MS02-040: การปรับปรุงการรักษาความปลอดภัยสำหรับคอมโพเนนต์ในการเข้าถึงข้อมูลของ Microsoft

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 326573 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
หมายเหตุ

การเปลี่ยน MS02-040

รุ่นการรักษาความปลอดภัยนี้ได้ถูกแทนที่ โดย Microsoft Security บูเลทีนการ MS03-033:
http://www.microsoft.com/technet/security/bulletin/MS03-033.mspx
สำหรับข้อมูลเพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้ เพื่อดูบทความในฐานความรู้ของ Microsoft::
823718MS03-033: การปรับปรุงการรักษาความปลอดภัยสำหรับคอมโพเนนต์ในการเข้าถึงข้อมูลของ Microsoft
หมายเหตุ:เมื่อต้องการดูการดาวน์โหลดสำหรับ Microsoft Security บูเลทีนการ MS03-033 ให้ดูที่ส่วน "ข้อมูลที่ดาวน์โหลด" ของบทความนี้
บทความนี้ถูกเก็บถาวรแล้วเนื้อหาของบทความจึงถูกนำเสนอ "ตามลักษณะที่เป็น" และจะไม่มีการปรับปรุงข้อมูลอีก
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

หลังจากการผลิตนี้บูเลทีนการ จะถูกกำหนดช่องโหว่ที่มีระบุว่าไม่มีการOpenRowSetคำสั่ง กระบวนการOpenRowSetคำสั่งมีคำสั่ง Microsoft SQL Server แทน ช่องโหว่ที่ได้ ด้วยส่วนประกอบพื้นฐานของ MDAC การเชื่อมต่อฐานข้อมูลเปิด (ODBC) OBDC มีอยู่ใน Windows รุ่นทั้งหมด นอกจากนี้ แพทช์รักษาความปลอดภัยดั้งเดิมที่นำออกใช้ ด้วยซึ่งไม่ได้ติดตั้งอย่างถูกต้องในระบบบางเนื่องจากการมีปัญหาในการวิธีการที่ Microsoft Windows Installer ถูกปรับปรุงแคชป้องกันแฟ้มของ Windows บูเลทีนการถูกปรับปรุง เพื่อรวมข้อมูลเพิ่มเติมนี้ และทางตรงของผู้ใช้โปรแกรมปรับปรุงการรักษาความปลอดภัยที่ปรับปรุง

คอมโพเนนต์การเข้าถึงข้อมูลของ Microsoft (MDAC) คือ ชุดของคอมโพเนนต์ที่ใช้เพื่อให้การเชื่อมต่อฐานข้อมูลในระบบปฏิบัติการ Microsoft Windows mdac เทคโนโลยี ubiquitous และมีความน่าจะอยู่ในระบบ Windows โดยส่วนใหญ่

โดยค่าเริ่มต้น MDAC ถูกรวมเป็นส่วนหนึ่งของ Microsoft Windows XP, Microsoft Windows 2000 และ Microsoft Windows Millennium Edition (Me) หมายเลขผลิตภัณฑ์และเทคโนโลยีอื่น ๆ นอกจากนี้ยังรวม หรือติดตั้ง MDAC ตัวอย่างเช่น Microsoft Windows NT 4.0 อ็อพชัน Pack และ Microsoft SQL Server 2000 ทั้งรวม MDAC และบางคอมโพเนนต์ของ MDAC อยู่เป็น part ของ Microsoft Internet Explorer แม้ว่าไม่มีการติดตั้ง MDAC เอง นอกจากนี้ยังมี mdac เป็นเทคโนโลยีแบบสแตนด์อโลน เมื่อต้องการดาวน์โหลด MDAC แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
http://msdn2.microsoft.com/en-us/data/aa937695.aspx


mdac ให้ฟังก์ชันพื้นฐานสำหรับการดำเนินการฐานข้อมูล เช่นการเชื่อมต่อกับฐานข้อมูลระยะไกล และการคืนค่าข้อมูลไปยังไคลเอ็นต์ โดยเฉพาะอย่างยิ่ง เป็นคอมโพเนนต์ MDAC ที่เรียกว่าการเปิดฐานข้อมูลการเชื่อมต่อ (ODBC) ซึ่งมีฟังก์ชันการทำงานนี้

