Jesteś obecnie w trybie offline. Czekamy na ponowne połączenie z Internetem.

MS02-040: Aktualizacja zabezpieczeń składników Microsoft Data Access Components

Uwaga

Zastąpienie aktualizacji MS02-040

To wydanie dotyczące zabezpieczeń zostało zastąpione przez biuletyn Security Bulletin MS03-033:Aby uzyskać dodatkowe informacje, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base.
823718MS03-033: Aktualizacja zabezpieczeń składników Microsoft Data Access Components
Uwaga Listę pobieranych pakietów związanych z biuletynem Microsoft Security Bulletin MS03-033 zamieszono w sekcji „Informacje dotyczące pobierania” w tym artykule.
Ten artykuł został zarchiwizowany. Jest oferowany „taki, jaki jest” i nie będzie już aktualizowany.
Streszczenie
Po wydaniu tego biuletynu ustalono, że omówiona luka w zabezpieczeniach nie jest związana z poleceniem OpenRowSet. Polecenie OpenRowSet jest używane w programie Microsoft SQL Server. Ustalono, że luka w zabezpieczeniach dotyczy podstawowego składnika MDAC Open Database Connectivity (ODBC). Składnik ODBC występuje we wszystkich wersjach systemu Windows. Ponadto oryginalna poprawka zabezpieczeń wydana w związku z tą luką w zabezpieczeniach nie była poprawnie instalowana w niektórych systemach ze względu na wadę procesu aktualizowania przez Instalatora Windows firmy Microsoft pamięci podręcznej Ochrony plików systemu Windows. Biuletyn został zaktualizowany w celu uwzględnienia dodatkowych informacji i poinformowania użytkowników o zaktualizowanej poprawce zabezpieczeń.

Składniki Microsoft Data Access Components (MDAC) są kolekcją składników używanych do zapewniania łączności z bazami danych w systemach operacyjnych Windows firmy Microsoft. Składniki MDAC są powszechnie wykorzystywaną technologią, dostępną w większości systemów Windows:

Domyślnie składniki MDAC są uwzględniane jako część systemu Microsoft Windows XP, systemu Microsoft Windows 2000 i systemu Microsoft Windows Millennium Edition (Me). Składniki MDAC są również uwzględniane w kilku innych produktach i technologiach oraz instalowane przez inne produkty i technologie. Na przykład składniki MDAC uwzględniono w pakiecie Microsoft Windows NT 4.0 Option Pack i programie Microsoft SQL Server 2000, a niektóre składniki MDAC są częścią programu Internet Explorer, nawet jeżeli składniki MDAC nie są zainstalowane. Składniki MDAC są również dostępne jako samodzielna technologia. Aby pobrać składniki MDAC, odwiedź następującą witrynę firmy Microsoft w sieci Web:

Składniki MDAC zapewniają podstawowe funkcje wymagane do wykonywania wielu operacji związanych z bazami danych, na przykład łączenia się ze zdalnymi bazami danych i zwracania danych do komputera klienckiego. W szczególności składnik MDAC zwany Open Database Connectivity (ODBC) wykonuje funkcje tego typu.

Przyczyną luki w zabezpieczeniach jest niesprawdzany bufor jednej z funkcji ODBC w składnikach MDAC, używanej do łączenia się ze źródłami danych. Osoba podejmująca próbę ataku sieciowego może usiłować wykorzystać lukę w zabezpieczeniach, konstruując stronę sieci Web, która może wykonywać szkodliwy kod źródłowy, wybrany przez tę osobę, przy użyciu poświadczeń użytkownika odwiedzającego daną stronę. Strona sieci Web może być udostępniona w witrynie sieci Web lub przesłana bezpośrednio do użytkownika w wiadomości e-mail.

W przypadku systemu, w którym jest uruchomiony program SQL Server, osoba nieupoważniona może usiłować wykorzystać tę lukę w zabezpieczeniach przy użyciu polecenia OpenRowSet języka Transact-SQL. Osoba podejmująca próbę ataku sieciowego, przesyłając kwerendę bazy danych zawierającą specjalnie nieprawidłowo uformowany parametr w wywołaniu polecenia OpenRowSet, może spowodować przepełnienie buforu powodujące awarię komputera, na którym jest uruchomiony program SQL Server lub wykonanie przez ten komputer akcji określonych przez tę osobę.

