MS03-033: Atualização de segurança para o Microsoft Data Access Components

Traduções deste artigo Traduções deste artigo
ID do artigo: 823718 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Sumário

O Microsoft Data Access Components (MDAC) é um conjunto de componentes usado para fornecer conectividade ao banco de dados nos sistemas operacionais do Microsoft Windows. O MDAC é uma tecnologia universal e provavelmente deve estar presente na maior parte dos sistemas do Windows.

Por padrão, o MDAC está incluído como parte do Microsoft Windows XP, do Microsoft Windows 2000 e do Microsoft Windows Millennium Edition (Me). Vários outros produtos e tecnologias também incluem ou instalam o MDAC. Por exemplo, tanto o Microsoft Windows NT 4.0 Option Pack quanto o Microsoft SQL Server 2000 incluem o MDAC e alguns componentes do MDAC estão presentes como parte do Microsoft Internet Explorer mesmo que o próprio MDAC não esteja instalado. O MDAC também está disponível como uma tecnologia independente. Para baixar o MDAC, visite o seguinte site da Microsoft (em inglês):
http://msdn2.microsoft.com/en-us/data/aa937695.aspx
As versões do MDAC mais antigas que a 2.8 contêm uma falha que resulta em uma vulnerabilidade de saturação do buffer. O MDAC oferece a funcionalidade subjacente para diversas operações do banco de dados, como conectar-se a bancos de dados remotos e retornar dados para um cliente. Quando um computador cliente em uma rede verificar a lista de computadores que estão executando o Microsoft SQL Server e estão na rede, ele envia uma solicitação de transmissão para todos os dispositivos presentes na rede. Devido a uma falha em um componente específico do MDAC, um invasor pode responder com um pacote específico que faz com que haja uma saturação do buffer. O patch de segurança descrito neste artigo resolve a vulnerabilidade de saturação do buffer.

Um invasor que explora essa falha com êxito pode obter os mesmos níveis de direito de usuário do sistema, como o aplicativo que iniciou a solicitação de transmissão mencionada anteriormente. Isso pode incluir a criação, a modificação e a exclusão dos dados no sistema, a reconfiguração do sistema, a reformatação do disco rígido ou a execução dos programas que o invasor escolher no sistema.

Os fatores atenuantes são os seguintes:
  • Para que um ataque ocorra, o invasor deve simular um computador que esteja executando o Microsoft SQL Server na mesma sub-rede do sistema alvo.
  • O código executado no sistema cliente será executado somente sob as credenciais administrativas do usuário conectado.
  • A versão 2.8 do MDAC não apresenta a falha que este boletim corrige. Para obter informações adicionais sobre o MDAC 2.8, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
    820761 Lista de correções significativas incluídas no MDAC 2.8

Mais Informações

Informações sobre o download

O seguinte arquivo está disponível para o download no Centro de Download da Microsoft (em inglês):
Recolher esta imagemExpandir esta imagem
Download
Faça download do pacote do patch de segurança MS03-033 do Microsoft Data Access Components (MDAC) agora. Data de lançamento: 20 de agosto de 2003

Para obter informações adicionais sobre como baixar os arquivos de Suporte da Microsoft, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
119591 Como obter arquivos de suporte da Microsoft nos serviços on-line
A Microsoft examinou esse arquivo em busca de vírus. A Microsoft utilizou o mais recente software de detecção de vírus disponível na data em que o arquivo foi publicado. O arquivo está armazenado em servidores de segurança avançada que ajudam a evitar qualquer alteração não autorizada no arquivo.

Observação Esse patch não tem um idioma específico.

Pré-requisitos

Você deve estar executando uma das seguintes versões do MDAC:
  • MDAC 2.5 Service Pack 2
  • MDAC 2.5 Service Pack 3
  • MDAC 2.6 Service Pack 2
  • MDAC 2.7 RTM
  • MDAC 2.7 Service Pack 1
As versões mais antigas do MDAC estão vulneráveis, mas não são suportadas. Você deve atualizar para uma versão do MDAC relacionada para aplicar esse patch.

