Sie sind zurzeit offline. Es wird auf die erneute Herstellung einer Internetverbindung gewartet.

MS03-033: Sicherheitsupdate für Microsoft Data Access Components

Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
823718 MS03-033: Security Update for Microsoft Data Access Components
Zusammenfassung
Microsoft Data Access Components (MDAC) ist eine Sammlung von Komponenten, die auf Microsoft Windows-Plattformen Datenbankkonnektivität zur Verfügung stellt. MDAC ist eine weit verbreitete Technologie und wahrscheinlich auf den meisten Windows-Systemen vorhanden.

MDAC ist standardmäßig als Teil von Microsoft Windows XP, Microsoft Windows 2000 und Microsoft Windows Millennium Edition (Me) enthalten. Zahlreiche andere Produkte und Technologien enthalten bzw. installieren ebenfalls MDAC. MDAC ist beispielsweise im Microsoft Windows NT 4.0 Option Pack sowie in Microsoft SQL Server 2000 enthalten. Einige MDAC-Komponenten sind als Teil von Microsoft Internet Explorer vorhanden, auch wenn MDAC selbst nicht installiert ist. MDAC steht auch als eigenständige Technologie zur Verfügung. Sie können MDAC von folgender Microsoft-Website herunterladen: MDAC-Versionen vor Version 2.8 enthalten einen Fehler, der zu einer Sicherheitsanfälligkeit durch Pufferüberlauf führen kann. MDAC stellt die zugrunde liegenden Funktionen für zahlreiche Datenbankoperationen bereit, z. B. für das Herstellen von Verbindungen zu Remotedatenbanken und das Zurückgeben von Daten an einen Client. Wenn ein Clientcomputer in einem Netzwerk eine Liste der im Netzwerk befindlichen Microsoft SQL-Server anzuzeigen versucht, sendet er eine Übertragungsanforderung an alle Geräte im Netzwerk. Durch einen Fehler in einer bestimmten MDAC-Komponente könnte ein Angreifer ein speziell gestaltetes Paket als Antwort schicken, das einen Pufferüberlauf verursachen könnte. Der in diesem Artikel beschriebene Sicherheitspatch behebt die Sicherheitsanfälligkeit durch Pufferüberlauf.

Ein Angreifer, der diesen Fehler erfolgreich ausnutzt, könnte die gleichen Berechtigungen für das System erlangen wie die Anwendung, die die oben genannte Übertragungsanforderung gesendet hat. Dies kann das Erstellen, Bearbeiten oder Löschen von Daten auf dem System, die Neukonfiguration des Systems, das Neuformatieren der Festplatte oder das Ausführen beliebiger vom Angreifer ausgewählter Programme im System beinhalten.

Folgende Faktoren sind schadensbegrenzend:
  • Der Angreifer müsste einen SQL Server auf dem gleichen Subnet wie das anzugreifende System simulieren, um einen erfolgreichen Angriff durchführen zu können.
  • Ein in böswilliger Absicht erstellter Code kann nur mit den administrativen Berechtigungen des jeweils angemeldeten Benutzers auf dem Clientsystem ausgeführt werden.
  • Der durch dieses Bulletin behobene Fehler ist in MDAC Version 2.8 nicht enthalten. Weitere Informationen zu MDAC 2.8 finden Sie in folgendem Artikel der Microsoft Knowledge Base:
    820761 INFO: Liste der wesentlichen Updates, die in MDAC 2.8 enthalten sind
Weitere Informationen

Informationen zum Download

Die folgende Datei steht im Microsoft Download Center zum Download zur Verfügung:
DownloadSicherheitspatch MS03-33 für Microsoft Data Access Components (MDAC) jetzt downloaden. Datum der Freigabe: 20. August 2003

Weitere Informationen zum Download von Microsoft Support-Dateien finden Sie in folgendem Artikel der Microsoft Knowledge Base:
119591 So erhalten Sie Microsoft Support-Dateien im Internet
Microsoft hat diese Datei auf Viren überprüft. Microsoft hat dazu die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war. Die Datei befindet sich auf Servern mit verstärkter Sicherheit, wodurch nicht autorisierte Änderungen an der Datei weitestgehend verhindert werden.

Hinweis: Dieser Patch ist nicht sprachspezifisch.

Voraussetzungen

Sie müssen eine der folgenden MDAC-Versionen verwenden:
  • MDAC 2.5 Service Pack 2
  • MDAC 2.5 Service Pack 3
  • MDAC 2.6 Service Pack 2
  • MDAC 2.7 RTM
  • MDAC 2.7 Service Pack 1
Ältere Versionen von MDAC weisen diese Sicherheitsanfälligkeit auf, werden aber nicht unterstützt. Sie müssen auf eine der aufgeführten MDAC-Versionen aktualisieren, um diesen Patch anwenden zu können.