Czynniki ograniczające zagrożenie są następujące:
 • W przypadku użytkowników odczytujących wiadomości e-mail w formacie zwykłego tekstu osoba nieupoważniona może wykorzystać tę lukę w zabezpieczeniach tylko wówczas, gdy użytkownik wykona jakąkolwiek akcję.
 • Ta luka w zabezpieczeniach nie występuje w przypadku systemów skonfigurowanych do wyłączania aktywnych skryptów w programie Internet Explorer.
 • W scenariuszu ataku opartego na sieci Web użytkownik musi odwiedzić szkodliwą witrynę sieci Web, kontrolowaną przez osobę podejmującą próbę ataku sieciowego, która nie może jednak nakłonić użytkowników do odwiedzenia tej witryny sieci Web bez zastosowania wiadomości e-mail w formacie HTML, dlatego musi zachęcić użytkowników do odwiedzenia tej witryny sieci Web, zazwyczaj przez kliknięcie łącza prowadzącego do danej witryny.
 • Skuteczny atak sieciowy umożliwia uzyskanie poświadczeń na poziomie aplikacji, w kontekście której jest uruchomiony składnik ODBC. Osoba podejmująca próbę ataku sieciowego zazwyczaj uzyskuje tylko poświadczenia na takim samym poziomie co zalogowany użytkownik.
 • Domyślnie programy Outlook Express 6.0 i Outlook 2002 otwierają wiadomości e-mail w formacie HTML w strefie Witryny z ograniczeniami. Ponadto programy Outlook 98 i Outlook 2000 otwierają wiadomości e-mail w formacie HTML w strefie Witryny z ograniczeniami, jeżeli zainstalowano poprawkę zabezpieczeń poczty e-mail dla programu Outlook. Klienci korzystający z tych produktów są zabezpieczeni przed atakiem przy użyciu poczty e-mail, związanym z wykorzystaniem tej luki w zabezpieczeniach, pod warunkiem, że użytkownik nie kliknął szkodliwego łącza w wiadomości e-mail.
Więcej informacji

Informacje dotyczące pobierania

Uwaga Następujące łącza są związane z nową poprawką zabezpieczeń MS03-033. Następujący plik jest dostępny w witrynie Microsoft – Centrum pobierania:

PobieraniePobierz pakiet poprawki zabezpieczeń składników Microsoft Data Access Components (MDAC) MS03-033.

Data wydania: 20 sierpnia 2003

Aby uzyskać dodatkowe informacje dotyczące sposobu pobierania plików Pomocy technicznej firmy Microsoft, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
119591Jak uzyskać pliki Pomocy technicznej Microsoft w usługach online
Firma Microsoft skanowała ten plik w poszukiwaniu wirusów. Firma Microsoft używa najnowszego oprogramowania do wykrywania wirusów, dostępnego w chwili opublikowania pliku. Plik jest przechowywany na bezpiecznych serwerach, które ułatwiają zabezpieczenie plików przed wprowadzaniem nieautoryzowanych zmian.

Wymagania wstępne

Aktualizacja może być stosowana w odniesieniu do jednej z następujących wersji składników MDAC:
 • MDAC 2.5
 • MDAC 2.6
 • MDAC 2.7
W innych wersjach składników MDAC, włącznie ze składnikami MDAC 2.8, ta luka w zabezpieczeniach nie występuje.

Uwaga Te aktualizacje dotyczą wszystkich wersji językowych.

Opcje instalacji

Po zastosowaniu tej aktualizacji należy ponownie uruchomić komputer. Aktualizacja obsługuje następujące przełączniki Instalatora:
Przełącznik       Opis         -------------------------------------------------------------------------/?         Wyświetla listę przełączników instalacji/Q         Tryb cichy/T:<pełna ścieżka> Określa tymczasowy folder roboczy/C         Wyodrębnia pliki tylko do folderu wówczas, gdy podano też przełącznik /T/C:<polec>     Pomija zdefiniowane przez autora polecenie instalacyjne/N         Pomija okno dialogowe ponownego uruchomiania				

Na przykład następujące polecenie wpisane w wierszu polecenia umożliwia instalację aktualizacji bez interwencji ze strony użytkownika i pominięcie ponownego uruchomienia komputera:

Q823718_MDAC_SecurityPatch /C:"dahotfix.exe /q /n" /q

Przełącznik /q określony dla pliku dahotfix.exe oznacza instalację cichą, a przełącznik /n powoduje pominięcie ponownego uruchomienia komputera.

Ostrzeżenie: Komputer jest prawidłowo zabezpieczony dopiero po ponownym uruchomieniu.

Wymagania dotyczące ponownego uruchamiania

Po zastosowaniu tej aktualizacji należy ponownie uruchomić komputer.

Informacje dotyczące usuwania

Ta poprawka zabezpieczeń nie może być usunięta po instalacji.

