MS03-033: Aggiornamento della protezione per Microsoft Data Access Components

Traduzione articoli Traduzione articoli
Identificativo articolo: 823718 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

Sommario

Microsoft Data Access Components (MDAC) Ŕ una raccolta di componenti utilizzati per fornire connettivitÓ di database su sistemi operativi Microsoft Windows. MDAC Ŕ una tecnologia molto diffusa ed Ŕ probabile che sia presente sulla maggior parte dei sistemi Windows.

In base all'impostazione predefinita, si tratta di una tecnologia inclusa in Microsoft Windows XP, Microsoft Windows 2000 e Microsoft Windows Millennium Edition (ME). Molti altri prodotti e tecnologie comprendono o consentono di installare MDAC. MDAC Ŕ ad esempio incluso in Microsoft Windows NT 4.0 Option Pack e Microsoft SQL Server 2000 e alcuni componenti di MDAC fanno parte di Microsoft Internet Explorer anche se MDAC non installato. MDAC Ŕ disponibile anche come tecnologia autonoma. Per scaricare MDAC, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
http://msdn2.microsoft.com/en-us/data/aa937695.aspx
Le versioni di MDAC precedenti alla 2.8 contengono un difetto che dÓ come risultato una vulnerabilitÓ relativa al sovraccarico del buffer. MDAC offre le funzionalitÓ di base per numerose operazioni di database, quali la connessione a database remoti e la restituzione di dati a un client. Quando un computer client in una rete tenta di visualizzare un elenco di computer che eseguono Microsoft SQL Server e che si trovano nella rete, viene inviata una richiesta di trasmissione a tutte le periferiche. A causa di un difetto di un componente specifico di MDAC, un utente malintenzionato pu˛ rispondere con un pacchetto creato appositamente che provoca un sovraccarico del buffer. La patch di protezione descritta nel presente articolo risolve il problema relativo al sovraccarico del buffer.

Un utente malintenzionato che riesca a sfruttare questo difetto pu˛ ottenere lo stesso livello di diritti utente sul sistema dell'applicazione che ha iniziato la suddetta richiesta di trasmissione, ovvero pu˛ essere in grado di creare, modificare o eliminare dati nel sistema, riconfigurare il sistema, riformattare il disco rigido o eseguire programmi.

I fattori attenuanti sono i seguenti:
  • Per la riuscita dell'attacco, un utente malintenzionato deve simulare un computer in cui Ŕ in esecuzione Microsoft SQL Server nella stessa subnet del sistema di destinazione.
  • Il codice eseguito nel sistema client verrebbe eseguito solo con le credenziali amministrative dell'utente connesso.
  • In MDAC versione 2.8 non si riscontra il problema corretto da questo bollettino. Per ulteriori informazioni su MDAC 2.8, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    820761 Elenco di correzioni importanti incluse in MDAC 2.8

Informazioni

Informazioni sul download

Il seguente file Ŕ disponibile per il download dall'Area download Microsoft:
Download della patch di protezione MS03-033 per Microsoft Data Access Components (MDAC) Data di rilascio: 20 agosto 2003

Per ulteriori informazioni sul download di file di supporto Microsoft, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
119591 Come ottenere file di supporto Microsoft dai servizi online
Il file Ŕ stato controllato e non contiene virus. Microsoft ha utilizzato il software antivirus pi¨ recente disponibile al momento della data di pubblicazione del file. Il file viene salvato su server con un livello di protezione avanzata che impedisce modifiche non autorizzate.

Nota Questa patch non Ŕ specifica per una lingua.

Prerequisiti

╚ necessario che sia in esecuzione una delle seguenti versioni di MDAC:
  • MDAC 2.5 Service Pack 2
  • MDAC 2.5 Service Pack 3
  • MDAC 2.6 Service Pack 2
  • MDAC 2.7 RTM
  • MDAC 2.7 Service Pack 1
Le versioni precedenti di MDAC sono vulnerabili, ma non sono supportate. ╚ necessario effettuare l'aggiornamento a una versione di MDAC elencata per applicare la patch.

