MS02-040: Säkerhetsuppdatering för Microsoft Data Access Components

Meddelande

Utbyte av MS02-040

Den här säkerhetskorrigeringen har ersatts av Microsoft-säkerhetsbulletinen MS03-033:Om du vill veta mer klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
823718 MS03-033: Säkerhetsuppdatering för Microsoft Data Access Components
Obs! Filer för Microsoft-säkerhetsbulletinen MS03-033 anges i avsnittet "Information om hämtning" i den här artikeln.
Den här artikeln har arkiverats. Den erbjuds "i befintligt skick" och kommer inte längre att uppdateras.
Sammanfattning
Efter det att den här bulletinen hade getts ut fastställdes att säkerhetsproblemet inte beror på kommandot OpenRowSet. Kommandot OpenRowSet är ett Microsoft SQL Server-kommando. I stället beror säkerhetsproblemet på den underliggande ODBC:n (Open Database Connectivity) i MDAC-komponenten. OBDC finns i alla Windows-versioner. Dessutom installerades inte den ursprungliga säkerhetskorrigeringen på rätt sätt på vissa datorer, på grund av ett fel i uppdateringen av cacheminnet för Windows Filskydd genom Microsoft Windows Installer. Bulletinen har uppdaterats med denna ytterligare information och leder användare till en uppdaterad säkerhetskorrigering.

MDAC (Microsoft Data Access Components) är en samling komponenter som används för att ge en databasanslutning i Microsoft Windows-operativsystem. MDAC är en mycket spridd teknik som finns på de flesta Windows-datorer.

Normalt ingår MDAC i Microsoft Windows XP, Microsoft Windows 2000 och Microsoft Windows Millennium Edition (ME). MDAC ingår eller installeras också i ett antal andra produkter och tekniker. MDAC ingår till exempel i Microsoft Windows NT 4.0 Option Pack och Microsoft SQL Server 2000, och vissa MDAC-komponenter ingår i Internet Explorer, även om inte själva MDAC installeras. MDAC finns också som fristående teknik. MDAC kan hämtas på följande Microsoft-webbplats:

MDAC ger underliggande funktioner för ett antal databasoperationer, till exempel anslutning till fjärrdatabaser och retur av data till klienter. Närmare bestämt är det MDAC-komponenten ODBC (Open Database Connectivity) som ger denna funktion.

Det finns ett säkerhetsproblem på grund av att en ODBC-funktion i MDAC som används för att ansluta till datakällor innehåller en oskyddad buffert. En angripare kan utnyttja säkerhetsproblemet för att konstruera en webbsida. När webbsidan besöks av en användare körs angriparens kod med användarens referenser. Webbsidan kan finnas på en webbplats eller skickas direkt till användaren med e-post.

På en dator med SQL Server kan angriparen försöka utnyttja säkerhetsproblemet med hjälp av Transact-SQL-kommandot OpenRowSet. En angripare som skickar en databasfråga med en särskilt utformad parameter i ett anrop till OpenRowSet kan överskrida bufferten, för att datorn med SQL Server ska upphöra att fungera eller för att den ska kontrolleras av angriparen.

Följande begränsningar finns:
 • Användare som läser e-postmeddelanden som oformaterad text måste göra något innan angriparen kan utnyttja säkerhetsproblemet.
 • Datorer som inte tillåter Active Scripting i Internet Explorer påverkas inte av säkerhetsproblemet.
 • Vid angrepp via webben måste användaren besöka en skadlig webbplats som kontrolleras av angriparen. Det går inte att tvinga användare till en sådan webbplats. I stället måste angriparen locka dit användaren, vanligen genom att användaren klickar på en länk till angriparens webbplats.
 • Behörigheten som kan uppnås genom ett angrepp motsvarar behörigheten för programmet som ODBC körs under. Oftast uppnår angriparen bara samma behörighet som den inloggade användaren.
 • Normalt öppnas HTML-e-post i Outlook Express 6.0 och Outlook 2002 i zonen Ej tillförlitliga platser. Även i Outlook 98 och Outlook 2000 öppnas HTML-e-post i zonen Ej tillförlitliga platser, om säkerhetsuppdateringen för e-post i Outlook har installerats. Kunder som använder någon av dessa produkter riskerar inte att drabbas av angrepp via e-post där dessa säkerhetsproblem utnyttjas, om inte kunden klickar på en skadlig länk i e-postmeddelandet.
Mer Information

Information om hämtning

Obs! Följande länkar gäller den nya säkerhetskorrigeringen, MS03-033. Följande fil kan hämtas från Microsoft Download Center:
HämtaHämta MDAC-säkerhetskorrigeringspaket (Microsoft Data Access Components) MS03-033 nu. Utgivningsdatum: 20 augusti 2003

Om du vill veta mer om hur du hämtar supportfiler från Microsoft klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
119591 Hämta Microsoft-supportfiler från Onlinetjänster
Microsoft har genomsökt denna fil med ett antivirusprogram. Genomsökningen har gjorts med det mest aktuella antivirusprogram som var tillgängligt när filen lades upp. Filen finns sparad på servrar med utökad säkerhet, vilket bidrar till att förhindra otillåtna ändringar av den.

Förutsättningar

Du måste använda någon av följande MDAC-versioner:
 • MDAC 2.5
 • MDAC 2.6
 • MDAC 2.7
Övriga MDAC-versioner, inklusive MDAC 2.8, påverkas inte av det här säkerhetsproblemet.

Obs! De här uppdateringarna gäller alla tillämpliga språk.

