MS02-040: Säkerhetsuppdatering för Microsoft Data Access Components

Artikelöversättning Artikelöversättning
Artikel-id: 326573 - Visa produkter som artikeln gäller.
Meddelande

Utbyte av MS02-040

Den här säkerhetskorrigeringen har ersatts av Microsoft-säkerhetsbulletinen MS03-033:
http://www.microsoft.com/technet/security/bulletin/MS03-033.asp
Om du vill veta mer klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
823718 MS03-033: Säkerhetsuppdatering för Microsoft Data Access Components
Obs! Filer för Microsoft-säkerhetsbulletinen MS03-033 anges i avsnittet "Information om hämtning" i den här artikeln.
Den här artikeln har arkiverats. Den erbjuds "i befintligt skick" och kommer inte längre att uppdateras.
Visa alla | Dölj alla

På den här sidan

Sammanfattning

Efter det att den här bulletinen hade getts ut fastställdes att säkerhetsproblemet inte beror på kommandot OpenRowSet. Kommandot OpenRowSet är ett Microsoft SQL Server-kommando. I stället beror säkerhetsproblemet på den underliggande ODBC:n (Open Database Connectivity) i MDAC-komponenten. OBDC finns i alla Windows-versioner. Dessutom installerades inte den ursprungliga säkerhetskorrigeringen på rätt sätt på vissa datorer, på grund av ett fel i uppdateringen av cacheminnet för Windows Filskydd genom Microsoft Windows Installer. Bulletinen har uppdaterats med denna ytterligare information och leder användare till en uppdaterad säkerhetskorrigering.

MDAC (Microsoft Data Access Components) är en samling komponenter som används för att ge en databasanslutning i Microsoft Windows-operativsystem. MDAC är en mycket spridd teknik som finns på de flesta Windows-datorer.

Normalt ingår MDAC i Microsoft Windows XP, Microsoft Windows 2000 och Microsoft Windows Millennium Edition (ME). MDAC ingår eller installeras också i ett antal andra produkter och tekniker. MDAC ingår till exempel i Microsoft Windows NT 4.0 Option Pack och Microsoft SQL Server 2000, och vissa MDAC-komponenter ingår i Internet Explorer, även om inte själva MDAC installeras. MDAC finns också som fristående teknik. MDAC kan hämtas på följande Microsoft-webbplats:
http://msdn.microsoft.com/library/default.asp?url=/downloads/list/dataaccess.asp


MDAC ger underliggande funktioner för ett antal databasoperationer, till exempel anslutning till fjärrdatabaser och retur av data till klienter. Närmare bestämt är det MDAC-komponenten ODBC (Open Database Connectivity) som ger denna funktion.

Det finns ett säkerhetsproblem på grund av att en ODBC-funktion i MDAC som används för att ansluta till datakällor innehåller en oskyddad buffert. En angripare kan utnyttja säkerhetsproblemet för att konstruera en webbsida. När webbsidan besöks av en användare körs angriparens kod med användarens referenser. Webbsidan kan finnas på en webbplats eller skickas direkt till användaren med e-post.

På en dator med SQL Server kan angriparen försöka utnyttja säkerhetsproblemet med hjälp av Transact-SQL-kommandot OpenRowSet. En angripare som skickar en databasfråga med en särskilt utformad parameter i ett anrop till OpenRowSet kan överskrida bufferten, för att datorn med SQL Server ska upphöra att fungera eller för att den ska kontrolleras av angriparen.

