MS03-033: Actualización de seguridad para Microsoft Data Access Components

Id. de artículo: 823718 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

Resumen

Microsoft Data Access Components (MDAC) es un conjunto de componentes que se utilizan para proporcionar conectividad a bases de datos en los sistemas operativos Microsoft Windows. MDAC es una tecnología ubicua que probablemente está presente en la mayoría de los sistemas Windows.

De manera predeterminada, MDAC se incluye como parte de Microsoft Windows XP, Microsoft Windows 2000 y Microsoft Windows Millennium Edition (Me). Otros productos y tecnologías también incluyen o instalan MDAC. Por ejemplo, MDAC se incluye en Microsoft Windows NT 4.0 Option Pack y en Microsoft SQL Server 2000, y algunos componentes de MDAC forman parte de Microsoft Internet Explorer incluso aunque no se haya instalado MDAC. MDAC está disponible también como tecnología independiente. Para descargar MDAC, visite el siguiente sitio Web de Microsoft:
http://msdn2.microsoft.com/en-us/data/aa937695.aspx
(http://msdn2.microsoft.com/en-us/data/aa937695.aspx)
Las versiones de MDAC anteriores a la 2.8 contienen un error que produce una vulnerabilidad por saturación de búfer. MDAC proporciona la funcionalidad subyacente para una serie de operaciones de bases de datos, como la conexión con bases de datos remotas y la devolución de datos a un cliente. Cuando un equipo cliente de una red intenta ver una lista de equipos que ejecutan Microsoft SQL Server y que residen en la red, envía una solicitud de difusión a todos los dispositivos que están en la red. Por un error en un componente específico de MDAC, un atacante puede responder con un paquete especialmente elaborado que causa un desbordamiento de búfer. La revisión de seguridad que se describe en este artículo resuelve la vulnerabilidad de desbordamiento de búfer.

Un atacante que consiguiera explotar esta vulnerabilidad podría obtener sobre el sistema el mismo nivel de derechos de usuario que tenía la aplicación que inició la mencionada solicitud de difusión. Esto podría incluir la creación, modificación o eliminación de datos del sistema, la reconfiguración del sistema, el reformateo del disco duro o la ejecución de los programas elegidos por el atacante en el sistema.

Los factores atenuantes son los siguientes:
  • Para que un ataque tenga éxito, el atacante debe simular un equipo que está ejecutando Microsoft SQL Server en la misma subred que el sistema de destino.
  • El código que se ejecutara en el sistema del cliente sólo lo haría con las credenciales administrativas del usuario que inició sesión.
  • La versión 2.8 de MDAC no contiene el error que corrige este boletín. Para obtener información adicional acerca de MDAC 2.8, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    820761
    (http://support.microsoft.com/kb/820761/ )
    Lista de revisiones importantes incluidas en MDAC 2.8
Volver al principio | Enviar comentarios

Más información

Información de descarga

El siguiente archivo se puede descargar desde el Centro de descarga de Microsoft:
Contraer esta imagenAmpliar esta imagen
Descargar
Descargue ahora el paquete de la revisión de seguridad MS03-033 de Microsoft Data Access Components (MDAC).
(http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=9107ABC6-8995-4A99-B6A0-478B3A847E9C)
Fecha de publicación: 20 de agosto de 2003

Para obtener información adicional acerca de cómo descargar los archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
119591
(http://support.microsoft.com/kb/119591/ )
Cómo obtener archivos de soporte técnico de Microsoft desde los servicios en línea
Microsoft exploró este archivo en busca de virus con el software de detección de virus más reciente disponible en la fecha de publicación. Asimismo, el archivo se almacenó en servidores seguros que ayudan a impedir la realización de cambios no autorizados.

Nota: esta revisión no es específica del idioma.

Requisitos previos

Debe ejecutar una de las siguientes versiones de MDAC:
  • Service Pack 2 de MDAC 2.5
  • Service Pack 3 de MDAC 2.5
  • Service Pack 2 de MDAC 2.6
  • RTM de MDAC 2.7
  • Service Pack 1 de MDAC 2.7
Las versiones más antiguas de MDAC son vulnerables pero no se ofrece soporte técnico para ellas. Debe actualizarse a una versión de MDAC mostrada para poder aplicar esta revisión.