Die von Ihnen verwendete MDAC-Version können Sie der Registrierung entnehmen. Die Versionsinformationen sind in folgendem Schlüssel enthalten:
HKEY_LOCAL_MACHINE\Software\Microsoft\DataAccess\FullInstallVer

Gehen Sie folgendermaßen vor, um die Registrierung zu überprüfen:
  1. Klicken Sie auf Start und anschließend auf Ausführen.
  2. Geben Sie in das Feld Öffnen den Befehl regedit ein, und klicken Sie auf OK. Dadurch wird der Registrierungseditor gestartet.
  3. Suchen Sie im Navigationsfenster den folgenden Registrierungsschlüssel:
    HKEY_LOCAL_MACHINE\Software\Microsoft\DataAccess
  4. Suchen Sie im Detailfenster in der Spalte "Name" nach "FullInstallVer" und "Version". Jeder dieser Schlüssel enthält in der Spalte "Wert" die entsprechenden Versionsinformationen. Vergleichen Sie diese Informationen mit den Versionsinformationen in der folgenden Tabelle.
  5. Klicken Sie anschließend im Menü Registrierung auf Beenden, um den Registrierungseditor zu schließen.
MDAC-VersionFullInstallVer
MDAC 2.5 RTM2.50.xxxx.x
MDAC 2.5 SP1 2.51.xxxx.x
MDAC 2.5 SP2 2.52.xxxx.x
MDAC 2.5 SP32.53.xxxx.x
MDAC 2.6 RTM 2.60.xxxx.x
MDAC 2.6 SP1 2.61.xxxx.x
MDAC 2.6 SP22.62.xxxx.x
MDAC 2.7 RTM2.70.xxxx.x
MDAC 2.7 SP12.71.xxxx.x
MDAC 2.8 RTM 2.80.xxxx.x
Weitere Informationen zum Ermitteln Ihrer MDAC-Version finden Sie in folgendem Artikel der Microsoft Knowledge Base:
301202 SO WIRD'S GEMACHT: Ermitteln der MDAC-Version

Informationen zur Installation

Dieser Sicherheitspatch wird über ein Installer-Programm installiert.

Hinweis: Das Installationsprogramm ist lediglich in Englisch verfügbar.

Installationsoptionen

Dieses Update unterstützt die folgenden Befehlszeilenoptionen:
Option            Beschreibung------------------------------------------------------------------------------------------------/?                Zeigt die Liste der Befehlszeilenoptionen für die Installation an/Q                Stiller Modus/T:<Pfad>         Gibt den temporären Arbeitsordner an/C                Extrahiert Dateien nur in den Ordner, wenn zugleich die Option /T benutzt wird/C:<Cmd>          Überschreibt den vom Autor festgelegten Installationsbefehl/N                Kein Dialogfeld beim Neustart				

Verwenden Sie beispielsweise die folgende Befehlszeile, um das Update ohne Eingriffe von Seiten des Benutzers und ohne anschließenden Neustart des Computers zu installieren:

Q823718_MDAC_SecurityPatch /C:"dahotfix.exe /q /n" /q

Die für "dahotfix.exe" angegebene Befehlszeilenoption /q dient einer stillen Installation, und die Befehlszeilenoption /n unterdrückt den Neustart.

Warnung: Ihr Computer ist erst nach einem Neustart vor dieser Sicherheitsanfälligkeit geschützt.

Neustart

Sie müssen den Computer nach der Anwendung dieses Updates neu starten.

Informationen zur Deinstallation

Dieser Sicherheitspatch kann nach seiner Installation nicht wieder entfernt werden.

Informationen zu ersetzten Sicherheitspatches

Dieser Sicherheitspatch ersetzt den Patch, der im Microsoft Security Bulletin MS02-040 bereitgestellt wird. Weitere Informationen zum Microsoft Security Bulletin MS02-040 finden Sie auf folgender Microsoft Website: Weitere Informationen zum Microsoft Security Bulletin MS02-040 finden Sie in folgendem Artikel der Microsoft Knowledge Base:
326573 MS02-040: Ungeprüfter Puffer in OpenRowset-Aktualisierungen

Dateiinformationen

Die englische Version dieses Sicherheitspatch weist die in der nachstehenden Tabelle aufgelisteten Dateiattribute (oder höher) auf. Datums- und Uhrzeitangaben für diese Dateien sind in der "Coordinated Universal Time" (UTC) angegeben. Wenn Sie sich die Dateiinformationen ansehen, werden diese Angaben in die lokale Zeit konvertiert. Die Abweichung zwischen UTC-Zeit und lokaler Zeit können Sie im Systemsteuerungsprogramm Datum/Uhrzeit mithilfe der Registerkarte Zeitzone ermitteln.

