Microsoft Data Access Components , även känd som MDAC eller Windows DAC , är en grupp av samverkande tekniker som ger programmerare en heltäckande och enhetligt sätt att utveckla applikationer som kan komma åt nästan alla datalager . MDAC ger tillgång till databaser såsom SQL Server 2000 , SQL Server 2003 Small Business Server 2003 och XP Home och Professional upplagor . Under åren har Microsoft släppt flera patchar för att ta itu med MDAC säkerhetsproblem . MS02 - 040 : Säkerhetsuppdatering för MDAC
säkerhetsbulletin frisättningen av Microsoft mars 2007 riktat sårbarhet med den underliggande MDAC komponent som kallas Open Database Connectivity . Den förekommer i alla versioner av Windows . Formgivarna av ODBC ville göra denna ansökan gränssnitt oberoende av programmeringsspråk , databassystem eller operativsystem . Programmerare som använder ODBC kan komma åt data från en mängd olika databaser utan en konfiguration problem .
Säkerhetskorrigering ursprungligen släpptes inte installerades korrekt på vissa system på grund av det sätt på vilket Microsoft Windows Installer -program uppdaterade Windows cache File Protection . Skyddet cache är ett temporärt minne avsnitt som tar emot informationen innan den går till RAM . Där , i RAM , kommer det uppdateras ständigt ansökan . Eftersom cachen inte uppdatera , har minnet inte uppdateras , så MDAC fortsatt sårbar Addera MS03 - 033 : . Säkerhetsuppdatering för MDAC
Microsoft lärt sig att MDAC-versioner tidigare än 2,8 också innehöll ett fel som skulle resultera i en buffer overflow sårbarhet . När en klientdator på ett nätverk försöker se en lista över datorer i ett nätverk som kör Microsoft SQL Server , utfärdar den en broadcast förfrågan till alla nätverksenheter .
Genom att använda den befintliga fel , en angripare kan reagera med ett speciellt utformat paket som kommer att orsaka ett buffertspill . Därför kan en angripare utnyttja framgångsrikt detta fel för att få samma nivå av användarrättigheter över systemet , inklusive skapa, ändra eller radera data på systemet . Det är också möjligt att konfigurera om systemet , formatera om hårddisken eller köra program för angriparens val . I mars 2007 säkerhetsuppdateringen åtgärdar dessa problem Addera ditt MS07 - 009 : . Säkerhetsproblem möjliggör fjärrkörning av kod
I december 2007 släppte Microsoft säkerhetsbulletin MS07 - 009 , i vilket bolaget uppdaterade installationen Windows Update logik . När en uppdatering inträffat, rapporterade MDAC att alla språk var närvarande i systemet. I detta fall var det Microsoft Systems Management Server och Microsoft Windows Server Update Services sårbara . Utan denna uppdatering , tillät SMS och WSUS felaktigt alla språk vara närvarande i systemet istället för ett språk . Detta skulle tillåta hackare från avlägsna länder för att få tillgång
MS06 - 014 : . Sårbarhet möjliggör körning av kod
I april 2008 släppte Microsoft säkerhetsbulletin MS06 - 014 . Denna säkerhetsbulletin omdömet felmeddelanden som användare fick .
En av de felmeddelanden som en nedladdning från en MDAC-programuppdatering paketet , Microsoft Update eller Microsoft Windows Update -program . Användarna skulle skicka en felrapport när de försökte tillämpa en MDAC-programuppdatering . Användarna uppmanas också att fortsätta processen avinstallationen när de använde Spuinst.exe att ta bort en MDAC uppdatering . I dessa fall var de felmeddelanden felaktig . Säkerhetskorrigeringen behandlat dem .