Installationsalternativ

Du måste starta om datorn när du har installerat uppdateringen. Uppdateringen stöder följande installationsväxlar:
Växel      Beskrivning-------------------------------------------------------------------------/?        Visar listan över installationsväxlar/Q        Tyst läge/T:<fullständig sökväg>  Anger temporär arbetsmapp/C        Extrahera filer endast till mappen vid användning tillsammans med /T/C:<Cmd>     Åsidosätt installationskommando som definieras av författaren/N        Ingen dialogruta för omstart				

Om du till exempel vill installera uppdateringen utan några åtgärder från användaren och utan omstart använder du följande kommandorad:

Q823718_MDAC_SecurityPatch /C:"dahotfix.exe /q /n" /q

Växeln /q som anges för dahotfix.exe är avsedd för tyst installation, och växeln /n förhindrar en omstart.

Varning! Datorn är sårbar tills den startas om.

Krav på omstart

Du måste starta om datorn när du har installerat uppdateringen.

Information om borttagning

Denna säkerhetskorrigering kan inte tas bort när den har installerats.

Ersättningsinformation

Den här säkerhetskorrigeringen har ersatts av säkerhetskorrigeringen i Microsoft-säkerhetsbulletinen MS03-033. Mer information om Microsoft-säkerhetsbulletinen MS03-033 finns på följande Microsoft-webbplats: Om du vill veta mer om Microsoft-säkerhetsbulletinen MS03-033 klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
823718 MS03-033: Säkerhetsuppdatering för Microsoft Data Access Components

Filinformation

Den engelska versionen av denna säkerhetskorrigering har filattributen som visas i följande tabell (eller senare). Datum och tider för dessa filer anges i UTC-tid (Coordinated Universal Time). När du visar filinformationen konverteras den till lokal tid. Du kan se skillnaden mellan UTC-tid och lokal tid med hjälp av fliken Tidszon i verktyget Datum och tid på Kontrollpanelen.

MDAC 2.5 Service Pack 2

  	Datum     Tid  Version      Storlek  Filnamn  --------------------------------------------------------------  23-jul-2003 20:56 3.520.6100.40   212 992 Odbc32.dll     21-jul-2003 22:24 3.70.11.40     24 848 Odbcbcp.dll     23-jul-2003 02:29 3.520.6100.40   102 672 Odbccp32.dll    21-jul-2003 22:24 3.70.11.40    524 560 Sqlsrv32.dll   				

MDAC 2.5 Service Pack 3

  	Datum     Tid  Version      Storlek  Filnamn  --------------------------------------------------------------  24-jul-2003 00:13 3.520.6300.40   212 992 Odbc32.dll     21-jul-2003 22:24 3.70.11.40     24 848 Odbcbcp.dll     24-jul-2003 00:11 3.520.6300.40   102 672 Odbccp32.dll    21-jul-2003 22:24 3.70.11.40    524 560 Sqlsrv32.dll   				

MDAC 2.6 Service Pack 2

  	Datum     Tid  Version      Storlek  Filnamn  --------------------------------------------------------------  21-jul-2003 17:28 2000.80.746.0   86 588 Dbnetlib.dll    22-jul-2003 22:04 3.520.7501.40   217 360 Odbc32.dll     21-jul-2003 17:28 2000.80.746.0   29 252 Odbcbcp.dll     22-jul-2003 22:04 3.520.7501.40   102 672 Odbccp32.dll    31-jul-2003 23:07 2000.80.746.0   479 800 Sqloledb.dll    21-jul-2003 17:28 2000.80.746.0   455 236 Sqlsrv32.dll   				

MDAC 2.7 RTM

  	Datum     Tid  Version      Storlek  Filnamn  --------------------------------------------------------------  31-jul-2003 17:49 2000.81.9001.40  61 440 Dbnetlib.dll    22-jul-2003 23:04 3.520.9001.40   204 800 Odbc32.dll     22-jul-2003 23:10 2000.81.9001.40  24 576 Odbcbcp.dll     22-jul-2003 23:10 3.520.9001.40   94 208 Odbccp32.dll    31-jul-2003 17:49 2000.81.9001.40  450 560 Sqloledb.dll    22-jul-2003 23:08 2000.81.9001.40  356 352 Sqlsrv32.dll   				

MDAC 2.7 Service Pack 1

  	Datum     Tid  Version      Storlek  Filnamn  --------------------------------------------------------------  22-jul-2003 18:27 2000.81.9041.40  61 440 Dbnetlib.dll    22-jul-2003 18:22 3.520.9041.40   204 800 Odbc32.dll     22-jul-2003 18:28 2000.81.9041.40  24 576 Odbcbcp.dll     22-jul-2003 18:28 3.520.9041.40   98 304 Odbccp32.dll    31-jul-2003 18:47 2000.81.9041.40  471 040 Sqloledb.dll    22-jul-2003 18:27 2000.81.9041.40  385 024 Sqlsrv32.dll   				

Autentisering

Kontrollera att du har rätt versioner av de filer som anges i denna artikel.
Referenser
Mer information om Microsoft-säkerhetsbulletinen MS02-040 finns på följande Microsoft-webbplats:
säkerhetskorrigering
Egenskaper

Artikel-id: 326573 – senaste granskning 02/24/2014 15:44:45 – revision: 6.0

Microsoft Data Access Components 2.5, Microsoft Data Access Components 2.6, Microsoft Data Access Components 2.7

 • kbnosurvey kbarchive kbbug kbfix kbqfe kbsecbulletin kbsechack kbsecurity kbsecvulnerability KB326573
Feedback