MS02-040:Microsoft Data Access Components 安全性更新程式

文章翻譯 文章翻譯
文章編號: 326573 - 檢視此文章適用的產品。
注意事項

取代 MS02-040

這個安全性發行已經由 Microsoft 安全性公告 MS03-033 所取代:
http://www.microsoft.com/technet/security/bulletin/MS03-033.mspx
如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
823718 MS03-033:Microsoft Data Access Components 的安全性更新
注意 如果要查看 Microsoft 安全性公告 MS03-033 的下載項目,請參閱本文的<下載資訊>一節。
本文已封存。本文係以「現狀」提供且不會再更新。
全部展開 | 全部摺疊

在此頁中

結論

此公告發佈之後,發現 OpenRowSet 命令並沒有公告所描述的弱點。OpenRowSet 命令是 Microsoft SQL Server 命令。反而是在基礎 MDAC 元件「開放式資料庫連接」(ODBC,Open Database Connectivity) 中發現這個弱點。所有 Windows 版本均具有 OBDC。此外,Microsoft Windows Installer 更新「Windows 檔案保護」快取的方式中存有一個弱點,導致無法在某些系統上正確地安裝此公告所發行的原始安全性補充程式。 Microsoft 已經更新此公告,以加入這項資訊,並指示使用者已更新的安全性補充程式。

Microsoft Data Access Components (MDAC) 是一個元件集合,為 Microsoft Windows 作業系統提供資料庫連線能力。MDAC 是很普遍的技術,在大多數的 Windows 系統上都找得到:

根據預設,Microsoft Windows XP、Microsoft Windows 2000 和 Microsoft Windows Millennium Edition (Me) 均具有 MDAC。許多其他產品及技術,也會包含 MDAC 或可以安裝 MDAC。例如,Microsoft Windows NT 4.0 Option Pack 和 Microsoft SQL Server 2000 都有 MDAC,即使未安裝 MDAC,有些 MDAC 元件仍是 Microsoft Internet Explorer 的一部分。MDAC 也是一項獨立技術。 如果要下載 MDAC,請造訪下列 Microsoft 網站:
http://msdn2.microsoft.com/en-us/data/aa937695.aspx


MDAC 為許多資料庫作業提供基礎功能,例如連線到遠端資料庫,並將資料傳回至用戶端。實際上,就是 MDAC 的「開放式資料庫連接」(ODBC,Open Database Connectivity) 元件提供這個功能。

由於用來連接資料來源的某個 MDAC ODBC 函數,含有未檢查的緩衝區,因此出現了安全性弱點。 攻擊者可以藉由建構網頁,在使用者造訪該網頁時,利用使用者的憑證執行攻擊者所選擇的程式碼,趁機利用此弱點。 這個網頁可以裝載在網頁上,或是直接用電子郵件寄給使用者。

如果系統是執行 SQL Server,攻擊者可以使用 Transact-SQL OpenRowSet 命令,趁機利用這個弱點。攻擊者可能在提交資料庫查詢時,在對 OpenRowSet 的呼叫中加入特定錯誤格式的參數,使緩衝區滿溢,導致正在執行 SQL Server 的電腦失敗或執行攻擊者所指定的動作。

緩和因素如下:
  • 使用者讀取純文字的電子郵件時,必須在攻擊者利用這個弱點之前採取動作。
  • 停用 Internet Explorer 中動態指令碼的系統並不會受此弱點的影響。
  • 在網頁式攻擊案例中,使用者必須造訪攻擊者所控制的惡意網站。攻擊者無法強迫使用者造訪以 HTML 電子郵件為媒介以外的惡意網站。攻擊者必須引誘使用者前往惡意的網站,通常攻擊者會引誘使用者按一下連結,將使用者導向攻擊者的惡意網站。
  • 入侵成功所取得的憑證,就等於執行 ODBC 的應用程式憑證。通常,攻擊者只會取得與使用者登入時所使用的相同等級憑證。
  • 根據預設,Outlook Express 6.0 和 Outlook 2002 會在「限制的網站」區域中開啟 HTML 郵件。此外,如果已經安裝了「Outlook 電子郵件安全性更新程式」,Outlook 98 和 2000 也會在「限制的網站」區域中開啟 HTML 郵件。 客戶使用這些產品時,只要不按一下電子郵件中的惡意連結,就不會受到企圖利用這些弱點所發動的電子郵件攻擊。

其他相關資訊

下載資訊

注意 下列連結導向新的安全性補充程式 MS03-033。 您可以從「Microsoft 下載中心」下載下列檔案:
摺疊此圖像展開此圖像
下載
立即下載「Microsoft Data Access Components (MDAC) 安全性補充程式 MS03-033」套件。 發行日期:2003 年 8 月 20 日

如需有關如何下載 Microsoft 技術支援檔案的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
119591 如何從線上服務取得 Microsoft 支援檔案
Microsoft 已對這個檔案做過病毒的掃描。Microsoft 是利用發佈當日的最新病毒偵測軟體來掃描檔案,看看有沒有病毒感染。檔案會儲存在安全的伺服器上,以避免任何未經授權的更改。

先決條件

您必須執行下列任一版本的 MDAC:
  • MDAC 2.5
  • MDAC 2.6
  • MDAC 2.7
MDAC 其他版本 (包括 MDAC 2.8) 不會受這個弱點的影響。