ช่องโหว่การรักษาความปลอดภัยที่ผลลัพธ์ได้เนื่องจากฟังก์ชัน ODBC ใน MDAC ที่มีใช้การเชื่อมต่อกับแหล่งข้อมูลอย่างใดอย่างหนึ่งประกอบด้วยบัฟเฟอร์ที่ไม่ได้ตรวจสอบ ผู้โจมตีสามารถค้นหาการทำลายช่องโหว่ที่ โดย constructing เว็บเพจ ที่เมื่อมีการเยี่ยมชม โดยผู้ใช้ สามารถใช้รหัสของตัวเลือกของผู้โจมตีจะ มีข้อมูลประจำตัวของผู้ใช้ได้ เว็บเพจนั้นสามารถโฮสต์บนเว็บไซต์ หรือส่งโดยตรงไปที่ผู้ใช้ในข้อความอีเมล

ในกรณีของระบบที่ใช้ SQL Server ผู้โจมตีสามารถจุดการทำลายช่องโหว่นี้ได้ โดยใช้ Transact SQLOpenRowSetคำสั่ง ผู้ โจมตีส่งแบบสอบถามฐานข้อมูลที่ประกอบด้วยพารามิเตอร์ที่อยู่ในรูปพิเศษแบบในการเรียกไป ที่OpenRowSetอาจ overrun บัฟเฟอร์ ใดเป็นสาเหตุให้คอมพิวเตอร์ที่กำลังเรียกใช้ SQL Server ล้มเหลว หรือเป็นสาเหตุให้คอมพิวเตอร์ที่กำลังเรียกใช้ SQL Server ให้ใช้การดำเนินการที่บอก โดยผู้โจมตี

สัดส่วนของ mitigating เป็นดังนี้:
  • ผู้ใช้อ่านข้อความอีเมล์ ตามข้อความล้วนต้องจัดทำการดำเนินการก่อนการโจมตีสามารถทำลายช่องโหว่ที่
  • ระบบที่มีการกำหนดค่าให้ปิดการใช้งานการเขียนสคริปต์ทำงานอยู่ใน Internet Explorer ไม่ได้รับผลกระทบ โดยช่องโหว่นี้
  • ในสถานการณ์การโจมตีโดยใช้เว็บ ผู้ใช้ต้องไปยังเว็บไซต์อาจเป็นอันตรายที่อยู่ภายใต้การควบคุมของการโจมตี ผู้โจมตีไม่สามารถบังคับให้เยี่ยมชมเว็บไซต์ที่เป็นอันตรายนอก HTML ผู้ใช้อีเม vector ได้ แทน โจมตีต้อง lure ผู้ใช้ไปยังเว็บไซต์ โดยทั่วไป โดยการเรียกดูผู้ใช้ให้คลิกการเชื่อมโยงที่ใช้เวลาไปเว็บไซต์ของผู้โจมตี
  • ข้อมูลประจำตัวที่ได้รับผ่านการโจมตีที่สำเร็จจะเท่ากับของโปรแกรมประยุกต์ภายใต้ ODBC กำลังทำงานอยู่ โดยส่วนใหญ่ โจมตี gains เฉพาะระดับเดียวกันของข้อมูลประจำตัวผู้ใช้เข้าสู่ระบบด้วย
  • โดยค่าเริ่มต้น Outlook Express 6.0 และ Outlook 2002 HTML ที่เปิดจดหมายในโซนไซต์ที่ถูกจำกัดไว้ นอกจากนี้ Outlook 98 และ 2000 HTML ที่เปิดจดหมายในโซนไซต์ที่ถูกจำกัดถ้ามีการติดตั้งปรับปรุงการรักษาความปลอดภัยอีเมล Outlook ลูกค้าที่ใช้ใด ๆ ของผลิตภัณฑ์เหล่านี้จะเป็นที่ไม่มีความเสี่ยงจากอีเม borne การโจมตีที่พยายามจะทำลายช่องโหว่นี้เว้นแต่ผู้ใช้คลิกการเชื่อมโยงที่เป็นอันตรายในอีเมล์

