Sicherheitsbulletin
Microsoft Security Bulletin MS02-040 – Kritisch
Deaktivierter Puffer in der MDAC-Funktion kann Systemkompromittierung (Q326573) aktivieren
Veröffentlicht: 31. Juli 2002 | Aktualisiert: 20. August 2003
Version: 2.0
Ursprünglich veröffentlicht: 31. Juli 2002
Aktualisiert: 20. August 2003
Zusammenfassung
Wer sollte dieses Bulletin lesen: Kunden, die Microsoft® Windows® verwenden.
Auswirkungen der Sicherheitsanfälligkeit: Führen Sie Code der Wahl des Angreifers aus.
Maximale Schweregradbewertung: Kritisch
Empfehlung: Benutzer sollten den Sicherheitspatch sofort installieren.
Betroffene Software:
- Microsoft Data Access Components 2.5
- Microsoft Data Access Components 2.6
- Microsoft Data Access Components 2.7
Allgemeine Informationen
Technische Details
Technische Beschreibung:
Nach der Veröffentlichung dieses Bulletins wurde festgestellt, dass die behobene Sicherheitsanfälligkeit nicht mit dem OpenRowSet-Befehl (ein Microsoft SQL Server-Befehl) ist, sondern dass die Sicherheitsanfälligkeit mit der zugrunde liegenden MDAC-Komponente Open Database Verbinden ivity (ODBC) liegt, die in allen Versionen von Windows vorhanden ist. Darüber hinaus wurde der ursprüngliche Patch, der mit dieser Version veröffentlicht wurde, auf einigen Systemen aufgrund eines Fehlers nicht ordnungsgemäß installiert, da Microsoft Windows Installer den Systemdateischutzcache aktualisiert hat. Das Bulletin wurde aktualisiert, um diese zusätzlichen Informationen einzuschließen und Benutzer an einen aktualisierten Patch zu leiten.
Hinweis: Der Patch für dieses Sicherheitsbulletin wurde vom Patch in MS03-033 abgelöst. Kunden, die den Patch für MS02-040 suchen, sollten stattdessen den Patch für MS03-033 installieren.
MDAC ist eine Sammlung von Komponenten, die verwendet werden, um Datenbankkonnektivität auf Windows-Plattformen bereitzustellen. MDAC ist eine allgegenwärtige Technologie und ist wahrscheinlich auf den meisten Windows-Systemen vorhanden:
- MDAC ist standardmäßig bestandteil von Microsoft Windows XP, Windows 2000 und Windows Millennium Edition.
- MDAC steht als eigenständige Technologie zum Download zur Verfügung.
- MDAC ist entweder in einer Reihe anderer Produkte und Technologien enthalten oder installiert. MDAC ist beispielsweise im Microsoft Windows NT® 4.0 Option Pack als Teil von Microsoft Access und als Teil von SQL Server enthalten. Einige MDAC-Komponenten sind auch im Rahmen von Microsoft Internet Explorer vorhanden, auch wenn MDAC selbst nicht installiert ist.
MDAC stellt die zugrunde liegende Funktionalität für eine Reihe von Datenbankvorgängen bereit, z. B. das Herstellen einer Verbindung mit Remotedatenbanken und das Zurückgeben von Daten an einen Client. Insbesondere handelt es sich um die MDAC-Komponente, die als Open Database Verbinden ivity (ODBC) bezeichnet wird, die diese Funktionalität bereitstellt.
Eine Sicherheitslücke führt dazu, dass eine der ODBC-Funktionen in MDAC, die zum Herstellen einer Verbindung mit Datenquellen verwendet wird, einen deaktivierten Puffer enthält. Ein Angreifer könnte versuchen, die Sicherheitsanfälligkeit auszunutzen, indem er eine Webseite erstellt, die, wenn er vom Benutzer besucht wird, Code der Wahl des Angreifers mit den Berechtigungen des Benutzers ausführen könnte. Die Webseite kann auf einer Website gehostet oder direkt an den Benutzer in einer E-Mail-Nachricht gesendet werden.
