MS02-040: Sikkerhedsopdatering til Microsoft Data Access Components

Meddelelse

Erstatter MS02-040

Denne sikkerhedsrettelse er blevet erstattet med Microsoft-sikkerhedsbulletin MS03-033:Yderligere oplysninger finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
823718 MS03-033: Sikkerhedsopdatering til Microsoft Data Access Components
Bemærk! Hvis du vil se filer, der kan hentes, til Microsoft-sikkerhedsbulletin MS03-033, skal du se afsnittet "Oplysninger om overførsel" i denne artikel.
Denne artikel er blevet arkiveret. Den vises "som den er og forefindes" og opdateres ikke længere.
Sammenfatning
Efter frigivelsen af denne bulletin blev det erfaret, at den beskrevne svaghed ikke forekommer i kommandoen OpenRowSet. Kommandoen OpenRowSet er en Microsoft SQL Server-kommando. Svagheden forekommer i stedet i den underliggende MDAC-komponent ODBC (Open Database Connectivity). ODBC findes i alle versioner af Windows. Desuden blev den oprindelige sikkerhedsrettelse ikke installeret korrekt på nogle systemer på grund af en fejl i den måde, som Microsoft Windows Installer opdaterede Windows Filbeskyttelse-cachen. Bulletinen er blevet opdateret, så den nu indeholder yderligere oplysninger, bl.a. for at omdirigere brugerne til en opdateret sikkerhedsrettelse.

MDAC (Microsoft Data Access Components) er en samling komponenter, der bruges til at oprette forbindelse til databaser på Microsoft Windows-operativsystemer. MDAC er en vidt udbredt teknologi, som er installeret på de fleste Windows-systemer.

MDAC er som standard medtaget i Microsoft Windows XP, Microsoft Windows 2000 og Microsoft Windows Millennium Edition (Me). En række andre produkter og teknologier indeholder eller installerer også MDAC. For eksempel indeholder Microsoft Windows NT 4.0 Option Pack og Microsoft SQL Server 2000 MDAC, og nogle af MDAC-komponenterne er medtaget i Microsoft Internet Explorer, selvom selve MDAC ikke installeres. MDAC fås også som en separat teknologi. Besøg følgende Microsoft-websted for at hente MDAC:

MDAC indeholder den underliggende funktionalitet for en række databasehandlinger, f.eks. tilslutning til en fjerndatabase og returnering af data til en klient. Det er mere specifikt MDAC-komponenten ODBC (Open Database Connectivity), der indeholder denne funktionalitet.

Der opstår en sikkerhedssvaghed, da en af ODBC-funktionerne i MDAC, som bruges til at oprette forbindelse til datakilder, indeholder en ukontrolleret buffer. En hacker kan forsøge at udnytte svagheden ved at oprette en webside, der udfører hackerens kode under brugerens sikkerhedsindstillinger, når brugeren besøger websiden. Websiden kan være placeret på et websted, eller den kan sendes direkte til brugeren i en e-mail-meddelelse.

Hvis det angrebne system kører SQL Server, kan hackeren forsøge at udnytte svagheden ved at bruge transaktionskommandoen OpenRowSet i SQL. Hvis en hacker sender en databaseforespørgsel, som indeholder en specielt udformet parameter i et kald til kommandoen OpenRowSet, kan det medføre bufferoverløb. Dette kan enten medføre, at der opstår en fejl på den computer, der kører SQL Server, eller det kan medføre, at computeren udfører handlinger, der er angivet af hackeren.

