim de segurança da Microsoft MS03-033:
http://www.microsoft.com/technet/security/bulletin/MS03-033.mspx(site em inglês)
Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
823718 MS03-033: Atualização de segurança para o Microsoft Data Access Components
Observação Para consultar os downloads do Boletim de segurança da Microsoft MS03-033, consulte a seção "Informações sobre o download" deste artigo.
Este artigo foi arquivado. É oferecido "como está" e não será mais atualizado.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Após o lançamento desse boletim, determinou-se que essa vulnerabilidade abordada não se encontra no comando OpenRowSet . O comando OpenRowSet é um comando do Microsoft SQL Server. Em vez disso, a vulnerabilidade está com o ODBC (Open Database Connectivity) do componente MDAC subjacente. O ODBC está presente em todas versões do Windows. Além disso, o patch de segurança original lançado com isso não foi instalado corretamente em alguns sistemas devido à uma falha na forma que o Microsoft Windows Installer atualizou o cache da proteção de arquivo do Windows. O boletim foi atualizado para incluir essas informações adicionais e conduzir os usuários para um patch de segurança atualizado.

O Microsoft Data Access Components (MDAC) é uma coleção de componentes usada para fornecer conectividade ao banco de dados nos sistemas operacionais do Microsoft Windows. O MDAC é uma tecnologia universal e provavelmente deve estar presente na maior parte dos sistemas do Windows.

Por padrão, o MDAC está incluído como parte do Microsoft Windows XP, do Microsoft Windows 2000 e do Microsoft Windows Millennium Edition (Me). Vários outros produtos e tecnologias também incluem ou instalam o MDAC. Por exemplo, tanto o Microsoft Windows NT 4.0 Option Pack quanto o Microsoft SQL Server 2000 incluem o MDAC e alguns componentes do MDAC estão presentes como parte do Microsoft Internet Explorer mesmo que o próprio MDAC não esteja instalado. O MDAC também está disponível como uma tecnologia independente. Para fazer o download do MDAC, visite o seguinte site da Microsoft na Web:
http://www.microsoft.com/downloads/details.aspx?familyid=78cac895-efc2-4f8e-a9e0-3a1afbd5922e(site em inglês)


O MDAC oferece a funcionalidade subjacente para diversas operações do banco de dados, como conectar-se a bancos de dados remotos e retornar dados para um cliente. Especificamente, o componente MDAC conhecido como Open Database Connectivity (ODBC) que oferece essa funcionalidade.

Uma vulnerabilidade de segurança ocorre porque uma das funções do ODBC no MDAC que foi usada para conexão a fontes de dados contém um buffer não verificado. Um invasor pode tentar explorar a vulnerabilidade construindo uma página Web que, ao ser visitada pelo usuário, possa executar o código de escolha do invasor com as credenciais do usuário. A página da Web pode ser hospedada em um site ou ser enviada diretamente ao usuário em uma mensagem de email.

No caso de um sistema que executa o SQL Server, um invasor pode tentar explorar essa vulnerabilidade usando o comando Transact-SQL OpenRowSet . Um invasor que envie uma consulta ao banco de dados contendo um parâmetro incorreto em uma chamada para o OpenRowSet poderia saturar o buffer, seja para causar uma falha no computador que executa o SQL Server ou para fazer o computador realizar as ações impostas pelo invasor.

