MS02-040: Beveiligingsupdate voor MDAC (Microsoft Data Access Components)

Opmerking

Vervanging van MS02-040

Deze beveiligingsrelease is vervangen door Microsoft Security Bulletin MS03-033:Ga naar het volgende artikel in de Microsoft Knowledge Base voor meer informatie:
823718 MS03-033: Beveiligingsupdate voor MDAC (Microsoft Data Access Components)
Opmerking: als u de downloads voor Microsoft Security Bulletin MS03-033 wilt bekijken, gaat u naar de sectie 'Downloadgegevens' van dit artikel.
Dit artikel is gearchiveerd. Het wordt aangeboden in de huidige vorm en wordt niet meer bijgewerkt.
Samenvatting
Na de uitgifte van dit bulletin is vastgesteld dat het betreffende beveiligingslek niet geldt voor de opdracht OpenRowSet. De opdracht OpenRowSet is een Microsoft SQL Server-opdracht. Het beveiligingslek heeft echter betrekking op de Open Database Connectivity (ODBC) van het onderliggende MDAC-onderdeel. OBDC komt in alle versies van Windows voor. Bovendien werd de oorspronkelijke beveiligingspatch die hierbij werd uitgegeven op enkele systemen niet correct geïnstalleerd vanwege een probleem met de manier waarop het installatieprogramma van Microsoft Windows de bestandsbeveiligingscache van Windows bijwerkte. Het bulletin is bijgewerkt met aanvullende informatie en een koppeling waar gebruikers een bijgewerkte beveiligingspatch kunnen vinden.

MDAC (Microsoft Data Access Components) is een verzameling onderdelen die wordt gebruikt voor databaseconnectiviteit in Microsoft Windows-besturingssystemen. MDAC is een algemeen gebruikte technologie die waarschijnlijk in de meeste Windows-systemen aanwezig is.

Standaard maakt MDAC deel uit van Microsoft Windows XP, Microsoft Windows 2000 en Microsoft Windows Millennium Edition (ME). Ook een aantal andere producten en technologieën bevat of installeert MDAC. MDAC is bijvoorbeeld een onderdeel van Microsoft Windows NT 4.0 Option Pack en Microsoft SQL Server 2000. Sommige MDAC-onderdelen maken deel uit van Microsoft Internet Explorer, ook als MDAC zelf niet is geïnstalleerd. MDAC is ook beschikbaar als zelfstandige technologie. U kunt MDAC downloaden vanaf de volgende Microsoft-website:

MDAC biedt de onderliggende functionaliteit voor een aantal databasebewerkingen, zoals het tot stand brengen van verbindingen met externe databases en het retourneren van gegevens naar een client. Het is met name het MDAC-onderdeel Open Database Connectivity (ODBC) dat deze functionaliteit biedt.

De oorzaak van het beveiligingsprobleem is een ongecontroleerde buffer in een van de ODBC-functies in MDAC die wordt gebruikt om gegevensbronnen te verbinden. Een aanvaller kan dit beveiligingslek gebruiken door een webpagina te maken die, na een bezoek van een gebruiker, door de aanvaller samengestelde code uitvoert met de referenties van de gebruiker. Deze webpagina kan op een website staan of rechtstreeks naar een gebruiker worden verzonden in een e-mailbericht.

Op een systeem waarop SQL Server wordt uitgevoerd, kan een aanvaller dit beveiligingslek benutten met de Transact-SQL-opdracht OpenRowSet. Een aanvaller die een databaseverzoek verstuurt dat een bewust ongeldige parameter bevat in een aanroep van OpenRowSet kan de buffer doen overlopen, waardoor de SQL Server-computer vastloopt, of acties uitvoert die door de aanvaller zijn bepaald.

