MS03-033:Microsoft Data Access Components 安全性更新程式

文章翻譯 文章翻譯
文章編號: 823718 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

結論

Microsoft Data Access Components (MDAC) 是一個元件集合,為 Microsoft Windows 作業系統提供資料庫連線能力。MDAC 是很普遍的技術,在大多數的 Windows 系統上都找得到:

根據預設,Microsoft Windows XP、Microsoft Windows 2000 和 Microsoft Windows Millennium Edition (Me) 均具有 MDAC。許多其他產品及技術,也會包含 MDAC 或可以安裝 MDAC。例如,Microsoft Windows NT 4.0 Option Pack 和 Microsoft SQL Server 2000 都有 MDAC,即使未安裝 MDAC,有些 MDAC 元件仍是 Microsoft Internet Explorer 的一部分。MDAC 也是一項獨立技術。如果要下載 MDAC,請造訪下列 Microsoft 網站:
http://msdn2.microsoft.com/en-us/data/aa937695.aspx
MDAC 2.8 之前的版本含有會導致緩衝區滿溢弱點的缺點。MDAC 為許多資料庫作業提供基礎功能,例如連線到遠端資料庫,並將資料傳回至用戶端。當網路上的用戶端電腦嘗試取得網路中執行 Microsoft SQL Server 電腦的清單時,就會傳送廣播要求給網路上的所有裝置。由於特定 MDAC 元件中的瑕疵,使得攻擊者能夠利用特別製作的封包來回應,因而造成緩衝區溢位。本文所述的安全性補充程式可以解決此緩衝區滿溢弱點。

成功利用這個瑕疵的攻擊者,可能會在系統中取得與發出上述廣播要求之應用程式相同層級的使用者權限。這可能包括了建立、修改或刪除系統上的資料、重新設定系統、重新格式化硬碟,或是在系統上執行攻擊者所選擇的程式。

緩和因素如下:
  • 攻擊者必須模擬目標系統所在之相同子網路上執行 Microsoft SQL Server 的電腦,才能成功進行攻擊。
  • 用戶端系統上所執行的程式碼,只能在已登入使用者的系統管理憑證下執行。
  • MDAC 2.8 版中沒有此公告中所修正的瑕疵。 如需有關 MDAC 2.8 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    820761 A list of significant fixes that are included in MDAC 2.8

其他相關資訊

下載資訊

您可以從「Microsoft 下載中心」下載下列檔案:
摺疊此圖像展開此圖像
下載
立即下載 Microsoft Data Access Components (MDAC) 安全性補充程式 MS03-033 套件。 發行日期:2003 年 8 月 20 日

如需有關如何下載 Microsoft 技術支援檔案的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
119591 如何從線上服務取得 Microsoft 支援檔案
Microsoft 已對這個檔案做過病毒的掃描。Microsoft 是利用發佈當日的最新病毒偵測軟體來掃描檔案,看看有沒有病毒感染。檔案會儲存在安全的伺服器上,以避免任何未經授權的更改。

注意 此補充程式沒有特定語言版本。

先決條件

您必須執行下列任一版本的 MDAC:
  • MDAC 2.5 Service Pack 2
  • MDAC 2.5 Service Pack 3
  • MDAC 2.6 Service Pack 2
  • MDAC 2.7 RTM
  • MDAC 2.7 Service Pack 1
較舊版本的 MDAC 容易遭受攻擊,並且不受支援。您必須先升級為這裡列出的其中一種 MDAC 版本,才能套用此補充程式。

您可以檢查登錄,以判斷所執行的 MDAC 版本。您可以在下列機碼中找到版本資訊:
HKEY_LOCAL_MACHINE\Software\Microsoft\DataAccess\FullInstallVer

如果要檢查登錄,請依照下列步驟執行:
  1. 按一下 [開始],再按一下 [執行]
  2. [開啟] 方塊中,輸入 regedit,再按一下 [確定]。如此就會開啟「登錄編輯程式」。
  3. 在瀏覽窗格中,找出下列機碼:
    HKEY_LOCAL_MACHINE\Software\Microsoft\DataAccess
  4. 在詳細資訊窗格的 [名稱] 欄中,找出 FullInstallVer 及 Version。每個機碼在 [資料] 欄中都有相對應的版本資訊。您可以將此資訊與下列表格中的版本資訊做比較:
  5. 完成後,按一下 [登錄] 功能表上的 [結束],關閉「登錄編輯程式」。
摺疊此表格展開此表格
MDAC 版本FullInstallVer
MDAC 2.5 RTM2.50.xxxx.x
MDAC 2.5 SP12.51.xxxx.x
MDAC 2.5 SP22.52.xxxx.x
MDAC 2.5 SP32.53.xxxx.x
MDAC 2.6 RTM2.60.xxxx.x
MDAC 2.6 SP12.61.xxxx.x
MDAC 2.6 SP22.62.xxxx.x
MDAC 2.7 RTM2.70.xxxx.x
MDAC 2.7 SP12.71.xxxx.x
MDAC 2.8 RTM2.80.xxxx.x
如需有關如何判斷 MDAC 版本的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
301202 如何檢查 MDAC 版本