Puede determinar la versión de MDAC que está ejecutando si examina el Registro. La información de la versión se encuentra en la siguiente clave del Registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\DataAccess\FullInstallVer

Para comprobar el Registro, siga estos pasos:
  1. Haga clic en Inicio y, a continuación, en Ejecutar.
  2. En el cuadro de texto Abrir, escriba regedit y, a continuación, haga clic en Aceptar. Se iniciará el Editor del Registro.
  3. En el panel de exploración, busque la clave siguiente:
    HKEY_LOCAL_MACHINE\Software\Microsoft\DataAccess
  4. En el panel de detalles, busque FullInstallVer y Version en la columna Name. Cada una de estas claves contiene la información acerca de la versión en la columna Data. Compare esta información con la información de la versión incluida en la tabla siguiente.
  5. Cuando haya terminado, haga clic en Salir en el menú Registro para cerrar el Editor del Registro.
Contraer esta tablaAmpliar esta tabla
Versión de MDACFullInstallVer
RTM de MDAC 2.52.50.xxxx.x
SP1 de MDAC 2.5 2.51.xxxx.x
SP2 de MDAC 2.5 2.52.xxxx.x
SP3 de MDAC 2.52.53.xxxx.x
RTM de MDAC 2.6 2.60.xxxx.x
SP1 de MDAC 2.6 2.61.xxxx.x
SP2 de MDAC 2.62.62.xxxx.x
RTM de MDAC 2.72.70.xxxx.x
SP1 de MDAC 2.72.71.xxxx.x
RTM de MDAC 2.8 2.80.xxxx.x
Para obtener información adicional acerca de cómo averiguar su versión de MDAC, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
301202
(http://support.microsoft.com/kb/301202/ )
Cómo comprobar la versión de MDAC

Información de instalación

Esta revisión de seguridad se instaló con un programa de instalación.

Nota: el programa de instalación sólo está disponible en inglés.

Opciones de instalación

Esta actualización acepta los siguientes modificadores para la instalación:
Contraer esta tablaAmpliar esta tabla
ModificadorDescripción
/?Muestra la lista de modificadores de instalación
/QModo silencioso
/T:<full path>Especifica la carpeta de trabajo temporal
/CExtrae los archivos temporales a la carpeta cuando se utiliza con /T
/C:<Cmd>Reemplaza el comando de instalación definido por el autor
/NSin cuadro de diálogo de reinicio


Por ejemplo, la línea de comandos siguiente instala la actualización sin la intervención del usuario y suprime un reinicio:

Q823718_MDAC_SecurityPatch /C:"dahotfix.exe /q /n" /q

El modificador /q especificado para dahotfix.exe corresponde a una instalación silenciosa y el modificador /n suprime el reinicio.

Advertencia: el equipo seguirá siendo vulnerable hasta que lo reinicie.

Requisito de reinicio

Una vez aplicada esta actualización, debe reiniciar el equipo.

Información de la desinstalación

Una vez instalada, esta revisión de seguridad no se puede quitar.

Información acerca de la sustitución de la revisión de seguridad

Esta revisión de seguridad reemplaza a la revisión de seguridad incluida en el Boletín de seguridad de Microsoft MS02-040. Para obtener más información acerca de este boletín de seguridad, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS02-040.mspx
(http://www.microsoft.com/technet/security/bulletin/MS02-040.mspx)
Para obtener información adicional acerca del boletín de seguridad MS02-040 de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
326573
(http://support.microsoft.com/kb/326573/ )
MS02-040: Búfer sin comprobar en actualizaciones de OpenRowset

Información sobre archivos

La versión en inglés de esta revisión de seguridad tiene los atributos de archivo enumerados en la siguiente tabla u otros posteriores. Las fechas y las horas de estos archivos se muestran según el Horario universal coordinado (UTC). Cuando vea la información de archivo, se convertirá a la hora local. Para ver la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria de la herramienta Fecha y hora del Panel de control.

