Sicherheits-Updates für Microsoft Data Access Components

April 11

Microsoft Data Access Components, auch bekannt als MDAC oder Windows DAC, ist eine Gruppe von miteinander verbundenen Technologien, die Programmierer bieten eine umfassende und einheitliche Möglichkeit der Entwicklung von Anwendungen, die fast alle Datenspeicher zugreifen können. MDAC ermöglicht den Zugriff auf Daten-Repositories wie z. B. SQL Server 2000, SQL Server 2003, Small Business Server 2003 und XP Home und Professional Edition. Microsoft hat im Laufe der Jahre mehrere Patches zu MDAC Sicherheitsprobleme bewältigen freigegeben.

MS02-040: Sicherheitsupdate für MDAC

Die Sicherheits-Bulletin-Release von Microsoft im März 2007 angesprochen Schwachstelle mit der zugrunde liegenden MDAC-Komponente namens Open Database Connectivity. Es tritt in allen Versionen von Windows. Die Designer des ODBC wollte dieses Anwendungsschnittstelle unabhängig von Programmiersprachen Sprachen, Datenbanksysteme oder Betriebssysteme machen. Programmierer, die ODBC verwenden, können Daten aus einer Vielzahl von Datenbanken eine Konfiguration problemlos zugreifen.

Den Sicherheitspatch ursprünglich veröffentlicht nicht korrekt auf einigen Systemen wegen der Art und Weise installieren das Microsoft Windows Installer-Programm der Windows-Dateischutz-Cache aktualisiert. Schutz-Cache ist ein temporärer Speicher, der Informationen empfängt, bevor es zum RAM geht. Im RAM, wird es dort dauerhaft die Anwendung aktualisieren. Da der Cache nicht aktualisiert wurden, hat Speicher nicht aktualisiert, so dass MDAC verwundbar blieb.

MS03-033: Sicherheitsupdate für MDAC

Microsoft gelernt, dass MDAC-Versionen, die älter als 2.8 auch einen Fehler enthalten, der eine Pufferüberlaufschwachstelle führen würde. Wenn ein Clientcomputer in einem Netzwerk versucht, finden eine Liste der Computer in einem Netzwerk, auf dem Microsoft SQL Server ausgeführt werden, gibt es eine Übertragungsanforderung an alle Netzwerkgeräte.

Mithilfe den vorhandenen Fehler kann ein Angreifer mit einem speziell entwickelten Paket Antworten, die einen Pufferüberlauf verursacht wird. Daher kann ein Angreifer diese Sicherheitsanfälligkeit um das gleiche Maß an Benutzerrechte für das System, einschließlich erstellen, ändern oder Löschen von Daten auf dem System zu erlangen erfolgreich ausnutzen. Es ist auch möglich, das System neu zu konfigurieren, Neuformatieren der Festplatte oder Programme des Angreifers Wahl ausführen. Im März 2007-Sicherheitsupdate behebt diese Probleme.

MS07-009: Sicherheitsanfälligkeit kann Remotecodeausführung ermöglichen

Im Dezember 2007 veröffentlichte Microsoft Sicherheitsbulletin MS07-009, in dem das Unternehmen die Installation Windows Update Logik aktualisiert. Wenn ein Update aufgetreten, berichtete MDAC, dass alle Sprachen im System vorhanden waren. In diesem Fall waren die Microsoft Systems Management Server und Microsoft Windows Server Update Services anfällig. Ohne dieses Update sein SMS und WSUS falsch erlaubt alle Sprachen im System anstelle einer Sprache vorhanden. Dadurch wäre die Hacker aus entfernten Ländern zugreifen.

MS06-014: Sicherheitsanfälligkeit kann Codeausführung ermöglichen

Im April 2008 veröffentlichte Microsoft Sicherheitsbulletin MS06-014. Dieses Security Bulletin überarbeitet Fehlermeldungen, die Benutzer empfangen.

Eine der Fehlermeldungen beteiligt ein MDAC-Softwareupdate-Paket, das Microsoft-Update-Programm oder die Microsoft Windows Update-Programm Download. Benutzer konnten einen Fehlerbericht senden, als sie versuchten, ein MDAC-Softwareupdate anwenden. Benutzer wurden auch aufgefordert, den Vorgang des Entfernens Software fortgesetzt werden, wenn sie Spuinst.exe verwendet, um ein MDAC-Update zu entfernen. In diesen Fällen waren die Fehlermeldungen fehlerhaft. Der Sicherheitspatch befasste sich mit ihnen.