MDAC 2.5 Service Pack 2

   Datum        Zeit   Version           Größe    Dateiname   -----------------------------------------------------------   23-Jul-2003  20:56  3.520.6100.40     212,992  Odbc32.dll          21-Jul-2003  22:24  3.70.11.40         24,848  Odbcbcp.dll         23-Jul-2003  02:29  3.520.6100.40     102,672  Odbccp32.dll        21-Jul-2003  22:24  3.70.11.40        524,560  Sqlsrv32.dll

MDAC 2.5 Service Pack 3

   Datum        Zeit   Version           Größe    Dateiname   -----------------------------------------------------------   24-Jul-2003  00:13  3.520.6300.40     212,992  Odbc32.dll          21-Jul-2003  22:24  3.70.11.40         24,848  Odbcbcp.dll         24-Jul-2003  00:11  3.520.6300.40     102,672  Odbccp32.dll        21-Jul-2003  22:24  3.70.11.40        524,560  Sqlsrv32.dll				

MDAC 2.6 Service Pack 2

   Datum        Zeit   Version           Größe    Dateiname   -----------------------------------------------------------   21-Jul-2003  17:28  2000.80.746.0      86,588  Dbnetlib.dll        22-Jul-2003  22:04  3.520.7501.40     217,360  Odbc32.dll          21-Jul-2003  17:28  2000.80.746.0      29,252  Odbcbcp.dll         22-Jul-2003  22:04  3.520.7501.40     102,672  Odbccp32.dll        31-Jul-2003  23:07  2000.80.746.0     479,800  Sqloledb.dll        21-Jul-2003  17:28  2000.80.746.0     455,236  Sqlsrv32.dll				

MDAC 2.7 RTM

   Datum        Zeit   Version           Größe    Dateiname   -----------------------------------------------------------   31-Jul-2003  17:49  2000.81.9001.40    61,440  Dbnetlib.dll        22-Jul-2003  23:04  3.520.9001.40     204,800  Odbc32.dll          22-Jul-2003  23:10  2000.81.9001.40    24,576  Odbcbcp.dll         22-Jul-2003  23:10  3.520.9001.40      94,208  Odbccp32.dll        31-Jul-2003  17:49  2000.81.9001.40   450,560  Sqloledb.dll        22-Jul-2003  23:08  2000.81.9001.40   356,352  Sqlsrv32.dll

MDAC 2.7 Service Pack 1

   Datum        Zeit   Version           Größe    Dateiname   -----------------------------------------------------------   22-Jul-2003  18:27  2000.81.9041.40    61,440  Dbnetlib.dll        22-Jul-2003  18:22  3.520.9041.40     204,800  Odbc32.dll          22-Jul-2003  18:28  2000.81.9041.40    24,576  Odbcbcp.dll         22-Jul-2003  18:28  3.520.9041.40      98,304  Odbccp32.dll        31-Jul-2003  18:47  2000.81.9041.40   471,040  Sqloledb.dll        22-Jul-2003  18:27  2000.81.9041.40   385,024  Sqlsrv32.dll

Überprüfung

Stellen Sie sicher, dass die richtigen Versionen der in diesem Artikel aufgeführten Dateien installiert sind.

Sie können die Installation des Patches auch überprüfen, indem Sie unter dem Schlüssel
HKLM\Software\Microsoft\Updates
die folgenden Einträge und die installierten Dateiversionen suchen. Sie müssten den folgenden Eintrag vorfinden:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\DataAccess\Q823718
Informationsquellen
Weitere Informationen zu diesem Sicherheitspatch finden Sie im Microsoft Security Bulletin MS03-033:
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Eigenschaften

Artikelnummer: 823718 – Letzte Überarbeitung: 08/17/2004 13:10:10 – Revision: 5.1

  • Microsoft Data Access Components 2.7 Service Pack 1
  • Microsoft Data Access Components 2.7
  • Microsoft Data Access Components 2.6 Service Pack 2
  • Microsoft Data Access Components 2.5 Service Pack 3
  • Microsoft Data Access Components 2.5 Service Pack 2
  • kbsecvulnerability kbsecurity kbsecbulletin kbbug kbfix KB823718
Feedback