Service Pack 2 de MDAC 2.5

Contraer esta tablaAmpliar esta tabla
FechaHoraVersiónTamañoNombre de archivo
23-Jul-200320:563.520.6100.40212.992Odbc32.dll
21-Jul-200322:243.70.11.4024.848Odbcbcp.dll
23-Jul-200302:293.520.6100.40102.672Odbccp32.dll
21-Jul-200322:243.70.11.40524.560Sqlsrv32.dll


Service Pack 3 de MDAC 2.5

Contraer esta tablaAmpliar esta tabla
FechaHoraVersiónTamañoNombre de archivo
24-Jul-200300:133.520.6100.40212.992Odbc32.dll
21-Jul-200322:243.70.11.4024.848Odbcbcp.dll
24-Jul-200300:113.520.6300.40102.672Odbccp32.dll
21-Jul-200322:243.70.11.40524.560Sqlsrv32.dll


Service Pack 2 de MDAC 2.6

Contraer esta tablaAmpliar esta tabla
FechaHoraVersiónTamañoNombre de archivo
21-Jul-200317:282000.80.746.086.588Dbnetlib.dll
22-Jul-200322:043.520.7501.40217.360Odbc32.dll
21-Jul-200317:282000.80.746.029.252Odbcbcp.dll
22-Jul-200322:043.520.7501.40102.672Odbccp32.dll
31-Jul-200323:072000.80.746.0479.800Sqloledb.dll
21-Jul-200317:282000.80.746.0455.236Sqlsrv32.dll


RTM de MDAC 2.7

Contraer esta tablaAmpliar esta tabla
FechaHoraVersiónTamañoNombre de archivo
31-Jul-200317:492000.81.9001.4061.440Dbnetlib.dll
22-Jul-200323:043.520.9001.40204.800Odbc32.dll
22-Jul-200323:102000.81.9001.4024.576Odbcbcp.dll
22-Jul-200323:103.520.9001.4094.208Odbccp32.dll
31-Jul-200317:492000.81.9001.40450.560Sqloledb.dll
22-Jul-200323:082000.81.9001.40356.352Sqlsrv32.dll


Service Pack 1 de MDAC 2.7

Contraer esta tablaAmpliar esta tabla
FechaHoraVersiónTamañoNombre de archivo
22-Jul-200318:272000.81.9041.4061.440Dbnetlib.dll
22-Jul-200318:223.520.9041.40204.800Odbc32.dll
22-Jul-200318:282000.81.9041.4024.576Odbcbcp.dll
22-Jul-200318:283.520.9041.4098.304Odbccp32.dll
31-Jul-200318:472000.81.9041.40471.040Sqloledb.dll
22-Jul-200318:272000.81.9041.40385.024Sqlsrv32.dll


Comprobación

Compruebe que tiene las versiones correctas de los archivos enumerados en este artículo.

También puede comprobar la instalación de la revisión si comprueba la existencia de las entradas siguientes bajo la clave
HKLM\Software\Microsoft\Updates
y las versiones de archivos instaladas. Debe ver la entrada siguiente:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\DataAccess\Q823718
Volver al principio | Enviar comentarios

Referencias

Para obtener información adicional acerca de esta revisión de seguridad, consulte el Boletín de seguridad de Microsoft MS03-33:
http://www.microsoft.com/spain/technet/seguridad/boletines/MS03-033-IT.mspx
(http://www.microsoft.com/spain/technet/seguridad/boletines/MS03-033-IT.mspx)
Volver al principio | Enviar comentarios

Propiedades

Id. de artículo: 823718 - Última revisión: viernes, 16 de febrero de 2007 - Versión: 5.3
La información de este artículo se refiere a:
  • Microsoft Data Access Components 2.7 Service Pack 1
  • Microsoft Data Access Components 2.7
  • Microsoft Data Access Components 2.6 Service Pack 2
  • Microsoft Data Access Components 2.5 Service Pack 3
  • Microsoft Data Access Components 2.5 Service Pack 2
Palabras clave: 
kbsecvulnerability kbsecurity kbsecbulletin kbbug kbfix KB823718
Volver al principio | Enviar comentarios

Enviar comentarios

 
Volver al principioVolver al principio