Der findes følgende formildende faktorer:
  • Brugere, der læser e-mail-meddelelser som almindelig tekst, skal selv foretage handlinger for at en hacker kan udnytte svagheden.
  • Systemer, der er konfigureret til at deaktivere Active Scripting i Internet Explorer, påvirkes ikke af denne svaghed.
  • Hvis en hacker forsøger et webbaseret angreb, kræver det, at en bruger besøger hackerens websted. En hacker kan ikke tvinge brugere til at besøge et skadeligt websted uden for vektoren for e-mails i HTML-format. Hackeren skal i stedet lokke brugere til webstedet, f.eks. ved at få dem til at klikke på et hyperlink, der fører dem til hackerens websted.
  • De logonoplysninger, der fås adgang til gennem et succesfuldt angreb, svarer til logonoplysningerne for det program, som ODBC kører under. For det meste vil hackeren kun opnå de samme rettigheder som den bruger, der er logget på.
  • Som standard bliver e-mails i HTML-format åbnet af Outlook Express 6.0 og Outlook 2002 i zonen Klassificerede websteder. Desuden åbnes e-mails i HTML-format af Outlook 98 og Outlook 2000 i zonen Klassificerede websteder, hvis Outlook E-mail Security Patch er installeret. Kunder, der bruger et af disse produkter, bliver ikke udsat for denne type angreb via en e-mail-meddelelse, medmindre brugeren klikker på et ondsindet hyperlink i e-mail-meddelelsen.
Yderligere Information

Oplysninger om overførsel

Bemærk! Følgende hyperlinks relaterer til den nye sikkerhedsrettelse MS03-033. Følgende fil kan hentes fra Microsoft Download Center:
HentHent MDAC (Microsoft Data Access Components)-sikkerhedsopdatering MS03-033-pakken nu. Udgivelsesdato: 20.08.02

Yderligere oplysninger om, hvordan du henter filer fra Microsoft Support, finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
119591 Sådan hentes Microsoft-supportfiler på onlinetjenester
Microsoft har scannet denne fil for virus. Dertil har Microsoft anvendt de nyeste antivirusprogrammer, der var tilgængelige på det tidspunkt, da filen blev lagt ud. Filen gemmes på servere med forbedret sikkerhed, der medvirker til at forhindre uautoriserede ændringer af filen.

Forudsætninger

Du skal køre en af følgende versioner af MDAC:
  • MDAC 2.5
  • MDAC 2.6
  • MDAC 2.7
Andre versioner af MDAC, herunder MDAC 2.8, påvirkes ikke af denne svaghed.

Bemærk! Disse opdateringer gælder for alle relevante sprog.

Installationsoplysninger

Genstart computeren efter installation af opdateringen. Opdateringen understøtter følgende installationsparametre:
Parameter       Beskrivelse-------------------------------------------------------------------------/?                Viser listen over installationsparametre./Q                Uden brugerinput./T:<komplet sti>    Angiver den midlertidige arbejdsmappe./C                Udpakker kun filer til mappen, hvis den angives sammen med /T./C:<kommando>          Tilsidesætter den installationskommando, forfatteren har defineret./N                Der vises ikke nogen dialogboks om genstart af computeren.				

Hvis du f.eks. vil installere opdateringen uden selv at foretage brugerinput, og uden at computeren tvinges til at genstarte, skal du bruge følgende kommando:

Q823718_MDAC_SecurityPatch /C:"dahotfix.exe /q /n" /q

Parameteren /q, som angives for dahotfix.exe, angiver, at installationen foretages uden brugerinput, og parameteren /n angiver, at computeren ikke skal genstartes.

Advarsel! Computeren er sårbar, indtil du genstarter den.

Krav om genstart

Du skal genstarte computeren efter installation af opdateringen.

Oplysninger om fjernelse

Denne sikkerhedsrettelse kan ikke fjernes, når den er blevet installeret.

Oplysninger om erstatning af sikkerhedsrettelse

Denne sikkerhedsrettelse er blevet erstattet med den sikkerhedsrettelse, der beskrives i Microsoft-sikkerhedsbulletin MS03-033. Yderligere oplysninger om Microsoft-sikkerhedsbulletin MS03-033 finder du ved at besøge følgende Microsoft-websted: Yderligere oplysninger om Microsoft-sikkerhedsbulletin MS03-033 finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
823718 MS03-033: Sikkerhedsopdatering til Microsoft Data Access Components (artiklen er evt. på engelsk)

Filoplysninger

Den engelske udgave af denne sikkerhedsopdatering indeholder de filattributter (eller nyere attributter), der er angivet i nedenstående tabel. Dato og klokkeslæt for disse filer er angivet i UTC-format (Universal Time Coordinates). Når du får vist filoplysningerne, konverteres de til lokal tid. Brug fanen Tidszone under funktionen Dato og klokkeslæt i Kontrolpanel til at finde forskellen mellem UTC og lokal tid.