Você pode determinar a versão do MDAC que está executando ao verificar o Registro: As informações de versão são encontradas na seguinte chave:
HKEY_LOCAL_MACHINE\Software\Microsoft\DataAccess\FullInstallVer

Para modificar o Registro, execute as seguintes etapas:
  1. Clique em Iniciar e em Executar.
  2. Na caixa de texto Abrir, digite regedit e clique em OK. Isso inicia o Editor do Registro.
  3. No painel de navegação, localize a seguinte chave:
    HKEY_LOCAL_MACHINE\Software\Microsoft\DataAccess
  4. No painel de detalhes, localize a coluna FullInstallVer e Version inthe Name. Cada uma dessas chaves tem informações de versão correspondentes na coluna Data. Compare essas informações com as informações de versão na tabela a seguir.
  5. Ao terminar, clique em Sair no menu Registro para fechar o Editor do Registro.
Recolher esta tabelaExpandir esta tabela
Versão do MDACFullInstallVer
MDAC 2.5 RTM2.50.xxxx.x
MDAC 2.5 SP12.51.xxxx.x
MDAC 2.5 SP22.52.xxxx.x
MDAC 2.5 SP32.53.xxxx.x
MDAC 2.6 RTM2.60.xxxx.x
MDAC 2.6 SP12.61.xxxx.x
MDAC 2.6 SP22.62.xxxx.x
MDAC 2.7 RTM2.70.xxxx.x
MDAC 2.7 SP12.71.xxxx.x
MDAC 2.8 RTM2.80.xxxx.x
Para obter informações adicionais sobre como determinar a versão do MDAC, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
301202 Como verificar a versão de MDAC

Informações sobre a instalação

Este patch de segurança é instalado por meio de um programa de instalação.

Observação O programa de instalação está apenas em inglês.

Opções de instalação

Essa atualização suporta as seguintes opções de Instalação:
Opção              Descrição
-------------------------------------------------------------------------
/?                Exibe a lista de opções de instalação
/Q                Modo silencioso
/T:<caminho completo>    Especifica a pasta de trabalho temporária
/C                Extrai arquivos somente para a pasta quando usado com /T
/C:<Cmd>          Sobrescreve o comando de instalação definido pelo autor
/N                Sem caixa de diálogo de reinicialização
				

Por exemplo, a linha de comando a seguir instala a atualização sem qualquer intervenção do usuário e suprime uma reinicialização:

Q823718_MDAC_SecurityPatch /C:"dahotfix.exe /q /n" /q

A opção /q especificada para dahotfix.exe serve para uma instalação silenciosa e a opção /n suprime a reinicialização.

Aviso Seu computador estará vulnerável até ser reiniciado.

Requisito de reinicialização

É necessário reiniciar o computador após aplicar essa atualização.

Informações sobre remoção

Esse patch de segurança não pode ser removido após sua instalação.

Informações sobre a substituição do patch de segurança

Esse patch de segurança substitui o patch de segurança oferecido no Boletim de segurança da Microsoft MS02-040. Para obter informações adicionais sobre o Boletim de segurança da Microsoft MS02-040, visite o seguinte site da Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS02-040.mspx
Para obter informações adicionais sobre o Boletim de Segurança Microsoft MS02-040, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
326573 MS02-040: Buffer não-verificado nas atualizações OpenRowset

Informações sobre o arquivo

A versão em inglês desse patch de segurança possui os atributos de arquivo (ou mais recentes) listados na tabela a seguir. As datas e os horários desses arquivos estão relacionados em formato UTC (coordenadas de tempo universal). Ao visualizar as informações sobre o arquivo, elas são convertidas para a hora local. Para encontrar a diferença entre a UTC e a hora local, use a guia Fuso horário na ferramenta Data e hora do Painel de controle.