ข้อมูลเพิ่มเติม

ข้อมูลการดาวน์โหลด

หมายเหตุ:The following links reflect the new security patch, MS03-033.แฟ้มต่อไปนี้สามารถดาวน์โหลดได้จากศูนย์ดาวน์โหลดของ Microsoft::
ยุบรูปภาพนี้ขยายรูปภาพนี้
ดาวน์โหลด
Download the Microsoft Data Access Components (MDAC) Security Patch MS03-033 package now.Release Date: 20 August 2003

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการดาวน์โหลดแฟ้มสนับสนุนของ Microsoft โปรดคลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความใน Microsoft Knowledge Base::
119591วิธีรับแฟ้มการสนับสนุนของไมโครซอฟท์จากบริการออนไลน์
Microsoft สแกนแฟ้มนี้เพื่อหาไวรัส Microsoft ใช้ซอฟต์แวร์ตรวจสอบไวรัสล่าสุด ณ วันที่มีการประกาศแฟ้มนั้นๆ แฟ้มดังกล่าวจะถูกเก็บในเซิร์ฟเวอร์เพิ่มการรักษาความปลอดภัย ซึ่งช่วยป้องกันการเปลี่ยนแปลงแก้ไขแฟ้มโดยไม่ได้รับอนุญาต

ข้อกำหนดเบื้องต้น

You must be running one of the following versions of MDAC:
  • MDAC 2.5
  • MDAC 2.6
  • MDAC 2.7
Other versions of MDAC, including MDAC 2.8, are not affected by this vulnerability.

หมายเหตุ:These updates apply to all applicable languages.

Installation options

คุณต้องเริ่มระบบของคอมพิวเตอร์ใหม่หลังจากใช้การปรับปรุงนี้ This update supports the following Setup switches:
Switch            Description
-------------------------------------------------------------------------
/?                Displays the list of installation switches
/Q                Quiet mode
/T:<full path>    Specifies the temporary working folder
/C                Extract files only to the folder when it is used with /T
/C:<Cmd>          Override Install Command that author defines
/N                No restart dialog box
				

For example, the following command-line command installs the update without any user intervention and suppresses a restart:

Q823718_MDAC_SecurityPatch /C:"dahotfix.exe /q /n" /q

กระบวนการ/qswitch that is specified for dahotfix.exe is for a silent install and the/nswitch suppresses a restart.

คำเตือนYour computer is vulnerable until you restart it.

ข้อกำหนดในการเริ่มต้นระบบคอมพิวเตอร์ใหม่

คุณต้องเริ่มระบบของคอมพิวเตอร์ใหม่หลังจากใช้การปรับปรุงนี้

ข้อมูลการลบ

This security patch cannot be removed after it has been installed.

Security patch replacement information

This security patch has been replaced with the security patch that is provided in Microsoft Security Bulletin MS03-033. For more information about Microsoft Security Bulletin MS03-033, visit the following Microsoft Web site:
http://www.microsoft.com/technet/security/bulletin/MS03-033.mspx
For additional information about Microsoft Security Bulletin MS03-033, click the following article number to view the article in the Microsoft Knowledge Base:
823718MS03-033: Security Update for Microsoft Data Access Components

ข้อมูลแฟ้ม

The English version of this security patch has the file attributes (or later) that are listed in the following table. วันที่และเวลาของแฟ้มเหล่านี้จะปรากฏในรูปแบบเวลามาตรฐานสากล (UTC) เมื่อคุณดูข้อมูลแฟ้ม ข้อมูลจะถูกแปลงเป็นเวลาท้องถิ่น เมื่อต้องการค้นหาความแตกต่างระหว่างเวลา UTC กับเวลาท้องถิ่น ใช้โซนเวลาแท็บในเครื่องมือ'วันและเวลา'ใน'แผงควบคุม'