MDAC 2.5 Service Pack 2

   	Dato  Klokkeslæt   Version     Størrelse      Filnavn   --------------------------------------------------------------   23.07.03     20:56  3.520.6100.40     212.992  Odbc32.dll          21.07.03     22:24  3.70.11.40         24.848  Odbcbcp.dll         23.07.03     02:29  3.520.6100.40     102.672  Odbccp32.dll        21.07.03     22:24  3.70.11.40        524.560  Sqlsrv32.dll     				

MDAC 2.5 Service Pack 3

   	Dato  Klokkeslæt   Version     Størrelse      Filnavn   --------------------------------------------------------------   24.07.03     00:13  3.520.6300.40     212.992  Odbc32.dll          21.07.03     22:24  3.70.11.40         24.848  Odbcbcp.dll         24.07.03     00:11  3.520.6300.40     102.672  Odbccp32.dll        21.07.03     22:24  3.70.11.40        524.560  Sqlsrv32.dll     				

MDAC 2.6 Service Pack 2

   	Dato  Klokkeslæt   Version     Størrelse      Filnavn   --------------------------------------------------------------   21.07.03     17:28  2000.80.746.0      86.588  Dbnetlib.dll        22.07.03     22:04  3.520.7501.40     217.360  Odbc32.dll          21.07.03     17:28  2000.80.746.0      29.252  Odbcbcp.dll         22.07.03     22:04  3.520.7501.40     102.672  Odbccp32.dll        31.07.03     23:07  2000.80.746.0     479.800  Sqloledb.dll        21.07.03     17:28  2000.80.746.0     455.236  Sqlsrv32.dll      				

MDAC 2.7 RTM

   	Dato  Klokkeslæt   Version     Størrelse      Filnavn   --------------------------------------------------------------   31.07.03     17:49  2000.81.9001.40    61.440  Dbnetlib.dll        22.07.03     23:04  3.520.9001.40     204.800  Odbc32.dll          22.07.03     23:10  2000.81.9001.40    24.576  Odbcbcp.dll         22.07.03     23:10  3.520.9001.40      94.208  Odbccp32.dll        31.07.03     17:49  2000.81.9001.40   450.560  Sqloledb.dll        22.07.03     23:08  2000.81.9001.40   356.352  Sqlsrv32.dll     				

MDAC 2.7 Service Pack 1

   	Dato  Klokkeslæt   Version     Størrelse      Filnavn   --------------------------------------------------------------   22.07.03     18:27  2000.81.9041.40    61.440  Dbnetlib.dll        22.07.03     18:22  3.520.9041.40     204.800  Odbc32.dll          22.07.03     18:28  2000.81.9041.40    24.576  Odbcbcp.dll         22.07.03     18:28  3.520.9041.40      98.304  Odbccp32.dll        31.07.03     18:47  2000.81.9041.40   471.040  Sqloledb.dll        22.07.03     18:27  2000.81.9041.40   385.024  Sqlsrv32.dll     				

Filkontrol

Kontroller, at du har den korrekte version af de filer, der vises på listerne i denne artikel.
Referencer
Yderligere oplysninger om Microsoft-sikkerhedsbulletin MS02-040 finder du ved at besøge følgende Microsoft-websted:
security_patch
Egenskaber

Artikel-id: 326573 – Seneste udgave 02/24/2014 15:44:43 – Udgave 5.4

Microsoft Data Access Components 2.5, Microsoft Data Access Components 2.6, Microsoft Data Access Components 2.7

  • kbnosurvey kbarchive kbbug kbfix kbqfe kbsecbulletin kbsechack kbsecurity kbsecvulnerability KB326573
Feedback