MS03-033: Actualização de segurança para o Microsoft Data Access Components

Traduções de Artigos Traduções de Artigos
Artigo: 823718 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Sumário

O Microsoft Data Access Components (MDAC) é um conjunto de componentes utilizado para fornecer interligação de bases de dados em sistemas operativos Microsoft Windows. O MDAC é uma tecnologia ubíqua e é provável que esteja presente na maioria dos sistemas Windows.

Por predefinição, o MDCA está incluído no Microsoft Windows XP, Microsoft Windows 2000 e Microsoft Windows Millennium Edition (Me). Vários outros produtos e tecnologias também incluem ou instalam o MDAC. Por exemplo, tanto o Microsoft Windows NT 4.0 Option Pack como o Microsoft SQL Server 2000 incluem o MDAC, estando alguns componentes presentes como parte do Microsoft Internet Explorer, mesmo se o próprio MDAC não estiver instalado. O MDAC também está disponível como uma tecnologia autónoma. Para transferir o MDAC, visite o seguinte Web site da Microsoft:
http://msdn2.microsoft.com/en-us/data/aa937695.aspx
As versões do MDAC anteriores à 2.8 contêm uma falha que resulta numa vulnerabilidade de sobrecarga da memória intermédia. O MDAC fornece a funcionalidade subjacente a várias operações de bases de dados, como a ligação a bases de dados remotas e a devolução de dados a um cliente. Quando um computador cliente de uma rede tenta ver uma lista de computadores com o SQL Server em execução residentes na rede, envia um pedido de difusão a todos os dispositivos presentes na rede. Devido a uma falha num componente específico do MDAC, um atacante pode responder com um pacote especialmente concebido, que provoca uma sobrecarga da memória intermédia. O patch de segurança descrito neste artigo resolve a vulnerabilidade de sobrecarga da memória intermédia.

Um atacante que tire partido desta vulnerabilidade com êxito pode obter o mesmo nível de direitos no sistema que a aplicação que iniciou o pedido de difusão supra. Isto pode incluir a criação, modificação ou eliminação de dados no sistema; a reconfiguração do sistema; a reformatação do disco rígido; a execução de programas à escolha do atacante, no sistema.

Este artigo poderá conter hiperligações para conteúdo em inglês (ainda não traduzido).

Os factores atenuantes são os seguintes:
  • Para que um ataque tenha êxito, um atacante tem de simular um computador com o Microsoft SQL Server em execução na mesma sub-rede do sistema de destino.
  • Código que seja executado no sistema cliente, será executado apenas com as credenciais administrativas do utilizador com sessão iniciada.
  • O MDAC versão 2.8 não contém a falha corrigida por este boletim. Para obter informações adicionais sobre o MDAC 2.8, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
    820761 List of significant fixes that are included in MDAC 2.8

Mais Informação

Informações de transferência

O ficheiro que se segue está disponível para transferência a partir do centro de transferências da Microsoft:
Reduzir esta imagemExpandir esta imagem
Transferir
Transferir o pacote do patch de segurança MS03-033 do Microsoft Data Access Components (MDAC) agora. Data de edição: 20 de Agosto de 2003

Para obter informações adicionais sobre como transferir ficheiros de suporte da Microsoft, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
119591 Como obter ficheiros de suporte da Microsoft a partir de serviços online
A Microsoft procedeu à detecção de vírus neste ficheiro. A Microsoft utilizou o software de detecção de vírus mais actual, disponível na data de publicação do ficheiro. O ficheiro está armazenado em servidores com segurança melhorada, que ajudam a impedir quaisquer alterações não autorizadas ao ficheiro.

Nota: este patch não é específico para determinado idioma.

Pré-requisitos

Deve ter uma das seguintes versões do MDAC:
  • MDAC 2.5 Service Pack 2
  • MDAC 2.5 Service Pack 3
  • MDAC 2.6 Service Pack 2
  • MDAC 2.7 RTM
  • MDAC 2.7 Service Pack 1
Versões mais antigas do MDAC são vulneráveis, mas não são suportadas. Tem de actualizar para uma das versões do MDAC listadas para poder aplicar este patch.