Följande begränsningar finns:
  • Användare som läser e-postmeddelanden som oformaterad text måste göra något innan angriparen kan utnyttja säkerhetsproblemet.
  • Datorer som inte tillåter Active Scripting i Internet Explorer påverkas inte av säkerhetsproblemet.
  • Vid angrepp via webben måste användaren besöka en skadlig webbplats som kontrolleras av angriparen. Det går inte att tvinga användare till en sådan webbplats. I stället måste angriparen locka dit användaren, vanligen genom att användaren klickar på en länk till angriparens webbplats.
  • Behörigheten som kan uppnås genom ett angrepp motsvarar behörigheten för programmet som ODBC körs under. Oftast uppnår angriparen bara samma behörighet som den inloggade användaren.
  • Normalt öppnas HTML-e-post i Outlook Express 6.0 och Outlook 2002 i zonen Ej tillförlitliga platser. Även i Outlook 98 och Outlook 2000 öppnas HTML-e-post i zonen Ej tillförlitliga platser, om säkerhetsuppdateringen för e-post i Outlook har installerats. Kunder som använder någon av dessa produkter riskerar inte att drabbas av angrepp via e-post där dessa säkerhetsproblem utnyttjas, om inte kunden klickar på en skadlig länk i e-postmeddelandet.

Mer Information

Information om hämtning

Obs! Följande länkar gäller den nya säkerhetskorrigeringen, MS03-033. Följande fil kan hämtas från Microsoft Download Center:
Dölj bildenVisa bilden
Hämta
Hämta MDAC-säkerhetskorrigeringspaket (Microsoft Data Access Components) MS03-033 nu. Utgivningsdatum: 20 augusti 2003

Om du vill veta mer om hur du hämtar supportfiler från Microsoft klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
119591 Hämta Microsoft-supportfiler från Onlinetjänster
Microsoft har genomsökt denna fil med ett antivirusprogram. Genomsökningen har gjorts med det mest aktuella antivirusprogram som var tillgängligt när filen lades upp. Filen finns sparad på servrar med utökad säkerhet, vilket bidrar till att förhindra otillåtna ändringar av den.

Förutsättningar

Du måste använda någon av följande MDAC-versioner:
  • MDAC 2.5
  • MDAC 2.6
  • MDAC 2.7
Övriga MDAC-versioner, inklusive MDAC 2.8, påverkas inte av det här säkerhetsproblemet.

Obs! De här uppdateringarna gäller alla tillämpliga språk.

Installationsalternativ

Du måste starta om datorn när du har installerat uppdateringen. Uppdateringen stöder följande installationsväxlar:
Växel            Beskrivning
-------------------------------------------------------------------------
/?                Visar listan över installationsväxlar
/Q                Tyst läge
/T:<fullständig sökväg>    Anger temporär arbetsmapp
/C                Extrahera filer endast till mappen vid användning tillsammans med /T
/C:<Cmd>          Åsidosätt installationskommando som definieras av författaren
/N                Ingen dialogruta för omstart
				

Om du till exempel vill installera uppdateringen utan några åtgärder från användaren och utan omstart använder du följande kommandorad:

Q823718_MDAC_SecurityPatch /C:"dahotfix.exe /q /n" /q

Växeln /q som anges för dahotfix.exe är avsedd för tyst installation, och växeln /n förhindrar en omstart.

Varning! Datorn är sårbar tills den startas om.

Krav på omstart

Du måste starta om datorn när du har installerat uppdateringen.

Information om borttagning

Denna säkerhetskorrigering kan inte tas bort när den har installerats.

Ersättningsinformation

Den här säkerhetskorrigeringen har ersatts av säkerhetskorrigeringen i Microsoft-säkerhetsbulletinen MS03-033. Mer information om Microsoft-säkerhetsbulletinen MS03-033 finns på följande Microsoft-webbplats:
http://www.microsoft.com/technet/security/bulletin/MS03-033.asp
Om du vill veta mer om Microsoft-säkerhetsbulletinen MS03-033 klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
823718 MS03-033: Säkerhetsuppdatering för Microsoft Data Access Components

Filinformation

Den engelska versionen av denna säkerhetskorrigering har filattributen som visas i följande tabell (eller senare). Datum och tider för dessa filer anges i UTC-tid (Coordinated Universal Time). När du visar filinformationen konverteras den till lokal tid. Du kan se skillnaden mellan UTC-tid och lokal tid med hjälp av fliken Tidszon i verktyget Datum och tid på Kontrollpanelen.