Os fatores atenuantes são os seguintes:
  • Os usuários que lêem as mensagens de email como texto sem formatação devem tomar providências antes que um invasor possa explorar essa vulnerabilidade.
  • Os sistemas que estão configurados para desativar um script ativo no Internet Explorer não são afetados por essa vulnerabilidade.
  • Em uma situação de ataque com base na Web, um usuário deve visitar um site malicioso que esteja sob o controle de um invasor. Um invasor não pode forçar os usuários a visitarem um site malicioso fora do vetor de email em HTML. Em vez disso, um invasor deve atrair os usuários para o site, geralmente fazendo com que o usuário clique em um link que os leve ao site do invasor na Web.
  • As credenciais que foram obtidas por meio de um ataque bem-sucedido seriam iguais àquelas do aplicativo sob o qual o ODBC é executado. Na maior parte do tempo, um invasor recebe apenas o mesmo nível de credenciais do usuário conectado.
  • Por padrão, o Outlook Express 6.0 e o Outlook 2002 abrem um email em HTML na zona de sites restritos. Além disso, o Outlook 98 e o 2000 abrem o email em HTML na zona de sites restritos se a Atualização de segurança de email do Outlook tiver sido instalada. Os clientes que usam quaisquer desses produtos não correriam riscos com um ataque gerado por email que tentasse explorar essa vulnerabilidade a menos que o usuário tenha clicado em um link malicioso no email.

Mais Informações

Informações sobre o download

Observação Os links a seguir refletem o novo patch de segurança, MS03-033. O arquivo a seguir está disponível para download no Centro de Download da Microsoft:
Recolher esta imagemExpandir esta imagem
Download
Faça download do pacote do patch de segurança MS03-033 do Microsoft Data Access Components (MDAC) agora.(site em inglês) Data de lançamento: 20 de agosto de 2003

Para obter informações adicionais sobre como fazer o download dos arquivos de Suporte da Microsoft, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
119591 Como obter os arquivos de suporte da Microsoft nos serviços on-line
A Microsoft verificou esse arquivo em busca de vírus. A Microsoft utilizou o software de detecção de vírus mais atualizado disponível até a data de publicação do arquivo. O arquivo está armazenado em servidores de segurança avançada que ajudam a evitar qualquer alteração não autorizada ao arquivo.

Pré-requisitos

Você deve estar executando uma das seguintes versões do MDAC:
  • MDAC 2.5
  • MDAC 2.6
  • MDAC 2.7
Outras versões do MDAC, inclusive MDAC 2.8, não são afetadas por essa vulnerabilidade.

Observação Essas atualizações se aplicam a todos os idiomas.

Opções de instalação

Você deve reiniciar o computador após a aplicação dessa atualização. Essa atualização oferece suporte as seguintes opções de instalação:
Opção            Descrição
-------------------------------------------------------------------------
/?                Exibe a lista de opções de instalação.
/Q                Modo silencioso
/T:<caminho completo>    Especifica a pasta de trabalho temporária
/C                Extrai os arquivos somente para a pasta quando for usada com o /T
/C:<Cmd>          Sobrescreve o comando de instalação definido pelo autor
/N                 Sem caixa de diálogo de reinicialização
				

Por exemplo, a linha de comando a seguir instala a atualização sem qualquer intervenção do usuário e impede um reinício:

Q823718_MDAC_SecurityPatch /C:"dahotfix.exe /q /n" /q

A opção /q especificada para o dahotfix.exe é para uma instalação silenciosa e a opção /n impede um reinício.

Aviso O computador está vulnerável até que seja reiniciado.

Requisitos de reinicialização

Reinicie o computador após aplicar essa atualização.

Informações sobre remoção

Esse patch de segurança não pode ser removido após ter sido instalado.

Informações sobre a substituição do patch de segurança

Esse patch de segurança foi substituído por um patch de de segurança oferecido no Boletim de segurança da Microsoft MS03-033. Para obter mais informações sobre o Boletim de segurança da Microsoft MS03-033, visite o seguinte site da Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS03-033.asp(site em inglês)
Para obter informações adicionais o Boletim de segurança da Microsoft MS03-033, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
823718 MS03-033: Atualização de segurança para o Microsoft Data Access Components

Informações sobre o Arquivo

A versão em inglês desse patch de segurança apresenta os atributos de arquivo (ou posteriores) relacionados na seguinte tabela. As datas e os horários desses arquivos estão relacionados em formato UTC (coordenadas de tempo universal). Ao visualizar as informações sobre o arquivo, elas são convertidas para a hora local. Para encontrar a diferença entre UTC e a hora local, use a guia Fuso horário na ferramenta Data e hora do Painel de controle.

