MS02-040: Sikkerhetsoppdatering for Microsoft Data Access Components

Merknad

Erstatning for MS02-040

Denne sikkerhetsoppdateringen er erstattet av Microsofts sikkerhetsbulletin MS03-033:Hvis du vil ha mer informasjon, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
823718 MS03-033: Sikkerhetsoppdatering for Microsoft Data Access Components (denne artikkelen kan være på engelsk)
Obs!  Hvis du vil se nedlastinger for Microsofts sikkerhetsbulletin MS03-033, ser du under Nedlastingsinformasjon i denne artikkelen.
Denne artikkelen er arkivert. Den tilbys "som den er" og vil ikke bli oppdatert.
Sammendrag
Etter at denne bulletinen ble gitt ut, ble det fastslått at sikkerhetsproblemet som er drøftet, ikke gjelder OpenRowSet-kommandoen. OpenRowSet-kommandoen er en Microsoft SQL Server-kommando. Sikkerhetsproblemet gjelder den underliggende MDAC-komponenten ODBC (Open Database Connectivity). OBDC finnes i alle versjoner av Windows. Dessuten ble ikke den opprinnelige sikkerhetsoppdateringen riktig installert på enkelte systemer på grunn av en feil i måten Microsoft Windows Installer oppdaterte hurtigbufferen for Filbeskyttelse for Windows. Bulletinen er oppdatert for å inkludere denne tilleggsinformasjonen, og for å lede brukere til en oppdatert sikkerhetsoppdatering.

Microsoft Data Access Components (MDAC) er en samling komponenter som brukes til å gi databasetilkobling på Microsoft Windows-operativsystemer. MDAC-teknologien er svært utbredt, og finnes sannsynligvis på de fleste Windows-systemer.

Som standard er MDAC en del av Microsoft Windows XP, Microsoft Windows 2000 og Microsoft Windows Millennium Edition (Me). En rekke andre produkter og teknologier inkluderer eller installerer også MDAC. MDAC er for eksempel inkludert i både Microsoft Windows NT 4.0 Option Pack og Microsoft SQL Server 2000 MDAC, og noen MDAC-komponenter finnes som en del av Microsoft Internet Explorer selv om MDAC ikke er installert. MDAC er også tilgjengelig som en frittstående teknologi. Hvis du vil laste ned MDAC, går du til følgende Microsoft-webområde:

MDAC gir den underliggende funksjonaliteten for en rekke databaseoperasjoner, blant annet for tilkobling til eksterne databaser og returnering av data til en klient. Det er særlig MDAC-komponenten kjent som ODBC (Open Database Connectivity) som sørger for denne funksjonaliteten.

Det oppstår et sikkerhetsproblem fordi en av ODBC-funksjonene i MDAC som brukes til å koble til datakilder, inneholder en ukontrollert buffer. En angriper kan prøve å utnytte sikkerhetsproblemet ved å lage en webside som kjører en kode valgt av angriperen, når brukeren åpner siden. Koden kjøres med brukerens legitimasjonsbeskrivelser. Websiden kan ligge på et webområde eller sendes direkte til brukeren i en e-postmelding.

På systemer som kjører SQL Server, kan en angriper prøve å utnytte dette sikkerhetsproblemet ved å bruke Transact-SQL-kommandoen OpenRowSet. En angriper som sender en databasespørring som inneholder en spesielt misformet parameter i et kall til OpenRowSet, kan forårsake overløp av bufferen for å få datamaskinen som kjører SQL Server, til å svikte eller til å utføre handlinger som dikteres av angriperen.