Bei einem System, das SQL Server ausführt, könnte ein Angreifer versuchen, diese Sicherheitsanfälligkeit mithilfe des Transact-SQL OpenRowSet-Befehls auszunutzen. Ein Angreifer, der eine Datenbankabfrage sendet, die einen speziell falsch formatierten Parameter innerhalb eines Aufrufs von OpenRowSet enthält, kann den Puffer überlaufen, entweder dazu führen, dass der Computer, auf dem SQL Server ausgeführt wird, fehlschlägt oder dazu führt, dass der Computer, auf dem SQL Server ausgeführt wird, Aktionen ausführt, die vom Angreifer diktieren.
Mildernde Faktoren:
- Benutzer, die E-Mail-Nachrichten als Nur-Text lesen, müssen eine Aktion ergreifen, bevor ein Angreifer die Sicherheitsanfälligkeit ausnutzen könnte, um ausgenutzt zu werden.
- Systeme, die für die Deaktivierung aktiver Skripts in Internet Explorer konfiguriert sind, sind von dieser Sicherheitsanfälligkeit nicht betroffen.
- Im webbasierten Angriffsszenario müsste ein Benutzer eine böswillige Website unter der Kontrolle eines Angreifers besuchen. Ein Angreifer hätte keine Möglichkeit, Benutzer zu erzwingen, eine schädliche Website außerhalb des HTML-E-Mail-Vektors zu besuchen. Stattdessen müsste ein Angreifer sie dorthin locken, in der Regel, indem der Benutzer auf einen Link klickt, der sie zur Website des Angreifers führte.
- Die Rechte, die durch einen erfolgreichen Angriff gewonnen werden, entsprechen denen der Anwendung, unter der ODBC ausgeführt wird. In den meisten Fällen erhält ein Angreifer nur die gleiche Berechtigungsstufe wie der angemeldete Benutzer.
- Standardmäßig öffnen Outlook Express 6.0 und Outlook 2002 HTML-E-Mails in der Zone "Eingeschränkte Sites". Darüber hinaus öffnen Outlook 98 und 2000 HTML-E-Mails in der Zone "Eingeschränkte Sites", wenn das Outlook-E-Mail-Sicherheitsupdate installiert wurde. Kunden, die eines dieser Produkte verwenden, riskieren keine Angriffe per E-Mail, die versucht haben, diese Sicherheitsanfälligkeit auszunutzen, es sei denn, der Benutzer hat in der E-Mail auf einen bösartigen Link geklickt.
Schweregradbewertung:
| MDAC 2.5 | Kritisch |
| MDAC 2.6 | Kritisch |
| MDAC 2.7 | Kritisch |
Die oben genannte Bewertung basiert auf den Typen von Systemen, die von der Sicherheitsanfälligkeit betroffen sind, ihren typischen Bereitstellungsmustern und der Auswirkung, dass sie die Sicherheitsanfälligkeit ausnutzen würden.
Sicherheitsrisikobezeichner:CVE-CAN-2002-0695
Getestete Versionen:
Microsoft hat MDAC 2.5, 2.6 und 2.7 getestet, um zu beurteilen, ob sie von diesen Sicherheitsrisiken betroffen sind. Frühere Versionen werden nicht mehr unterstützt und können von diesen Sicherheitsrisiken betroffen sein.
Häufig gestellte Fragen
Warum wird dieses Bulletin von Microsoft erneut veröffentlicht?
Nach der Veröffentlichung dieses Bulletins wurde festgestellt, dass sich die Sicherheitsanfälligkeit nicht im OpenRowSet-Befehl befindet, bei dem es sich um einen SQL Server-Befehl handelt. Stattdessen ist die Sicherheitsanfälligkeit mit der zugrunde liegenden MDAC-Komponente ODBC, die in allen Versionen von Windows vorhanden ist. Darüber hinaus wurde der ursprüngliche Patch aufgrund eines Fehlers nicht ordnungsgemäß auf einigen Systemen installiert, da Microsoft Windows Installer den Cache für Systemdateischutz aktualisiert hat. Das Bulletin wurde aktualisiert, um diese zusätzlichen Informationen einzuschließen und Benutzer an einen aktualisierten Patch zu leiten.