Informacje dotyczące zastępowania poprawek zabezpieczeń

Ta poprawka zabezpieczeń została zastąpiona przez poprawkę zabezpieczeń udostępnioną w biuletynie Microsoft Security Bulletin MS03-033. Aby uzyskać więcej informacji dotyczących biuletynu Microsoft Security Bulletin MS03-033, odwiedź następującą witrynę firmy Microsoft w sieci Web: Aby uzyskać dodatkowe informacje dotyczące biuletynu Microsoft Security Bulletin MS03-033, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
823718MS03-033: Aktualizacja zabezpieczeń składników Microsoft Data Access Components

Informacje dotyczące plików

Wersja anglojęzyczna tej poprawki ma atrybuty pliku wyświetlone w poniższej tabeli (lub nowsze). Daty i godziny ostatniej modyfikacji plików podano zgodnie z czasem UTC (Coordinated Universal Time). Są one zamieniane na czas lokalny po wyświetleniu informacji o pliku. Aby zobaczyć różnicę między czasem UTC i czasem lokalnym, skorzystaj z karty Strefa czasowa narzędzia Data i godzina w Panelu sterowania.

Składniki MDAC 2.5 z dodatkiem Service Pack 2

  Data     Godzina  Wersja      Rozmiar  Nazwa pliku  ---------------------------------------------------------------  23-lip-2003 20:56   3.520.6100.40   212992  Odbc32.dll     21-lip-2003 22:24   3.70.11.40     24848  Odbcbcp.dll     23-lip-2003 02:29   3.520.6100.40   102672  Odbccp32.dll    21-lip-2003 22:24   3.70.11.40    524560  Sqlsrv32.dll   				

Składniki MDAC 2.5 z dodatkiem Service Pack 3

  Data     Godzina  Wersja      Rozmiar  Nazwa pliku  ---------------------------------------------------------------  24-lip-2003 00:13   3.520.6300.40   212992  Odbc32.dll     21-lip-2003 22:24   3.70.11.40     24848  Odbcbcp.dll     24-lip-2003 00:11   3.520.6300.40   102672  Odbccp32.dll    21-lip-2003 22:24   3.70.11.40     524560  Sqlsrv32.dll   				

Składniki MDAC 2.6 z dodatkiem Service Pack 2

  Data     Godzina  Wersja      Rozmiar  Nazwa pliku  ---------------------------------------------------------------  21-lip-2003 17:28   2000.80.746.0   86588  Dbnetlib.dll    22-lip-2003 22:04   3.520.7501.40   217360  Odbc32.dll     21-lip-2003 17:28   2000.80.746.0   29252  Odbcbcp.dll     22-lip-2003 22:04   3.520.7501.40   102672  Odbccp32.dll    31-lip-2003 23:07   2000.80.746.0   479800  Sqloledb.dll    21-lip-2003 17:28   2000.80.746.0   455236  Sqlsrv32.dll   				

Składniki MDAC 2.7 RTM

  Data     Godzina  Wersja      Rozmiar  Nazwa pliku  ---------------------------------------------------------------  31-lip-2003 17:49   2000.81.9001.40  61440  Dbnetlib.dll    22-lip-2003 23:04   3.520.9001.40   204800  Odbc32.dll     22-lip-2003 23:10   2000.81.9001.40  24576  Odbcbcp.dll     22-lip-2003 23:10   3.520.9001.40   94208  Odbccp32.dll    31-lip-2003 17:49   2000.81.9001.40  450560  Sqloledb.dll    22-lip-2003 23:08   2000.81.9001.40  356352  Sqlsrv32.dll   				

Składniki MDAC 2.7 z dodatkiem Service Pack 1

  Data     Godzina  Wersja      Rozmiar  Nazwa pliku  ---------------------------------------------------------------  22-lip-2003 18:27   2000.81.9041.40  61440  Dbnetlib.dll    22-lip-2003 18:22   3.520.9041.40   204800  Odbc32.dll     22-lip-2003 18:28   2000.81.9041.40  24576  Odbcbcp.dll     22-lip-2003 18:28   3.520.9041.40   98304  Odbccp32.dll    31-lip-2003 18:47   2000.81.9041.40  471040  Sqloledb.dll    22-lip-2003 18:27   2000.81.9041.40  385024  Sqlsrv32.dll   				

Weryfikacja

Należy upewnić się, że dostępne są poprawne wersje plików, wymienionych w tym artykule.
Materiały referencyjne
Aby uzyskać więcej informacji dotyczących biuletynu Microsoft Security Bulletin MS02-040, odwiedź następującą witrynę firmy Microsoft w sieci Web:
poprawka_zabezpieczeń
Właściwości

Identyfikator artykułu: 326573 — ostatni przegląd: 02/24/2014 17:58:40 — zmiana: 6.3

Microsoft Data Access Components 2.5, Microsoft Data Access Components 2.6, Microsoft Data Access Components 2.7

 • kbnosurvey kbarchive kbbug kbfix kbsecvulnerability kbqfe kbsecurity kbsecbulletin kbsechack KB326573
Opinia