注意 這些更新程式適用於所有可用語言。

安裝選項

套用此更新程式之後,您必須重新啟動電腦。此更新程式支援下列安裝參數:
參數            說明
/?                顯示安裝參數清單
/Q                無訊息模式
/T:<full path>    指定暫時的工作資料夾
/C                只會在與 /T 搭配使用時,將檔案解壓縮至資料夾中
/C:<Cmd>          覆寫作者所定義的安裝命令
/N                無重新啟動對話方塊
			
		 
		 
		 
		 
		 
		 
		 
		 
		 
		 
		 
		 
		  

例如,下面的命令列會在沒有使用者互動的情況中安裝更新程式,並且安裝之後不會強迫電腦重新啟動:

Q823718_MDAC_SecurityPatch /C:"dahotfix.exe /q /n" /q

為 dahotfix.exe 指定的 /q 參數是用於無訊息模式,使用 /n 參數可以在安裝之後,不會強迫電腦重新啟動。

警告 除非重新啟動電腦,否則您的電腦仍然容易遭受攻擊。

重新啟動需求

套用此更新程式之後,您必須重新啟動電腦。

移除資訊

安裝此安全性補充程式之後,便無法移除。

安全性補充程式取代資訊

這個安全性補充程式已經由 Microsoft 安全性公告 MS03-033 中所提供的安全性補充程式所取代。如需有關 Microsoft 安全性公告 MS03-033 的詳細資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/technet/security/bulletin/MS03-033.mspx
如需有關 Microsoft 安全性公告 MS03-033 的詳細資訊,請按一下下列的文件編號,檢視「Microsoft 知識庫」中的文件:
823718 MS03-033:Microsoft Data Access Components 的安全性更新

檔案資訊

此安全性補充程式的英文版具有下列表格中所列之檔案屬性 (或更新)。這些檔案的日期和時間是以 Coordinated Universal Time (UTC) 表示。當您檢視檔案資訊時,它會轉換為當地時間。如果要查看 UTC 與當地時間的差異,請使用 [控制台] 中 [日期和時間] 工具的 [時區] 索引標籤。

MDAC 2.5 Service Pack 2

摺疊此表格展開此表格
日期時間版本大小檔名
23-Jul-200320:563.520.6100.40212,992Odbc32.dll
21-Jul-200322:243.70.11.4024,848Odbcbcp.dll
23-Jul-200302:293.520.6100.40102,672Odbccp32.dll
21-Jul-200322:243.70.11.40524,560Sqlsrv32.dll

MDAC 2.5 Service Pack 3

摺疊此表格展開此表格
日期時間版本大小檔名
24-Jul-200300:133.520.6300.40212,992Odbc32.dll
21-Jul-200322:243.70.11.4024,848Odbcbcp.dll
24-Jul-200300:113.520.6300.40102,672Odbccp32.dll
21-Jul-200322:243.70.11.40524,560Sqlsrv32.dll

MDAC 2.6 Service Pack 2

摺疊此表格展開此表格
日期時間版本大小檔名
21-Jul-200317:282000.80.746.086,588Dbnetlib.dll
22-Jul-200322:043.520.7501.40217,360Odbc32.dll
21-Jul-200317:282000.80.746.029,252Odbcbcp.dll
22-Jul-200322:043.520.7501.40102,672Odbccp32.dll
31-Jul-200323:072000.80.746.0479,800Sqloledb.dll
21-Jul-200317:282000.80.746.0455,236Sqlsrv32.dll

MDAC 2.7 RTM

摺疊此表格展開此表格
日期時間版本大小檔名
31-Jul-200317:492000.81.9001.4061,440Dbnetlib.dll
22-Jul-200323:043.520.9001.40204,800Odbc32.dll
22-Jul-200323:102000.81.9001.4024,576Odbcbcp.dll
22-Jul-200323:103.520.9001.4094,208Odbccp32.dll
31-Jul-200317:492000.81.9001.40450,560Sqloledb.dll
22-Jul-200323:082000.81.9001.40356,352Sqlsrv32.dll

MDAC 2.7 Service Pack 1

摺疊此表格展開此表格
日期時期版本大小檔名
22-Jul-200318:272000.81.9041.4061,440Dbnetlib.dll
22-Jul-200318:223.520.9041.40204,800Odbc32.dll
22-Jul-200318:282000.81.9041.4024,576Odbcbcp.dll
22-Jul-200318:283.520.9041.4098,304Odbccp32.dll
31-Jul-200318:472000.81.9041.40471,040Sqloledb.dll
22-Jul-200318:272000.81.9041.40385,024Sqlsrv32.dll

驗證

請確定您具有本文中所列檔案的正確版本。

?考

如需有關 Microsoft 安全性公告 MS02-040 的詳細資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/taiwan/security/bulletins/ms02-040.asp

屬性

文章編號: 326573 - 上次校閱: 2014年2月24日 - 版次: 5.3
這篇文章中的資訊適用於:
  • Microsoft Data Access Components 2.5
  • Microsoft Data Access Components 2.6
  • Microsoft Data Access Components 2.7
關鍵字:?
kbnosurvey kbarchive kbbug kbfix kbqfe kbsecbulletin kbsechack kbsecurity kbsecvulnerability KB326573
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com