Der aktualisierte Patch ist im Bulletin MS03-033 enthalten, nicht in diesem Bulletin. Warum?
Der ursprüngliche Patch in diesem Bulletin wird durch den Patch in MS03-033 ersetzt. Der MS03-033-Patch enthält den Fix für diese Sicherheitsanfälligkeit sowie eine zusätzliche Sicherheitslücke, die in MS03-033 erläutert wird. Kunden, die den Patch für MS02-040 suchen, sollten stattdessen den Patch von MS03-033 anwenden.
Was ist der Umfang dieser Sicherheitsanfälligkeit?
Dies ist eine Pufferüberlauflücke . Ein Angreifer, der diesen Fehler erfolgreich ausgenutzt hat, könnte die vollständige Kontrolle über den betroffenen Prozess erlangen und dadurch die Möglichkeit erhalten, maßnahmen auf derselben Ebene wie der ausgenutzte ODBC-Prozess auszuführen, unter dem er ausgeführt wird. Dies kann das Erstellen, Ändern oder Löschen von Daten im System oder die Neukonfiguration des Systems umfassen. Dazu kann auch die Neuformatierung der Festplatte oder das Ausführen von Programmen der Wahl des Angreifers gehören.
Was verursacht die Sicherheitsanfälligkeit?
Die Sicherheitsanfälligkeit führt zu einem Fehler in den Microsoft Data Access-Komponenten, die einige der zugrunde liegenden Funktionen bereitstellt, die zum Laden eines ODBC-Treibers und zum Herstellen einer Verbindung mit einer Datenquelle verwendet werden. Diese Funktion enthält einen deaktivierten Puffer. Ein Angreifer könnte dies mithilfe von HTML-E-Mail oder mithilfe eines ActiveX-Steuerelements ausnutzen. Ein Angreifer versucht möglicherweise, diese Sicherheitsanfälligkeit mithilfe dieses Vektors auszunutzen, da einige ActiveX-Steuerelemente Zugriff auf die MDAC-Funktionalität bieten. Es könnte auch möglich sein, diese Sicherheitsanfälligkeit auf Systemen auszunutzen, die SQL Server ausführen, indem der Transact-SQL OpenRowSet-Befehl verwendet wird, indem eine Datenbankabfrage gesendet wird, die einen speziell falsch formatierten Parameter in einem Aufruf von OpenRowSet enthält.
Was ist Microsoft Data Access-Komponenten?
Microsoft Data Access Components (MDAC) ist eine Sammlung von Komponenten, die es Programmen erleichtern, auf Datenbanken zuzugreifen und dann die Darin enthaltenen Daten zu bearbeiten. Moderne Datenbanken können eine Vielzahl von Formen annehmen (z. B. SQL-Datenbanken, Microsoft Access-Datenbanken und XML-Dateien) und können an einer Vielzahl von Speicherorten (z. B. auf dem lokalen System oder auf einem Remotedatenbankserver) gespeichert werden. MDAC bietet einen konsolidierten Satz von Funktionen zum konsistenten Arbeiten mit verschiedenen Arten von Datenquellen. Eine der MDAC-Komponenten wird als ODBC bezeichnet.
Was ist ODBC?
ODBC (Open Database Verbinden ivity) ist eine Standardmäßige Api (Application Programming Interface) für den Zugriff auf eine Datenquelle. Es ist eine Komponente von MDAC und eine Schnittstelle, über die Anwendungen auf Daten in jeder Datenbank zugreifen können, für die ein ODBC-Treiber vorhanden ist. Mithilfe von ODBC können Sie Datenbankanwendungen mit Zugriff auf jede Datenbank erstellen, für die ein ODBC-Treiber vorhanden ist. Windows enthält z. B. Treiber für Microsoft Excel, Access und SQL Server.