╚ possibile determinare la versione di MDAC in esecuzione controllando il Registro di sistema. Le informazioni sulla versione sono contenute nella seguente chiave del Registro di sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\DataAccess\FullInstallVer

Per controllare il Registro di sistema, attenersi alla seguente procedura:
  1. Fare clic sul pulsante Start, quindi scegliere Esegui.
  2. Nella casella di testo Apri digitare regedit, quindi scegliere OK. VerrÓ avviato l'editor del Registro di sistema.
  3. Nel riquadro di esplorazione, individuare la seguente chiave:
    HKEY_LOCAL_MACHINE\Software\Microsoft\DataAccess
  4. Nel riquadro dei dettagli individuare FullInstallVer e Version nella colonna Nome. Per ognuna di queste chiavi esistono informazioni corrispondenti sulla versione nella colonna Dati. Confrontare queste informazioni con quelle sulla versione disponibili nella tabella riportata di seguito.
  5. Al termine delle operazioni, scegliere Esci dal menu dell'editor del Registro di sistema.
Riduci questa tabellaEspandi questa tabella
Versione di MDACFullInstallVer
MDAC 2.5 RTM2.50.xxxx.x
MDAC 2.5 SP12.51.xxxx.x
MDAC 2.5 SP22.52.xxxx.x
MDAC 2.5 SP32.53.xxxx.x
MDAC 2.6 RTM2.60.xxxx.x
MDAC 2.6 SP12.61.xxxx.x
MDAC 2.6 SP22.62.xxxx.x
MDAC 2.7 RTM2.70.xxxx.x
MDAC 2.7 SP12.71.xxxx.x
MDAC 2.8 RTM2.80.xxxx.x
Per ulteriori informazioni su come determinare la versione di MDAC in uso, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
301202 Verifica della versione MDAC

Informazioni sull'installazione

Questa patch di protezione viene installata tramite un programma di installazione.

Nota Il programma di installazione Ŕ disponibile solo in lingua inglese.

Opzioni di installazione

Questo aggiornamento supporta i seguenti parametri di installazione:
Parametro              Descrizione
-------------------------------------------------------------------------
/?                     Visualizza l'elenco dei parametri di installazione
/Q                     ModalitÓ non interattiva
/T:<percorso completo> Specifica la cartella di lavoro temporanea
/C                     Consente di estrarre i file solo nella cartella specificata, se utilizzato assieme al parametro /T.
/C:<Cmd>               Consente di ignorare il comando Install definito dall'autore
/N                     Non viene visualizzata la finestra di dialogo di riavvio.
				

Il comando della riga riportata di seguito, ad esempio, consente di installare l'aggiornamento senza alcun intervanto da parte dell'utente ed evita il riavvio:

Q823718_MDAC_SecurityPatch /C:"dahotfix.exe /q /n" /q

Il parametro /q specificato per un file dahotfix.exe Ŕ relativo a un'installazione invisibile e il parametro /n sopprime il riavvio.

Avviso Il computer risulterÓ vulnerabile finchÚ non sarÓ stato riavviato.

Richiesta di riavvio

╚ necessario riavviare il computer una volta applicato l'aggiornamento.

Informazioni sulla rimozione

Non Ŕ possibile rimuovere questa patch di protezione dopo l'installazione.

Informazioni sulla sostituzione della patch di protezione

Questa patch di protezione sostituisce la patch fornita nel Bollettino Microsoft sulla sicurezza MS02-040. Per ulteriori informazioni su questo bollettino, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
http://www.microsoft.com/technet/security/bulletin/MS02-040.mspx
Per ulteriori informazioni sul Bollettino Microsoft sulla sicurezza MS02-040, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
326573 MS02-040: Aggiornamento della protezione per Microsoft Data Access Components

Informazioni sui file

La versione in lingua inglese di questa patch di protezione ha gli attributi di file elencati nella tabella seguente (o successivi). Date e ore elencate di seguito sono espresse in UTC. Quando si visualizzano le informazioni sul file, l'ora viene convertita in ora locale. Per calcolare la differenza tra l'ora UTC e quella locale, utilizzare la scheda Fuso orario dello strumento Data e ora del Pannello di controllo.