De begrensende faktorer er som følger:
  • Brukere som leser e-postmeldninger som ren tekst, må utføre en handling før en angriper kan utnytte sikkerhetsproblemet.
  • Systemer som er konfigurert til å deaktivere aktiv skripting i Internet Explorer, påvirkes ikke av dette sikkerhetsproblemet.
  • I en webbasert angrepssituasjon må en bruker besøke et skadelig webområde som kontrolleres av en angriper. En angriper kan ikke tvinge brukere til å gå til et skadelig webområde med unntak av HTMLs e-postvektor. I stedet må angriperen lokke brukere til webområdet, vanligvis ved å få brukere til å klikke en kobling som tar dem til webområdet til angriperen.
  • Legitimasjonsbeskrivelsene som gis ved et vellykket angrep, kan være lik de som gis av programmet som ODBC kjøres under. Som regel får en angriper bare samme nivå for legitimasjonsbeskrivelse som brukeren logget på med.
  • HTML-e-post åpnes som standard i Outlook Express 6.0 og Outlook 2002 i Begrenset områdesone. Videre åpnes HTML-e-post i Outlook 98 og 2000 i Begrenset områdesone hvis oppdateringen for e-postsikkerhet for Outlook er installert på datamaskinen. Kunder som bruker noen av disse produktene, løper ingen risiko for e-postbaserte angrep som prøver å utnytte dette sikkerhetsproblemet, med mindre brukeren klikker en skadelig kobling i e-postmeldingen.
Mer informasjon

Nedlastingsinformasjon

Obs!  Følgende koblinger viser den nye sikkerhetsoppdateringen MS03-033. Følgende fil kan lastes ned fra Microsoft Download Center:
Last nedLast ned sikkerhetsoppdateringspakken MS03-033 for Microsoft Data Access Components (MDAC) nå. Utgivelsesdato: 20. august 2003

Hvis du vil ha mer informasjon om hvordan du laster ned Microsoft-støttefiler, klikker du dette artikkelnummeret for å vise artikkelen i Microsoft Knowledge Base:
119591 Slik laster du ned Microsoft-støttefiler fra elektroniske tjenester
Microsoft søkte etter virus i denne filen. Microsoft brukte det nyeste antivirusprogrammet som var tilgjengelig den datoen filen ble gjort tilgjengelig. Filen er lagret på servere med forbedret sikkerhet som forhindrer at uvedkommende gjør endringer i filen.

Forutsetninger

Du må kjøre en av følgende versjoner av MDAC:
  • MDAC 2.5
  • MDAC 2.6
  • MDAC 2.7
Andre versjoner av MDAC, inkludert MDAC 2.8, påvirkes ikke av dette sikkerhetsproblemet.

Obs!  Disse oppdateringene gjelder for alle aktuelle språk.

Installasjonsalternativer

Du må starte datamaskinen på nytt etter at du har brukt denne oppdateringen. Denne oppdateringen støtter følgende kommandolinjebrytere for installasjonsprogrammet:
Bryter            Beskrivelse-------------------------------------------------------------------------/?                Viser listen over kommandolinjebrytere for installasjonsprogrammet/Q                Stille modus/T:<fullstendig bane>    Angir den midlertidige arbeidsmappen/C                Pakk bare ut filer i mappen når bryteren /T brukes./C:<Cmd>          	Overstyr installasjonskommandoen som defineres av forfatteren/N                Ingen omstartsdialogboks				

Følgende kommandolinje installerer for eksempel oppdateringen uten noen brukermedvirkning, og forhindrer omstart:

Q823718_MDAC_SecurityPatch /C:"dahotfix.exe /q /n" /q

/q-bryteren som angis for dahotfix.exe, gjelder for en stille installasjon, og /n-bryteren forhindrer omstart.

Advarsel!  Datamaskinen er sårbar inntil du starter den på nytt.

Omstartskrav

Du må starte datamaskinen på nytt etter at du har brukt denne oppdateringen.

Informasjon om fjerning

Denne sikkerhetsoppdateringen kan ikke fjernes etter at den er installert.

Informasjon om erstatning av sikkerhetsoppdatering

Denne sikkerhetsoppdateringen er erstattet av sikkerhetsoppdateringen som gis i Microsofts sikkerhetsbulletin MS03-033. Hvis du vil ha mer informasjon om Microsofts sikkerhetsbulletin MS03-033, går du til følgende Microsoft-webområde: Hvis du vil ha mer informasjon om Microsofts sikkerhetsbulletin MS03-033, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
823718 MS03-033: Sikkerhetsoppdatering for Microsoft Data Access Components (denne artikkelen kan være på engelsk)

Filinformasjon

Den engelskspråklige versjonen av denne sikkerhetsoppdateringen har filattributtene (eller senere) som er oppført i følgende tabell. Datoene og klokkeslettene for disse filene er oppført i Coordinated Universal Time (UTC). Når du viser filinformasjonen, konverteres den til lokal tid. Hvis du vil finne forskjellen mellom UTC og lokal tid, bruker du Tidssone-kategorien i verktøyet Dato og klokkeslett i Kontrollpanel.