安裝資訊

此安全性補充程式透過安裝程式進行安裝。

注意 此安裝程式僅提供英文版本。

安裝選項

此更新支援下列安裝參數:
摺疊此表格展開此表格
參數說明
/?顯示安裝參數清單
/Q無訊息模式
/T:<full path>指定暫時的工作資料夾
/C只會在與 /T 搭配使用時,將檔案解壓縮至資料夾中
/C:<Cmd>覆寫作者所定義的安裝命令
/N無重新啟動對話方塊

例如,下面的命令列會在沒有使用者互動的情況中安裝更新程式,並且安裝之後不會強迫電腦重新啟動:

Q823718_MDAC_SecurityPatch /C:"dahotfix.exe /q /n" /q

為 dahotfix.exe 指定的 /q 參數是用於無訊息模式,使用 /n 參數可以在安裝之後,不會強迫電腦重新啟動。

警告 除非重新啟動電腦,否則您的電腦仍然容易遭受攻擊。

重新啟動需求

套用此更新之後,您必須重新啟動電腦。

移除資訊

安裝此安全性補充程式後,便無法移除。

安全性補充程式取代資訊

這個安全性補充程式會取代由 Microsoft 安全性公告 MS02-040 中所提供的安全性補充程式。如需有關 Microsoft 安全性公告 MS02-040 的詳細資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/taiwan/security/bulletins/MS02-040.asp
如需有關 Microsoft 安全性公告 MS02-040 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
326573 MS02-040:Microsoft Data Access Components 安全性更新程式

檔案資訊

此安全性補充程式的英文版具有下列表格中所列之檔案屬性 (或更新)。這些檔案的日期和時間是以 Coordinated Universal Time (UTC) 表示。當您檢視檔案資訊時,它會轉換為當地時間。如果要查看 UTC 與當地時間的差異,請使用 [控制台] 中 [日期和時間] 工具的 [時區] 索引標籤。

MDAC 2.5 Service Pack 2

摺疊此表格展開此表格
日期時間版本大小檔名
23-Jul-200320:563.520.6100.40212,992Odbc32.dll
21-Jul-200322:243.70.11.4024,848Odbcbcp.dll
23-Jul-200302:293.520.6100.40102,672Odbccp32.dll
21-Jul-200322:243.70.11.40524,560Sqlsrv32.dll

MDAC 2.5 Service Pack 3

摺疊此表格展開此表格
日期時間版本大小檔名
24-Jul-200300:133.520.6300.40212,992Odbc32.dll
21-Jul-200322:243.70.11.4024,848Odbcbcp.dll
24-Jul-200300:113.520.6300.40102,672Odbccp32.dll
21-Jul-200322:243.70.11.40524,560Sqlsrv32.dll

MDAC 2.6 Service Pack 2

摺疊此表格展開此表格
日期時間版本大小檔名
21-Jul-200317:282000.80.746.086,588Dbnetlib.dll
22-Jul-200322:043.520.7501.40217,360Odbc32.dll
21-Jul-200317:282000.80.746.029,252Odbcbcp.dll
22-Jul-200322:043.520.7501.40102,672Odbccp32.dll
31-Jul-200323:072000.80.746.0479,800Sqloledb.dll
21-Jul-200317:282000.80.746.0455,236Sqlsrv32.dll

MDAC 2.7 RTM

摺疊此表格展開此表格
日期時間版本大小檔名
31-Jul-200317:492000.81.9001.4061,440Dbnetlib.dll
22-Jul-200323:043.520.9001.40204,800Odbc32.dll
22-Jul-200323:102000.81.9001.4024,576Odbcbcp.dll
22-Jul-200323:103.520.9001.4094,208Odbccp32.dll
31-Jul-200317:492000.81.9001.40450,560Sqloledb.dll
22-Jul-200323:082000.81.9001.40356,352Sqlsrv32.dll

MDAC 2.7 Service Pack 1

摺疊此表格展開此表格
日期時間版本大小檔名
22-Jul-200318:272000.81.9041.4061,440Dbnetlib.dll
22-Jul-200318:223.520.9041.40204,800Odbc32.dll
22-Jul-200318:282000.81.9041.4024,576Odbcbcp.dll
22-Jul-200318:283.520.9041.4098,304Odbccp32.dll
31-Jul-200318:472000.81.9041.40471,040Sqloledb.dll
22-Jul-200318:272000.81.9041.40385,024Sqlsrv32.dll

驗證

請確定您具有本文文中所列檔案的正確版本。

您也可以在
HKLM\Software\Microsoft\Updates
機碼中,檢查下列登錄項目及已安裝的檔案版本是否存在,以確認是否已經安裝補充程式。您應該會看到下列登錄項目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\DataAccess\Q823718

?考

如需有關這個安全性補充程式的詳細資訊,請參閱 Microsoft 安全性公告 MS03-033:
http://www.microsoft.com/taiwan/security/bulletins/MS03-033.asp

屬性

文章編號: 823718 - 上次校閱: 2007年2月16日 - 版次: 5.3
這篇文章中的資訊適用於:
  • Microsoft Data Access Components 2.7 Service Pack 1
  • Microsoft Data Access Components 2.7
  • Microsoft Data Access Components 2.6 Service Pack 2
  • Microsoft Data Access Components 2.5 Service Pack 3
  • Microsoft Data Access Components 2.5 Service Pack 2
關鍵字:?
kbsecvulnerability kbsecurity kbsecbulletin kbbug kbfix KB823718
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com