Was könnte ein Angreifer tun, indem er die Sicherheitsanfälligkeit ausnutzt?
Es hängt von der spezifischen Art und Weise ab, wie der Angreifer den Puffer überrannen würde. Wenn der Angreifer Eingabedaten bereitgestellt hat, die den Puffer mit zufälligen Daten überrannen, könnte dies dazu führen, dass die Anwendung des Angreifers fehlschlägt, was dem Benutzer kein Sicherheitsrisiko darstellt. Wenn der Angreifer die Daten jedoch sorgfältig ausgewählt hat, kann die Funktionalität von MDAC geändert werden, um jede vom Angreifer angegebene Aufgabe auszuführen.
- Ein Angreifer könnte versuchen, die Sicherheitsanfälligkeit auszunutzen, indem er eine Webseite erstellt, die, wenn er vom Benutzer besucht wird, Code der Wahl des Angreifers mit den Berechtigungen des angemeldeten Benutzers ausführt. Die Webseite kann auf einer Website gehostet oder direkt an den Benutzer in einer E-Mail-Nachricht gesendet werden.
- Es könnte auch möglich sein, diese Sicherheitsanfälligkeit mithilfe des Transact-SQL OpenRowSet-Befehls auszunutzen. Ein Angreifer könnte eine Datenbankabfrage senden, die einen speziell falsch formatierten Parameter in einem Aufruf von OpenRowSet enthält, der den Puffer überlaufen könnte, entweder dazu führen, dass der Server, auf dem SQL Server ausgeführt wird, fehlschlägt oder der SQL Server-Dienst Aktionen ausführt, die vom Angreifer diktieren.
Gewusst wie wissen, welche Version des Patches ich benötige?
Es gibt einen Patch für jede unterstützte Version von MDAC. Die folgende Tabelle zeigt, welche Version von MDAC mit verschiedenen Microsoft-Produkten bereitgestellt wurde:
| Version von MDAC | Ausgeliefert in... |
|---|---|
| MDAC 2.5 | Windows 2000, Office 2000 SR1 und höher, SQL Server 7.0 Service Packs 2 und höher |
| MDAC 2.6 | SQL Server 2000 |
| MDAC 2.7 | Windows XP, Visual Studio .Net |
Eine zweite Möglichkeit zum Ermitteln der von Ihnen verwendeten MDAC-Version besteht darin, den Registrierungsschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DataAccess zu konsultieren. Der FullInstallVer-Schlüssel stellt einen Wert des Formulars x.xx.yyy.yyy.y bereit, wobei x.xx die Versionsnummer ist (z. B. wenn der FullInstallVer-Wert 2.70.7713.0 ist, wird MDAC 2.7 auf dem System installiert). Eine dritte Möglichkeit zum Ermitteln der MDAC-Version besteht darin, mit der rechten Maustaste auf die Datei "C:\Programme\Common Files\System\Ado\Msado15.dll" zu klicken, auf "Eigenschaften" zu klicken, auf die Registerkarte "Version" zu klicken und dann die Versionsinformationen anzuzeigen. Die Versionsinformationen haben das gleiche Format wie der FullInstallVer-Wert x.xx.yyyy.y, wobei "x.xx" die Versionsnummer ist.
Ich sehe, dass MDAC in verschiedenen Versionen von Windows und Office enthalten war. Bedeutet dies, dass jeder, der diese Versionen von Windows oder Office verwendet, den Patch benötigt?
Ja. Da viele verschiedene Anwendungen die MDAC-Komponente ODBC verwenden, sollte jeder, der ein Produkt verwendet, das MDAC enthält, den Patch anwenden. MDAC ist eine allgegenwärtige Technologie, die in vielen Microsoft-Produkten enthalten ist:
- MDAC ist standardmäßig bestandteil von Microsoft Windows XP, Windows 2000 und Windows Millennium Edition.
- MDAC steht als eigenständige Technologie zum Download zur Verfügung.