MDAC 2.5 Service Pack 2

   Data        Ora    Versione       Dimensione  Nome file
   --------------------------------------------------------------
   23/07/2003  20.56  3.520.6100.40     212.992  Odbc32.dll
   21/07/2003  22.24  3.70.11.40         24.848  Odbcbcp.dll
   23/07/2003  02.29  3.520.6100.40     102.672  Odbccp32.dll
   21/07/2003  22.24  3.70.11.40        524.560  Sqlsrv32.dll
				

MDAC 2.5 Service Pack 3

   Data        Ora    Versione       Dimensione  Nome file
   --------------------------------------------------------------
   24/07/2003  00.13  3.520.6300.40     212.992  Odbc32.dll
   21/07/2003  22.24  3.70.11.40         24.848  Odbcbcp.dll
   24/07/2003  00.11  3.520.6300.40     102.672  Odbccp32.dll
   21/07/2003  22.24  3.70.11.40        524.560  Sqlsrv32.dll
				

MDAC 2.6 Service Pack 2

   Data        Ora    Versione       Dimensione  Nome file
   --------------------------------------------------------------
   21/07/2003  17.28  2000.80.746.0      86.588  Dbnetlib.dll
   22/07/2003  22.04  3.520.7501.40     217.360  Odbc32.dll
   21/07/2003  17.28  2000.80.746.0      29.252  Odbcbcp.dll
   22/07/2003  22.04  3.520.7501.40     102.672  Odbccp32.dll
   31/07/2003  23.07  2000.80.746.0     479.800  Sqloledb.dll
   21/07/2003  17.28  2000.80.746.0     455.236  Sqlsrv32.dll
 				

MDAC 2.7 RTM

   Data        Ora    Versione       Dimensione  Nome file
   --------------------------------------------------------------
   31/07/2003  17.49  2000.81.9001.40    61.440  Dbnetlib.dll
   22/07/2003  23.04  3.520.9001.40     204.800  Odbc32.dll
   22/07/2003  23.10  2000.81.9001.40    24.576  Odbcbcp.dll
   22/07/2003  23.10  3.520.9001.40      94.208  Odbccp32.dll
   31/07/2003  17.49  2000.81.9001.40   450.560  Sqloledb.dll
   22/07/2003  23.08  2000.81.9001.40   356.352  Sqlsrv32.dll
				

MDAC 2.7 Service Pack 1

   Data        Ora    Versione       Dimensione  Nome file
   --------------------------------------------------------------
   22/07/2003  18.27  2000.81.9041.40    61.440  Dbnetlib.dll
   22/07/2003  18.22  3.520.9041.40     204.800  Odbc32.dll
   22/07/2003  18.28  2000.81.9041.40    24.576  Odbcbcp.dll
   22/07/2003  18.28  3.520.9041.40      98.304  Odbccp32.dll
   31/07/2003  18.47  2000.81.9041.40   471.040  Sqloledb.dll
   22/07/2003  18.27  2000.81.9041.40   385.024  Sqlsrv32.dll
				

Verifica

Assicurarsi di disporre delle versioni corrette dei file elencati in questo articolo.

╚ anche possibile verificare l'installazione della patch controllando l'esistenza delle voci riportate di seguito nella chiave
HKLM\Software\Microsoft\Updates
e nelle versioni dei file installati. Dovrebbe essere visualizzato il seguente valore:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\DataAccess\Q823718

Riferimenti

Per ulteriori informazioni su questo aggiornamento della protezione, vedere il Bollettino Microsoft sulla sicurezza MS03-033:
http://www.microsoft.com/italy/technet/security/bulletin/MS03-033.mspx

ProprietÓ

Identificativo articolo: 823718 - Ultima modifica: venerdý 16 febbraio 2007 - Revisione: 5.3
Le informazioni in questo articolo si applicano a:
  • Microsoft Data Access Components 2.7 Service Pack 1
  • Microsoft Data Access Components 2.7
  • Microsoft Data Access Components 2.6 Service Pack 2
  • Microsoft Data Access Components 2.5 Service Pack 3
  • Microsoft Data Access Components 2.5 Service Pack 2
Chiavi:á
kbsecvulnerability kbsecurity kbsecbulletin kbbug kbfix KB823718
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com