Pode determinar a versão do MDAC em execução verificando o registo. As informações sobre a versão encontram-se na seguinte chave:
HKEY_LOCAL_MACHINE\Software\Microsoft\DataAccess\FullInstallVer

Para verificar o registo, siga estes passos:
  1. Clique em Iniciar e clique em Executar.
  2. Na caixa Abrir, escreva regedit e clique em OK. Este procedimento inicia o Editor de registo.
  3. No painel de navegação, localize a seguinte chave:
    HKEY_LOCAL_MACHINE\Software\Microsoft\DataAccess
  4. No painel de detalhes, localize FullInstallVer e Version na coluna Nome. Estas duas chaves têm informações sobre a versão correspondente na coluna Dados. Compare estas informações com as apresentadas na tabela que se segue.
  5. Quando terminar, clique em Sair no menu Registo para fechar o Editor de registo.
Reduzir esta tabelaExpandir esta tabela
Versão do MDACFullInstallVer
MDAC 2.5 RTM2.50.xxxx.x
MDAC 2.5 SP1 2.51.xxxx.x
MDAC 2.5 SP2 2.52.xxxx.x
MDAC 2.5 SP32.53.xxxx.x
MDAC 2.6 RTM 2.60.xxxx.x
MDAC 2.6 SP1 2.61.xxxx.x
MDAC 2.6 SP22.62.xxxx.x
MDAC 2.7 RTM2.70.xxxx.x
MDAC 2.7 SP12.71.xxxx.x
MDAC 2.8 RTM 2.80.xxxx.x
Para obter informações adicionais sobre como determinar a versão do MDAC instalada, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
301202 Como verificar a versão do MDAC

Informações de instalação

Este patch de segurança é instalado com o auxílio de um programa de instalação.

Nota: o programa de instalação só existe em inglês.

Opções de instalação

Esta actualização suporta os seguintes parâmetros de configuração:
Parâmetro         Descrição
-------------------------------------------------------------------------
/?                Apresenta a lista de parâmetros de instalação
/Q                Modo silencioso
/T:<caminho comp> Especifica a pasta de trabalho temporária
/C                Só extrai ficheiros para a pasta quando utilizado com /T
/C:<Cmd>          Substitui o comando de instalação definido pelo autor
/N                Não é apresentada a caixa de diálogo de reinício
				

Por exemplo, a seguinte linha de comandos instala a actualização sem a intervenção do utilizador e suprime um reinício:

Q823718_MDAC_SecurityPatch /C:"dahotfix.exe /q /n" /q

O parâmetro /q especificado para dahotfix.exe é para uma instalação silenciosa e o parâmetro /n suprime o reinício.

Aviso: o computador mantém-se vulnerável até ser reiniciado.

Necessidade de reinício

É necessário reiniciar o computador depois de aplicar esta actualização.

Informações de remoção

Este patch de segurança não pode ser removido depois de ter sido instalado.

Informações sobre a substituição de patches de segurança

Este patch de segurança substitui o patch de segurança fornecido no boletim de segurança MS02-040 da Microsoft. Para obter mais informações sobre o boletim de segurança MS02-040, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS02-040.mspx
Para obter informações adicionais sobre o boletim de segurança MS02-040 da Microsoft, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
326573 MS02-040: Actualização de segurança para o Microsoft Data Access Components

Informações sobre os ficheiros

A versão inglesa deste patch de segurança tem os atributos de ficheiro listados na tabela que se segue (ou posteriores). As datas e horas destes ficheiros são indicadas no formato de hora universal coordenada (UTC, Universal Coordinated Time). Ao visualizar as informações dos ficheiros, estas serão convertidas na hora local. Para determinar a diferença entre a hora UTC e a hora local, utilize o separador Fuso horário da ferramenta Data e hora do Painel de controlo.