De beperkende factoren zijn de volgende:
  • Gebruikers die e-mailberichten als onbewerkte tekst lezen, moeten actie ondernemen voordat een aanvaller het beveiligingslek benut.
  • Dit beveiligingslek is niet van toepassing op systemen die zodanig zijn geconfigureerd dat het actief uitvoeren van scripts in Internet Explorer is uitgeschakeld.
  • In het webgebaseerde aanvalsscenario moet een bezoeker een schadelijke website bezoeken waarover een aanvaller de controle heeft. Een aanvaller kan gebruikers niet dwingen een schadelijke website buiten de HTML-e-mailvector te bezoeken. In plaats daarvan moet een aanvaller gebruikers naar de website lokken door ze bijvoorbeeld zover te krijgen dat ze op een koppeling klikken die hen naar de website van de aanvaller brengt.
  • De referenties die worden verkregen via een geslaagde aanval zijn gelijk aan die van de toepassing waaronder ODBC wordt uitgevoerd. Doorgaans verkrijgt een aanvaller alleen referenties op hetzelfde niveau als waarmee de gebruiker zich heeft aangemeld.
  • Standaard wordt HTML-e-mail in Outlook Express 6.0 en Outlook 2002 geopend in de zone voor websites met beperkte toegang. In Outlook 98 en Outlook 2000 wordt HTML-e-mail in de zone voor websites met beperkte toegang geopend als de beveiligingsupdate voor e-mail van Outlook is geïnstalleerd. Klanten die een van deze producten gebruiken, lopen niet het risico te worden aangevallen via een e-mailbericht waarin deze zwakke plekken worden misbruikt, tenzij de gebruiker op een schadelijke koppeling in het e-mailbericht heeft geklikt.
Meer informatie

Downloadgegevens

Opmerking: de volgende koppelingen verwijzen naar de nieuwe beveiligingspatch, MS03-033. U kunt het volgende bestand downloaden van het Microsoft Downloadcentrum:
DownloadenDe beveiligingspatch MS03-033 voor MDAC (Microsoft Data Access Components) nu downloaden. Releasedatum: 20 augustus 2003

Als u meer informatie wilt over het downloaden van Microsoft-ondersteuningsbestanden, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
119591 How to Obtain Microsoft Support Files from Online Services
Microsoft heeft dit bestand op virussen gecontroleerd. Hiervoor is de meest actuele software voor virusdetectie gebruikt die beschikbaar was op de datum dat het bestand werd gepubliceerd. Het bestand is ondergebracht op beveiligde servers die onbevoegde wijzigingen aan het bestand helpen verhinderen.

Voorwaarden

U moet beschikken over een van de volgende versies van MDAC:
  • MDAC 2.5
  • MDAC 2.6
  • MDAC 2.7
Andere versies van MDAC, waaronder MDAC 2.8, worden niet beïnvloed door dit beveiligingslek.

Opmerking: deze updates gelden voor alle van toepassing zijnde talen.

Installatieopties

Nadat u deze update hebt toegepast, moet u de computer opnieuw opstarten. Deze update kan worden geïnstalleerd met de volgende Setup-schakelopties:
Schakeloptie      Omschrijving-------------------------------------------------------------------------/?                De lijst met schakelopties weergeven/Q                Stille modus/T:<volledig pad> De tijdelijke werkmap opgeven/C                Bestanden worden alleen in de map uitgepakt bij gebruik met de optie /T/C:<Cmd>          Installatieopdracht van de auteur overschrijven/N                Het dialoogvenster voor opnieuw starten niet weergeven				

Met de volgende opdrachtregel wordt de update bijvoorbeeld geïnstalleerd zonder tussenkomst van de gebruiker, en wordt het opnieuw opstarten onderdrukt:

Q823718_MDAC_SecurityPatch /C:"dahotfix.exe /q /n" /q

De schakeloptie /q die voor dahotfix.exe wordt opgegeven, dient voor een stille installatie en met de schakeloptie /n onderdrukt u het opnieuw opstarten.

Waarschuwing De computer heeft een verminderde beveiliging totdat u deze opnieuw opstart.

Computer opnieuw opstarten

Nadat u deze update hebt toegepast, moet u de computer opnieuw opstarten.

Informatie over verwijderen

Deze beveiligingsupdate kan, eenmaal geïnstalleerd, niet meer worden verwijderd.

