Microsoft Data Access Components , die auch als MDAC oder Windows DAC genannt, ist eine Gruppe von miteinander zusammenhängenden Technologien, die Programmierer geben eine umfassende und einheitliche Methode zur Entwicklung von Anwendungen , die fast jede Datenspeicher zugreifen können. MDAC ermöglicht den Zugriff auf Daten-Repositories wie SQL Server 2000, SQL Server 2003 , Small Business Server 2003 und XP Home und Professional Edition . Im Laufe der Jahre hat Microsoft mehrere Patches veröffentlicht, um mit MDAC Sicherheit Probleme. MS02- 040 : Sicherheitsupdate für MDAC
Das Security Bulletin Release von Microsoft März 2007 angesprochen Schwachstelle mit dem zugrunde liegenden MDAC -Komponente namens Open Database Connectivity . Es tritt in allen Versionen von Windows. Die Designer von ODBC wollte diese Anwendung Schnittstelle unabhängig von Programmiersprachen , Datenbank- Systemen oder Betriebssystemen. Programmierer, die ODBC verwenden können Daten aus einer Vielzahl von Datenbanken ohne eine Konfiguration Probleme zugreifen .
Das Sicherheits-Patch ursprünglich freigegeben wurde nicht ordnungsgemäß installiert auf einigen Systemen wegen der Art, die Microsoft Windows Installer-Programm aktualisiert die Windows File Protection Cache . Der Schutz ist eine temporäre Speicherabschnitt , der Informationen erhält , bevor es in den RAM geht . Dort, im RAM , wird es dauerhaft die Anwendung aktualisieren . Da der Cache nicht aktualisiert wurde , Speicher nicht aktualisiert , so MDAC blieb anfällig
MS03- 033 : . Sicherheitsupdate für MDAC
Microsoft gelernt, dass frühere Versionen von MDAC als 2,8 auch einen Fehler , der in einem Pufferüberlauf führen würde enthalten . Wenn ein Client-Computer in einem Netzwerk , um eine Liste von Computern in einem Netzwerk , auf dem Microsoft SQL Server sind zu sehen versucht , gibt es eine Broadcast-Anfrage an alle Netzwerkgeräte.
Durch die Verwendung der vorhandenen Fehler kann ein Angreifer reagieren mit einem speziell entwickelten Paket, das einen Pufferüberlauf verursachen. Daher kann ein Angreifer diese Schwachstelle erfolgreich ausnutzen , um das gleiche Niveau von Nutzungsrechten über das System , einschließlich Erstellen, Ändern oder Löschen von Daten auf dem System zu erlangen. Es ist auch möglich, das System neu konfigurieren , formatieren Sie die Festplatte oder das Ausführen von Programmen der Wahl des Angreifers . Im März 2007 wurde Sicherheitsupdate behebt diese Probleme
MS07- 009: . Sicherheitsanfälligkeit kann Remotecodeausführung
Im Dezember 2007 zulassen , veröffentlichte Microsoft Security Bulletin MS07- 009 , in denen das Unternehmen aktualisiert die Installation Windows Update -Logik. Wenn ein Update aufgetreten , berichtete MDAC , dass alle Sprachen im System vorhanden waren . In diesem Fall waren die Microsoft Systems Management Server und Microsoft Windows Server Update Services anfällig. Ohne dieses Update , SMS und WSUS falsch erlaubt alle Sprachen vorhanden sein im System statt einer Sprache . Dies würde es ermöglichen Hackern aus entfernten Ländern um Zugang zu erhalten
MS06- 014 : . Sicherheitsanfälligkeit kann Codeausführung
Im April 2008 zulassen , veröffentlichte Microsoft Security Bulletin MS06- 014 . Dieses Security Bulletin Bewertung Fehlermeldungen, die den Nutzern erhalten .
Einer der Fehlermeldungen beteiligt einen Download von einer MDAC Software Update-Paket der Microsoft Update- Programm oder der Microsoft Windows Update -Programm. Benutzer konnten einen Fehlerbericht senden , wenn sie eine MDAC -Softwareupdate zu installieren versucht. Benutzer wurden ebenfalls aufgefordert, die Entfernung der Software weiter , wenn sie Spuinst.exe verwendet, um eine MDAC-Update entfernen. In diesen Fällen waren die Fehlermeldungen fehlerhaft. Der Sicherheits-Patch behandelt mit ihnen.