MDAC 2.5 Service Pack 2

   	Datum         Tid   Version            Storlek    Filnamn
   --------------------------------------------------------------
   23-jul-2003  20:56  3.520.6100.40     212 992  Odbc32.dll       
   21-jul-2003  22:24  3.70.11.40         24 848  Odbcbcp.dll      
   23-jul-2003  02:29  3.520.6100.40     102 672  Odbccp32.dll     
   21-jul-2003  22:24  3.70.11.40        524 560  Sqlsrv32.dll     
				

MDAC 2.5 Service Pack 3

   	Datum         Tid   Version            Storlek    Filnamn
   --------------------------------------------------------------
   24-jul-2003  00:13  3.520.6300.40     212 992  Odbc32.dll       
   21-jul-2003  22:24  3.70.11.40         24 848  Odbcbcp.dll      
   24-jul-2003  00:11  3.520.6300.40     102 672  Odbccp32.dll     
   21-jul-2003  22:24  3.70.11.40        524 560  Sqlsrv32.dll     
				

MDAC 2.6 Service Pack 2

   	Datum         Tid   Version            Storlek    Filnamn
   --------------------------------------------------------------
   21-jul-2003  17:28  2000.80.746.0      86 588  Dbnetlib.dll     
   22-jul-2003  22:04  3.520.7501.40     217 360  Odbc32.dll       
   21-jul-2003  17:28  2000.80.746.0      29 252  Odbcbcp.dll      
   22-jul-2003  22:04  3.520.7501.40     102 672  Odbccp32.dll     
   31-jul-2003  23:07  2000.80.746.0     479 800  Sqloledb.dll     
   21-jul-2003  17:28  2000.80.746.0     455 236  Sqlsrv32.dll     
 				

MDAC 2.7 RTM

   	Datum         Tid   Version            Storlek    Filnamn
   --------------------------------------------------------------
   31-jul-2003  17:49  2000.81.9001.40    61 440  Dbnetlib.dll     
   22-jul-2003  23:04  3.520.9001.40     204 800  Odbc32.dll       
   22-jul-2003  23:10  2000.81.9001.40    24 576  Odbcbcp.dll      
   22-jul-2003  23:10  3.520.9001.40      94 208  Odbccp32.dll     
   31-jul-2003  17:49  2000.81.9001.40   450 560  Sqloledb.dll     
   22-jul-2003  23:08  2000.81.9001.40   356 352  Sqlsrv32.dll     
				

MDAC 2.7 Service Pack 1

   	Datum         Tid   Version            Storlek    Filnamn
   --------------------------------------------------------------
   22-jul-2003  18:27  2000.81.9041.40    61 440  Dbnetlib.dll     
   22-jul-2003  18:22  3.520.9041.40     204 800  Odbc32.dll       
   22-jul-2003  18:28  2000.81.9041.40    24 576  Odbcbcp.dll      
   22-jul-2003  18:28  3.520.9041.40      98 304  Odbccp32.dll     
   31-jul-2003  18:47  2000.81.9041.40   471 040  Sqloledb.dll     
   22-jul-2003  18:27  2000.81.9041.40   385 024  Sqlsrv32.dll     
				

Autentisering

Kontrollera att du har rätt versioner av de filer som anges i denna artikel.

Referenser

Mer information om Microsoft-säkerhetsbulletinen MS02-040 finns på följande Microsoft-webbplats:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-040.asp

Egenskaper

Artikel-id: 326573 - Senaste granskning: den 24 februari 2014 - Revision: 6.0
Informationen i denna artikel gäller:
  • Microsoft Data Access Components 2.5
  • Microsoft Data Access Components 2.6
  • Microsoft Data Access Components 2.7
Nyckelord: 
kbnosurvey kbarchive kbbug kbfix kbqfe kbsecbulletin kbsechack kbsecurity kbsecvulnerability KB326573

Ge feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com