MS02-052: Chyba v třídách JDBC modulu Microsoft VM může umožnit spuštění kódu

Překlady článku Překlady článku
ID článku: 329077 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Příznaky

Modul Microsoft Virtual Machine (VM) je virtuální modul pro 32bitové verze systému Microsoft Windows. Modul Microsoft VM je součástí většiny verzí systému Windows a také většiny verzí aplikace Microsoft Internet Explorer. Pro tento modul je nyní k dispozici nová oprava. Tato oprava odstraňuje tři chyby zabezpečení. Způsob útoku by u všech těchto chyb byl pravděpodobně stejný. Útočník by mohl tyto chyby zneužít tím, že by vytvořil nebezpečnou webovou stránku a pak ji vystavil na serveru nebo odeslal jako e-mailovou zprávu.

První chyba se vyskytuje v třídách JDBC (Java Database Connectivity), které poskytují funkce, jež programům v jazyku Java umožňují připojení k různým zdrojům dat a využití dat z těchto zdrojů. Mezi tyto zdroje dat patří mnoho různých typů od textových souborů až po databáze serveru Microsoft SQL Server. Tato chyba spočívá ve způsobu, jakým tyto třídy prověřují požadavky na zavedení a spuštění určité knihovny DLL v počítači uživatele. Tyto třídy sice provádějí kontroly, jejichž cílem je zajistit, aby takové požadavky mohly provést pouze oprávněné programy, ale tyto kontroly lze „ošálit“ úmyslným nesprávným zformováním požadavku určitým nebezpečným způsobem. Tím by mohlo být umožněno, aby útočník v počítači uživatele zavedl a spustil libovolnou knihovnu DLL.

Druhá chyba se také vyskytuje v třídách JDBC a je způsobena tím, že některé funkce v těchto třídách nesprávně ověřují popisovače, které jsou jim poskytnuty jako vstupní data. Tuto chybu lze přímo zneužít tak, že při volání takové funkce budou namísto skutečného popisovače zadána neplatná data. Společnost Microsoft potvrzuje, že takový útok by mohl způsobit ukončení aplikace Internet Explorer. Tato chyba by také mohla útočníkovi umožnit zadat data, která by způsobila spuštění kódu v kontextu zabezpečení uživatele.

Třetí chyba se vyskytuje v třídě, která poskytuje podporu pro použití jazyka XML programy v jazyku Java. Tato třída zpřístupňuje celou řadu metod. Některé z těchto metod může využít libovolný program, ale jiné jsou určeny pouze pro důvěryhodné programy. Tato třída však programy nerozlišuje správným způsobem a zpřístupňuje všechny tyto metody všem programům. Prostřednictvím této chyby lze zneužít různé funkce, mezi něž patří i takové, které by mohly určitému programu umožnit v počítači uživatele provést v podstatě libovolnou akci.

Řešení

Chcete-li tyto problémy vyřešit, nainstalujte si opravu popsanou v následujícím článku databáze Microsoft Knowledge Base:
810030 MS02-069: Chyba v modulu Microsoft VM ohrožuje zabezpečení systému Windows
Aktualizace zabezpečení popsaná v článku 810030 nahrazuje aktualizaci z článku 329077.

Tato aktualizace provádí následující změny v registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{DBB3C81D-3C91-4a1e-BDDF-905B61C7CEDF}
=Security Update for the Microsoft VM (Aktualizace zabezpečení modulu VM)
ComponentID=JAVAVM
IsInstalled=hex:01,00,00,00
KeyFileName=C:\\WINDOWS\\System32\\msjava.dll
Version (Verze)=5,00,3807,0
Poznámka: Bez ohledu na číslo verze zobrazené příkazem Jview je určujícím faktorem pro ověření správné instalace této opravy výše uvedený klíč registru. Soubor Msjava.dll zůstane po instalaci této opravy ve verzi 5.00.3805.0000.