- MDAC ist entweder in einer Reihe anderer Produkte und Technologien enthalten oder installiert. MDAC ist beispielsweise im Microsoft Windows NT® 4.0 Option Pack als Teil von Microsoft Access und als Teil von SQL Server enthalten. Einige MDAC-Komponenten sind auch im Rahmen von Microsoft Internet Explorer vorhanden, auch wenn MDAC selbst nicht installiert ist.
Ein Tool ist auch verfügbar, mit dem Sie ermitteln können, welche MDAC-Version auf Ihrem System ausgeführt wird. Der Microsoft Knowledge Base-Artikel 307255 beschreibt dieses Tool und dessen Verwendung.
Wie beseitigt der Patch die Sicherheitsanfälligkeit?
Die Patch-Institute verfügen über eine ordnungsgemäße Pufferbehandlung in der anfälligen Funktion.
Patch-Verfügbarkeit
Downloadspeicherorte für diesen Patch
Dieser Patch wurde vom Patch in MS03-033 abgelöst. Benutzer sollten MS03-033 anwenden, die auch einen Fix für eine zusätzliche Sicherheitslücke enthält. Informationen zum Downloadspeicherort dieses Patches finden Sie im Abschnitt "Patchverfügbarkeit" von MS03-033 .
Weitere Informationen zu diesem Patch
Installationsplattformen:
Weitere Informationen finden Sie im Abschnitt "Zusätzliche Informationen" von MS03-033 für Installationsplattforminformationen für diesen Patch.
Aufnahme in zukünftige Service Packs:
Die Lösung für dieses Problem ist in MDAC 2.5 Service Pack 5 und MDAC 2.7 Service Pack 2 enthalten. Der Fix ist in MDAC 2.8 enthalten.
Neustart erforderlich: Ja
Patch kann deinstalliert werden: Nein
Abgelöste Patches: Keine
Überprüfen der Patchinstallation:
Microsoft Knowledge Base-Artikel 326573 stellt ein Dateimanifest bereit, mit dem die Patchinstallation überprüft werden kann.
Einschränkungen:
Dieser Patch wird durch den Sicherheitspatch für MS03-033 ersetzt. Benutzer sollten den Patch anwenden, der in MS03-033 enthalten ist.
Lokalisierung:
Lokalisierte Versionen dieses Patches sind an den Speicherorten verfügbar, die im Abschnitt "Patchverfügbarkeit" dieses Bulletins erläutert werden.
Abrufen anderer Sicherheitspatches:
Patches für andere Sicherheitsprobleme stehen an den folgenden Speicherorten zur Verfügung:
- Sicherheitspatches sind im Microsoft Download Center verfügbar und können am einfachsten gefunden werden, indem sie eine Schlüsselwort (keyword) Suche nach "security_patch" durchführen.
- Patches für Consumerplattformen sind auf der WindowsUpdate-Website verfügbar.
Weitere Informationen:
Bestätigungen
Microsoft dankt David Litchfield von Next Generation Security Software Ltd. für die Meldung dieses Problems an uns und arbeitet mit uns zusammen, um Kunden zu schützen.
Unterstützungswert:
- Microsoft Knowledge Base-Artikel 326573 behandelt dieses Problem und wird ungefähr 24 Stunden nach der Veröffentlichung dieses Bulletins verfügbar sein. Knowledge Base-Artikel finden Sie auf der Microsoft Online Support-Website .
- Technischer Support steht von Microsoft-Produktsupportdiensten zur Verfügung. Es fallen keine Gebühren für Supportanrufe an, die Sicherheitspatches zugeordnet sind.
Sicherheitsressourcen: Die Microsoft TechNet Security-Website enthält zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.
Haftungsausschluss:
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen:
- V1.0 (31. Juli 2002): Bulletin Created.
- V2.0 (20. August 2003): Aktualisiert, um das Bulletin widerzuspiegeln, wirkt sich auf alle Versionen von Windows und nicht nur auf Microsoft SQL Server aus.
Gebaut am 2014-04-18T13:49:36Z-07:00