MDAC 2.5 Service Pack 2

   	Data         Hora   Versão        Tamanho     Nome do arquivo
   --------------------------------------------------------------
   23-jul-2003  20:56  3.520.6100.40     212,992  Odbc32.dll       
   21-jul-2003  22:24  3.70.11.40         24,848  Odbcbcp.dll      
   23-jul-2003  02:29  3.520.6100.40     102,672  Odbccp32.dll     
   21-jul-2003  22:24  3.70.11.40        524,560  Sqlsrv32.dll     
				

MDAC 2.5 Service Pack 3

   	Data         Hora   Versão        Tamanho     Nome do arquivo
   --------------------------------------------------------------
   24-jul-2003  00:13  3.520.6300.40     212,992  Odbc32.dll       
   21-jul-2003  22:24  3.70.11.40         24,848  Odbcbcp.dll      
   24-jul-2003  00:11  3.520.6300.40     102,672  Odbccp32.dll     
   21-jul-2003  22:24  3.70.11.40        524,560  Sqlsrv32.dll     
				

MDAC 2.6 Service Pack 2

   	Data         Hora   Versão        Tamanho     Nome do arquivo
   --------------------------------------------------------------
   21-jul-2003  17:28  2000.80.746.0      86,588  Dbnetlib.dll     
   22-jul-2003  22:04  3.520.7501.40     217,360  Odbc32.dll       
   21-jul-2003  17:28  2000.80.746.0      29,252  Odbcbcp.dll      
   22-jul-2003  22:04  3.520.7501.40     102,672  Odbccp32.dll     
   31-jul-2003  23:07  2000.80.746.0     479,800  Sqloledb.dll     
   21-jul-2003  17:28  2000.80.746.0     455,236  Sqlsrv32.dll     
 				

MDAC 2.7 RTM

   	Data         Hora   Versão        Tamanho     Nome do arquivo
   --------------------------------------------------------------
   31-jul-2003  17:49  2000.81.9001.40    61,440  Dbnetlib.dll     
   22-jul-2003  23:04  3.520.9001.40     204,800  Odbc32.dll       
   22-jul-2003  23:10  2000.81.9001.40    24,576  Odbcbcp.dll      
   22-jul-2003  23:10  3.520.9001.40      94,208  Odbccp32.dll     
   31-jul-2003  17:49  2000.81.9001.40   450,560  Sqloledb.dll     
   22-jul-2003  23:08  2000.81.9001.40   356,352  Sqlsrv32.dll     
				

MDAC 2.7 Service Pack 1

   	Data         Hora   Versão        Tamanho     Nome do arquivo
   --------------------------------------------------------------
   22-jul-2003  18:27  2000.81.9041.40    61,440  Dbnetlib.dll     
   22-jul-2003  18:22  3.520.9041.40     204,800  Odbc32.dll       
   22-jul-2003  18:28  2000.81.9041.40    24,576  Odbcbcp.dll      
   22-jul-2003  18:28  3.520.9041.40      98,304  Odbccp32.dll     
   31-jul-2003  18:47  2000.81.9041.40   471,040  Sqloledb.dll     
   22-jul-2003  18:27  2000.81.9041.40   385,024  Sqlsrv32.dll     
				

Verificação

Verifique se tem as versões corretas dos arquivos que estão listados nesse artigo.

Referências

Para obter informações adicionais sobre o Boletim de segurança da Microsoft MS02-040, visite o site da Microsoft a seguir:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-040.asp(site em inglês)

Propriedades

ID do artigo: 326573 - Última revisão: segunda-feira, 24 de fevereiro de 2014 - Revisão: 5.2
A informação contida neste artigo aplica-se a:
  • Microsoft Data Access Components 2.5
  • Microsoft Data Access Components 2.6
  • Microsoft Data Access Components 2.7
Palavras-chave: 
kbnosurvey kbarchive kbbug kbfix kbsecvulnerability kbqfe kbsecurity kbsecbulletin kbsechack KB326573

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com