Anglická verze této opravy má následující atributy souborů (nebo novější). Data a časy jednotlivých souborů jsou uvedeny ve formátu UTC (Coordinated Universal Time). Při zobrazení informací o souboru jsou data a čas převedeny na místní čas. Rozdíl mezi místním časem a časem UTC naleznete na kartě Časové pásmo na panelu Datum a čas v okně Ovládací panely.
   Datum         Čas     Velikost  Název souboru
   ------------------------------------------
   18. 2. 2002   07:38     2 678   Msjdbc.cer
   21. 8. 2002   17:28   137 282   Msjdbc.zip
   16. 8. 2002   09:57    10 957   Osp.zip
				
Tyto soubory budou umístěny ve složce %Windir%\Java\Classes. Komprimované soubory s příponou ZIP obsahují následující třídy jazyka Java:
   21. 8. 2002   17:28   24 824  Jdbcodbc.class
   21. 8. 2002   17:28      800  Jdbcodbcboundcol.class
   21. 8. 2002   17:28    1 119  Jdbcodbcboundparam.class
   21. 8. 2002   17:28      848  Jdbcodbcbusyflag.class
   21. 8. 2002   17:28    5 193  Jdbcodbccallablestatement.class
   21. 8. 2002   17:28    8 347  Jdbcodbcconnection.class
   21. 8. 2002   17:28      447  Jdbcodbcconnectioninterface.class
   21. 8. 2002   17:28   28 036  Jdbcodbcdatabasemetadata.class
   21. 8. 2002   17:28      710  Jdbcodbcdecimal.class
   21. 8. 2002   17:28    6 096  Jdbcodbcdriver.class
   21. 8. 2002   17:28      308  Jdbcodbcdriverattribute.class
   21. 8. 2002   17:28      415  Jdbcodbcdriverinterface.class
   21. 8. 2002   17:28    2 990  Jdbcodbcinputstream.class
   21. 8. 2002   17:28      611  Jdbcodbclimits.class
   21. 8. 2002   17:28    2 339  Jdbcodbcobject.class
   21. 8. 2002   17:28    8 063  Jdbcodbcpreparedstatement.class
   21. 8. 2002   17:28      912  Jdbcodbcpseudocol.class
   21. 8. 2002   17:28   12 865  Jdbcodbcresultset.class
   21. 8. 2002   17:28      615  Jdbcodbcresultsetinterface.class
   21. 8. 2002   17:28    5 503  Jdbcodbcresultsetmetadata.class
   21. 8. 2002   17:28      523  Jdbcodbcsqlwarning.class
   21. 8. 2002   17:28    6 116  Jdbcodbcstatement.class
   21. 8. 2002   17:28    1 451  Jdbcodbctimestamp.class
   21. 8. 2002   17:28      566  Jdbcodbctypeinfo.class
   21. 8. 2002   17:28   13 595  Odbcdef.class
   28. 7. 1997   13:15      247  Accessdeniedexception.class
   28. 7. 1997   13:15      243  Conversionexception.class
   28. 7. 1997   13:15    1 033  Datasource.class
   28. 7. 1997   13:15      746  Datasourcelistener.class
   28. 7. 1997   13:15      253  Illegalargumentexception.class
   28. 7. 1997   13:15      251  Notimplementedexception.class
   28. 7. 1997   13:15    1 736  Oledbsimpleprovider.class
   28. 7. 1997   13:15    1 123  Oledbsimpleproviderlistener.class
   28. 7. 1997   13:15      384  Ospcomp.class
   28. 7. 1997   13:15      261  Ospexception.class
   28. 7. 1997   13:15      264  Ospfind.class
   28. 7. 1997   13:15      304  Ospformat.class
   28. 7. 1997   13:15      912  Ospmrshl.class
   28. 7. 1997   13:15      286  Osprw.class
   28. 7. 1997   13:15      260  Ospxfer.class
   28. 7. 1997   13:15      368  __MIDL___MIDL_ITF_SIMPDATA_0000_0001.CLASS
				

Prohlášení

Společnost Microsoft potvrzuje, že tato chyba může určitým způsobem ohrozit zabezpečení modulu Microsoft VM.

Další informace

Další informace o této chybě zabezpečení naleznete na následujících webech společnosti Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS02-052.asp
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-011.asp

Vlastnosti

ID článku: 329077 - Poslední aktualizace: 4. října 2004 - Revize: 8.3
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Virtual Machine for Java
  • Microsoft Virtual Machine for Java na těchto platformách
    • Microsoft Windows Millennium Edition
    • Microsoft Windows 2000 Standard Edition
    • Microsoft Windows NT 4.0
    • Microsoft Windows 98 Second Edition
    • Microsoft Windows 98 Standard Edition
Klíčová slova: 
kbbug kbfix kbsecvulnerability kbqfe kbsecurity kbsecbulletin KB329077

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com