Informatie over vervanging van de beveiligingspatch

Deze beveiligingspatch is vervangen door de beveiligingspatch van het Microsoft Security Bulletin MS03-033. Voor meer informatie over Microsoft Security Bulletin MS03-033 gaat u naar de volgende Microsoft-website: Klik voor meer informatie over Microsoft Security Bulletin MS03-033 op het volgende artikelnummer in de Microsoft Knowledge Base:
823718 MS03-033: Beveiligingsupdate voor MDAC (Microsoft Data Access Components)

Bestandsgegevens

De Engelse versie van deze beveiligingspatch heeft de bestandskenmerken die in de volgende tabel worden weergegeven (of recentere kenmerken). De datums en tijden voor deze bestanden worden weergegeven in UTC-notatie (Coordinated Universal Time). Wanneer u de bestandsinformatie weergeeft, wordt deze naar lokale tijd geconverteerd. Als u het verschil tussen UTC en lokale tijd wilt bepalen, gebruikt u het tabblad Tijdzone van het onderdeel Datum en tijd in het Configuratiescherm.

MDAC 2.5 Service Pack 2

   Datum        Tijd   Versie            Grootte  Bestandsnaam   --------------------------------------------------------------   23-jul-2003  20:56  3.520.6100.40     212.992  Odbc32.dll          21-jul-2003  22:24  3.70.11.40         24.848  Odbcbcp.dll         23-jul-2003  02:29  3.520.6100.40     102.672  Odbccp32.dll        21-jul-2003  22:24  3.70.11.40        524.560  Sqlsrv32.dll     				

MDAC 2.5 Service Pack 3

   Datum        Tijd   Versie            Grootte  Bestandsnaam   --------------------------------------------------------------   24-jul-2003  00:13  3.520.6300.40     212.992  Odbc32.dll          21-jul-2003  22:24  3.70.11.40         24.848  Odbcbcp.dll         24-jul-2003  00:11  3.520.6300.40     102.672  Odbccp32.dll        21-jul-2003  22:24  3.70.11.40        524.560  Sqlsrv32.dll     				

MDAC 2.6 Service Pack 2

   Datum        Tijd   Versie            Grootte  Bestandsnaam   --------------------------------------------------------------   21-jul-2003  17:28  2000.80.746.0      86.588  Dbnetlib.dll        22-jul-2003  22:04  3.520.7501.40     217.360  Odbc32.dll          21-jul-2003  17:28  2000.80.746.0      29.252  Odbcbcp.dll         22-jul-2003  22:04  3.520.7501.40     102.672  Odbccp32.dll        31-jul-2003  23:07  2000.80.746.0     479.800  Sqloledb.dll        21-jul-2003  17:28  2000.80.746.0     455.236  Sqlsrv32.dll      				

MDAC 2.7 RTM

   Datum        Tijd   Versie            Grootte  Bestandsnaam   --------------------------------------------------------------   31-jul-2003  17:49  2000.81.9001.40    61.440  Dbnetlib.dll        22-jul-2003  23:04  3.520.9001.40     204.800  Odbc32.dll          22-jul-2003  23:10  2000.81.9001.40    24.576  Odbcbcp.dll         22-jul-2003  23:10  3.520.9001.40      94.208  Odbccp32.dll        31-jul-2003  17:49  2000.81.9001.40   450.560  Sqloledb.dll        22-jul-2003  23:08  2000.81.9001.40   356.352  Sqlsrv32.dll     				

MDAC 2.7 Service Pack 1

   Datum        Tijd   Versie            Grootte  Bestandsnaam   --------------------------------------------------------------   22-jul-2003  18:27  2000.81.9041.40    61.440  Dbnetlib.dll        22-jul-2003  18:22  3.520.9041.40     204.800  Odbc32.dll          22-jul-2003  18:28  2000.81.9041.40    24.576  Odbcbcp.dll         22-jul-2003  18:28  3.520.9041.40      98.304  Odbccp32.dll        31-jul-2003  18:47  2000.81.9041.40   471.040  Sqloledb.dll        22-jul-2003  18:27  2000.81.9041.40   385.024  Sqlsrv32.dll     				

Controle

Zorg dat u beschikt over de juiste versies van de bestanden die in dit artikel zijn vermeld.
Referenties
Voor meer informatie over Microsoft Security Bulletin MS02-040 gaat u naar de volgende Microsoft-website:
security_patch
Eigenschappen

Artikel-id: 326573 - Laatst bijgewerkt: 02/24/2014 17:58:40 - Revisie: 5.1

  • Microsoft Data Access Components 2.5
  • Microsoft Data Access Components 2.6
  • Microsoft Data Access Components 2.7
  • kbnosurvey kbarchive kbbug kbfix kbsecvulnerability kbqfe kbsecurity kbsecbulletin kbsechack KB326573
Feedback