MDAC 2.5 Service Pack 2

   	Dato         Tid    Versjon        Størrelse   Filnavn   --------------------------------------------------------------   23-jul-2003  20:56  3.520.6100.40     212 992  Odbc32.dll          21-jul-2003  22:24  3.70.11.40         24 848  Odbcbcp.dll         23-jul-2003  02:29  3.520.6100.40     102 672  Odbccp32.dll        21-jul-2003  22:24  3.70.11.40        524 560  Sqlsrv32.dll     				

MDAC 2.5 Service Pack 3

   	Dato         Tid    Versjon        Størrelse   Filnavn   --------------------------------------------------------------   24-jul-2003  00:13  3.520.6300.40     212 992  Odbc32.dll          21-jul-2003  22:24  3.70.11.40         24 848  Odbcbcp.dll         24-jul-2003  00:11  3.520.6300.40     102 672  Odbccp32.dll        21-jul-2003  22:24  3.70.11.40        524 560  Sqlsrv32.dll     				

MDAC 2.6 Service Pack 2

   	Dato         Tid    Versjon        Størrelse   Filnavn   --------------------------------------------------------------   21-jul-2003  17:28  2000.80.746.0      86 588  Dbnetlib.dll        22-jul-2003  22:04  3.520.7501.40     217 360  Odbc32.dll          21-jul-2003  17:28  2000.80.746.0      29 252  Odbcbcp.dll         22-jul-2003  22:04  3.520.7501.40     102 672  Odbccp32.dll        31-jul-2003  23:07  2000.80.746.0     479 800  Sqloledb.dll        21-jul-2003  17:28  2000.80.746.0     455 236  Sqlsrv32.dll      				

MDAC 2.7 RTM

   	Dato         Tid    Versjon        Størrelse   Filnavn   --------------------------------------------------------------   31-jul-2003  17:49  2000.81.9001.40    61 440  Dbnetlib.dll        22-jul-2003  23:04  3.520.9001.40     204 800  Odbc32.dll          22-jul-2003  23:10  2000.81.9001.40    24 576  Odbcbcp.dll         22-jul-2003  23:10  3.520.9001.40      94 208  Odbccp32.dll        31-jul-2003  17:49  2000.81.9001.40   450 560  Sqloledb.dll        22-jul-2003  23:08  2000.81.9001.40   356 352  Sqlsrv32.dll     				

MDAC 2.7 Service Pack 1

   	Dato         Tid    Versjon        Størrelse   Filnavn   --------------------------------------------------------------   22-jul-2003  18:27  2000.81.9041.40    61 440  Dbnetlib.dll        22-jul-2003  18:22  3.520.9041.40     204 800  Odbc32.dll          22-jul-2003  18:28  2000.81.9041.40    24 576  Odbcbcp.dll         22-jul-2003  18:28  3.520.9041.40      98 304  Odbccp32.dll        31-jul-2003  18:47  2000.81.9041.40   471 040  Sqloledb.dll        22-jul-2003  18:27  2000.81.9041.40   385 024  Sqlsrv32.dll     				

Bekreftelse

Kontroller at du har de riktige versjonene av filene som er oppført i denne artikkelen.
Referanser
Hvis du vil ha mer informasjon om Microsofts sikkerhetsbulletin MS02-040, går du til følgende Microsoft-webområde:
sikkerhetsoppdatering
Egenskaper

Artikkel-ID: 326573 – Forrige gjennomgang: 02/24/2014 15:44:45 – Revisjon: 5.3

  • Microsoft Data Access Components 2.5
  • Microsoft Data Access Components 2.6
  • Microsoft Data Access Components 2.7
  • kbnosurvey kbarchive kbbug kbfix kbsecvulnerability kbqfe kbsecurity kbsecbulletin kbsechack KB326573
Tilbakemelding