MDAC 2.5 Service Pack 2

   	Data         Hora      Versão       Tamanho    Nome do arquivo
   --------------------------------------------------------------
   23-jul-2003  20:56  3.520.6100.40     212.992  Odbc32.dll
   21-jul-2003  22:24  3.70.11.40         24.848  Odbcbcp.dll
   23-jul-2003  02:29  3.520.6100.40     102.672  Odbccp32.dll
   21-jul-2003  22:24  3.70.11.40        524.560  Sqlsrv32.dll
				

MDAC 2.5 Service Pack 3

   	Data         Hora      Versão       Tamanho    Nome do arquivo
   --------------------------------------------------------------
   24-jul-2003  00:13  3.520.6300.40     212.992  Odbc32.dll
   21-jul-2003  22:24  3.70.11.40         24.848  Odbcbcp.dll
   24-jul-2003  00:11  3.520.6300.40     102.672  Odbccp32.dll
   21-jul-2003  22:24  3.70.11.40        524.560  Sqlsrv32.dll
				

MDAC 2.6 Service Pack 2

   	Data         Hora      Versão       Tamanho    Nome do arquivo
   --------------------------------------------------------------
   21-jul-2003  17:28  2000.80.746.0      86.588  Dbnetlib.dll
   22-jul-2003  22:04  3.520.7501.40     217.360  Odbc32.dll
   21-jul-2003  17:28  2000.80.746.0      29.252  Odbcbcp.dll
   22-jul-2003  22:04  3.520.7501.40     102.672  Odbccp32.dll
   31-jul-2003  23:07  2000.80.746.0     479.800  Sqloledb.dll
   21-jul-2003  17:28  2000.80.746.0     455.236  Sqlsrv32.dll
 				

MDAC 2.7 RTM

   	Data         Hora      Versão       Tamanho    Nome do arquivo
   --------------------------------------------------------------
   31-jul-2003  17:49  2000.81.9001.40    61.440  Dbnetlib.dll
   22-jul-2003  23:04  3.520.9001.40     204.800  Odbc32.dll
   22-jul-2003  23:10  2000.81.9001.40    24.576  Odbcbcp.dll
   22-jul-2003  23:10  3.520.9001.40      94.208  Odbccp32.dll
   31-jul-2003  17:49  2000.81.9001.40   450.560  Sqloledb.dll
   22-jul-2003  23:08  2000.81.9001.40   356.352  Sqlsrv32.dll
				

MDAC 2.7 Service Pack 1

   	Data         Hora      Versão       Tamanho    Nome do arquivo
   --------------------------------------------------------------
   22-jul-2003  18:27  2000.81.9041.40    61.440  Dbnetlib.dll
   22-jul-2003  18:22  3.520.9041.40     204.800  Odbc32.dll
   22-jul-2003  18:28  2000.81.9041.40    24.576  Odbcbcp.dll
   22-jul-2003  18:28  3.520.9041.40      98.304  Odbccp32.dll
   31-jul-2003  18:47  2000.81.9041.40   471.040  Sqloledb.dll
   22-jul-2003  18:27  2000.81.9041.40   385.024  Sqlsrv32.dll
				

Verificação

Verifique se tem as versões corretas dos arquivos que estão listados nesse artigo.

Também é possível conferir a instalação do patch verificando a existência das seguintes entradas sob a chave
HKLM\Software\Microsoft\Updates
e as versões de arquivos instaladas. Você deverá ver a seguinte entrada:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\DataAccess\Q823718

Referências

Para obter informações adicionais sobre esse patch de segurança, consulte o Boletim de Segurança da Microsoft MS03-033:
http://www.microsoft.com/brasil/technet/boletins/boletinsms03_33.aspx

Propriedades

ID do artigo: 823718 - Última revisão: sexta-feira, 16 de fevereiro de 2007 - Revisão: 5.3
A informação contida neste artigo aplica-se a:
  • Microsoft Data Access Components 2.7 Service Pack 1
  • Microsoft Data Access Components 2.7
  • Microsoft Data Access Components 2.6 Service Pack 2
  • Microsoft Data Access Components 2.5 Service Pack 3
  • Microsoft Data Access Components 2.5 Service Pack 2
Palavras-chave: 
kbsecvulnerability kbsecurity kbsecbulletin kbbug kbfix KB823718

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com