MDAC 2.5 Service Pack 2

   Data         Hora   Versão            Tamanho  Ficheiro
   --------------------------------------------------------------
   23-Jul-2003  20:56  3.520.6100.40     212,992  Odbc32.dll       
   21-Jul-2003  22:24  3.70.11.40         24,848  Odbcbcp.dll      
   23-Jul-2003  02:29  3.520.6100.40     102,672  Odbccp32.dll     
   21-Jul-2003  22:24  3.70.11.40        524,560  Sqlsrv32.dll     
				

MDAC 2.5 Service Pack 3

   Data         Hora   Versão            Tamanho  Ficheiro
   --------------------------------------------------------------
   24-Jul-2003  00:13  3.520.6300.40     212,992  Odbc32.dll       
   21-Jul-2003  22:24  3.70.11.40         24,848  Odbcbcp.dll      
   24-Jul-2003  00:11  3.520.6300.40     102,672  Odbccp32.dll     
   21-Jul-2003  22:24  3.70.11.40        524,560  Sqlsrv32.dll     
				

MDAC 2.6 Service Pack 2

   Data         Hora   Versão            Tamanho  Ficheiro
   --------------------------------------------------------------
   21-Jul-2003  17:28  2000.80.746.0      86,588  Dbnetlib.dll     
   22-Jul-2003  22:04  3.520.7501.40     217,360  Odbc32.dll       
   21-Jul-2003  17:28  2000.80.746.0      29,252  Odbcbcp.dll      
   22-Jul-2003  22:04  3.520.7501.40     102,672  Odbccp32.dll     
   31-Jul-2003  23:07  2000.80.746.0     479,800  Sqloledb.dll     
   21-Jul-2003  17:28  2000.80.746.0     455,236  Sqlsrv32.dll     
 				

MDAC 2.7 RTM

   Data         Hora   Versão            Tamanho  Ficheiro
   --------------------------------------------------------------
   31-Jul-2003  17:49  2000.81.9001.40    61,440  Dbnetlib.dll     
   22-Jul-2003  23:04  3.520.9001.40     204,800  Odbc32.dll       
   22-Jul-2003  23:10  2000.81.9001.40    24,576  Odbcbcp.dll      
   22-Jul-2003  23:10  3.520.9001.40      94,208  Odbccp32.dll     
   31-Jul-2003  17:49  2000.81.9001.40   450,560  Sqloledb.dll     
   22-Jul-2003  23:08  2000.81.9001.40   356,352  Sqlsrv32.dll     
				

MDAC 2.7 Service Pack 1

   Data         Hora   Versão            Tamanho  Ficheiro
   --------------------------------------------------------------
   22-Jul-2003  18:27  2000.81.9041.40    61,440  Dbnetlib.dll     
   22-Jul-2003  18:22  3.520.9041.40     204,800  Odbc32.dll       
   22-Jul-2003  18:28  2000.81.9041.40    24,576  Odbcbcp.dll      
   22-Jul-2003  18:28  3.520.9041.40      98,304  Odbccp32.dll     
   31-Jul-2003  18:47  2000.81.9041.40   471,040  Sqloledb.dll     
   22-Jul-2003  18:27  2000.81.9041.40   385,024  Sqlsrv32.dll     
				

Verificação

Certifique-se de que tem as versões correctas dos ficheiros listados neste artigo.

Também pode confirmar a instalação do patch verificando a existência das seguintes entradas na chave
HKLM\Software\Microsoft\Updates
e as versões de ficheiros instaladas. Deverá ver a seguinte entrada:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\DataAccess\Q823718

Referências

Para obter informações adicionais sobre este patch de segurança, consulte o boletim de segurança MS03-033 da Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS03-033.mspx

Propriedades

Artigo: 823718 - Última revisão: 16 de fevereiro de 2007 - Revisão: 5.3
A informação contida neste artigo aplica-se a:
  • Microsoft Data Access Components 2.7 Service Pack 1
  • Microsoft Data Access Components 2.7
  • Microsoft Data Access Components 2.6 Service Pack 2
  • Microsoft Data Access Components 2.5 Service Pack 3
  • Microsoft Data Access Components 2.5 Service Pack 2
Palavras-chave: 
kbsecvulnerability kbsecurity kbsecbulletin kbbug kbfix KB823718

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com