Microsoft Data Access Components , também conhecido como MDAC ou Windows DAC , é um grupo de tecnologias inter-relacionadas que dão programadores uma forma abrangente e uniforme de desenvolvimento de aplicativos que podem acessar praticamente qualquer armazenamento de dados. MDAC permite o acesso a repositórios de dados , como o SQL Server 2000, SQL Server 2003, Small Business Server 2003 e XP Home e Professional . Ao longo dos anos , a Microsoft lançou vários patches para lidar com os problemas de segurança do MDAC. MS02- 040: Atualização de segurança para MDAC
O lançamento do boletim de segurança da Microsoft março 2007 dirigida vulnerabilidade com o componente MDAC subjacente chamado Open Database Connectivity . Ela ocorre em todas as versões do Windows. Os projetistas do ODBC queria fazer esta interface de aplicação independente de qualquer linguagem de programação , sistemas de banco de dados ou sistemas operacionais. Os programadores que usam ODBC pode acessar os dados de uma variedade de bancos de dados sem um problemas de configuração.
O patch de segurança lançado originalmente não foi instalado corretamente em alguns sistemas , devido à forma como o programa Microsoft Windows Installer atualiza o cache do Windows File Protection . O cache de proteção é uma seção de memória temporária que recebe a informação antes de entrar para a RAM . Lá, na RAM , ele irá atualizar permanentemente a aplicação. Como o cache não atualizar , a memória não se atualizar , então MDAC permaneceu vulnerável
MS03- 033: . Atualização de segurança para MDAC
Microsoft aprendeu que as versões anteriores do MDAC de 2,8 também continha uma falha que poderia resultar em uma vulnerabilidade de estouro de buffer. Quando um computador cliente em uma rede tenta ver uma lista de computadores em uma rede que estiver executando o Microsoft SQL Server, ele emite uma solicitação de transmissão para todos os dispositivos de rede.
Usando a falha existente , um atacante pode responder com um pacote especialmente projetado, que vai causar um estouro de buffer. Por isso, um invasor pode explorar com sucesso esta falha para ganhar o mesmo nível de direitos do usuário sobre o sistema , incluindo a criação , alteração ou supressão de dados no sistema. Também é possível reconfigurar o sistema , reformatar o disco rígido ou executar programas de escolha do invasor. A atualização de segurança de Março de 2007 aborda esses problemas
MS07- 009: . Boletim vulnerabilidade pode permitir a execução remota de código
Em dezembro de 2007 , a Microsoft lançou a segurança MS07- 009 , em que a empresa atualizou a instalação do Windows Update a lógica. Quando uma atualização ocorreu , MDAC informou que todas as línguas estavam presentes no sistema. Neste caso, o Microsoft Systems Management Server e Microsoft Windows Server Update Services eram vulneráveis . Sem essa atualização, SMS e WSUS incorretamente permitido todas as línguas estejam presentes no sistema em vez de um idioma. Isso permitiria que hackers de países para obter acesso remoto
MS06 -014: . Vulnerabilidade pode permitir a execução de código
Em abril de 2008 , a Microsoft lançou o boletim de segurança MS06- 014. Este boletim de segurança revisado mensagens de erro que os usuários receberam .
Uma das mensagens de erro envolvido um download de um pacote de software de atualização do MDAC , o programa de atualização da Microsoft ou o programa Microsoft Windows Update. Usuários foram para enviar um relatório de erros quando eles tentaram aplicar uma atualização de software MDAC. Os usuários também foi solicitado a continuar o processo de remoção de software quando usado Spuinst.exe para remover uma atualização MDAC. Nestes casos , as mensagens de erro eram defeituosos . O patch de segurança lidou com eles .