MDAC 2.5 Service Pack 2

   	Date         Time   Version            Size    File name
   --------------------------------------------------------------
   23-Jul-2003  20:56  3.520.6100.40     212,992  Odbc32.dll       
   21-Jul-2003  22:24  3.70.11.40         24,848  Odbcbcp.dll      
   23-Jul-2003  02:29  3.520.6100.40     102,672  Odbccp32.dll     
   21-Jul-2003  22:24  3.70.11.40        524,560  Sqlsrv32.dll     
				

MDAC 2.5 Service Pack 3

   	Date         Time   Version            Size    File name
   --------------------------------------------------------------
   24-Jul-2003  00:13  3.520.6300.40     212,992  Odbc32.dll       
   21-Jul-2003  22:24  3.70.11.40         24,848  Odbcbcp.dll      
   24-Jul-2003  00:11  3.520.6300.40     102,672  Odbccp32.dll     
   21-Jul-2003  22:24  3.70.11.40        524,560  Sqlsrv32.dll     
				

MDAC 2.6 Service Pack 2

   	Date         Time   Version            Size    File name
   --------------------------------------------------------------
   21-Jul-2003  17:28  2000.80.746.0      86,588  Dbnetlib.dll     
   22-Jul-2003  22:04  3.520.7501.40     217,360  Odbc32.dll       
   21-Jul-2003  17:28  2000.80.746.0      29,252  Odbcbcp.dll      
   22-Jul-2003  22:04  3.520.7501.40     102,672  Odbccp32.dll     
   31-Jul-2003  23:07  2000.80.746.0     479,800  Sqloledb.dll     
   21-Jul-2003  17:28  2000.80.746.0     455,236  Sqlsrv32.dll     
 				

MDAC 2.7 RTM

   	Date         Time   Version            Size    File name
   --------------------------------------------------------------
   31-Jul-2003  17:49  2000.81.9001.40    61,440  Dbnetlib.dll     
   22-Jul-2003  23:04  3.520.9001.40     204,800  Odbc32.dll       
   22-Jul-2003  23:10  2000.81.9001.40    24,576  Odbcbcp.dll      
   22-Jul-2003  23:10  3.520.9001.40      94,208  Odbccp32.dll     
   31-Jul-2003  17:49  2000.81.9001.40   450,560  Sqloledb.dll     
   22-Jul-2003  23:08  2000.81.9001.40   356,352  Sqlsrv32.dll     
				

MDAC 2.7 Service Pack 1

   	Date         Time   Version            Size    File name
   --------------------------------------------------------------
   22-Jul-2003  18:27  2000.81.9041.40    61,440  Dbnetlib.dll     
   22-Jul-2003  18:22  3.520.9041.40     204,800  Odbc32.dll       
   22-Jul-2003  18:28  2000.81.9041.40    24,576  Odbcbcp.dll      
   22-Jul-2003  18:28  3.520.9041.40      98,304  Odbccp32.dll     
   31-Jul-2003  18:47  2000.81.9041.40   471,040  Sqloledb.dll     
   22-Jul-2003  18:27  2000.81.9041.40   385,024  Sqlsrv32.dll     
				

การตรวจสอบ

ตรวจสอบให้แน่ใจว่า คุณมีรุ่นที่ถูกต้องของแฟ้มที่ระบุไว้ในบทความนี้

ข้อมูลอ้างอิง

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ Microsoft Security บูเลทีนการ MS02-040 แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS02-040.mspx

คุณสมบัติ

หมายเลขบทความ (Article ID): 326573 - รีวิวครั้งสุดท้าย: 24 กุมภาพันธ์ 2557 - Revision: 3.0
ใช้กับ
  • Microsoft Data Access Components 2.5
  • Microsoft Data Access Components 2.6
  • Microsoft Data Access Components 2.7
Keywords: 
kbnosurvey kbarchive kbhotfixserver kbqfe kbbug kbfix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbmt KB326573 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:326573

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com