2024-03-18

安全公告

Microsoft 安全公告 MS02-065 - 严重

Microsoft 数据访问组件中的缓冲区溢出可能导致代码执行（Q329414）

发布时间： 2002 年 11 月 20 日 |更新时间：2002 年 11 月 22 日

版本： 1.1

最初发布： 2002 年 11 月 20 日

总结

谁应该阅读此公告： 使用 Microsoft® Windows® 的客户，尤其是那些运营网站或浏览 Internet 的客户。

漏洞的影响： 运行攻击者选择的代码

最大严重性分级： 严重

建议： 用户应立即应用修补程序。

受影响的软件：

Microsoft 数据访问组件（MDAC） 2.1
Microsoft 数据访问组件（MDAC） 2.5
Microsoft 数据访问组件（MDAC） 2.6
Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 6.0

注意： 尽管它使用 Internet Explorer 6.0，但该漏洞不会影响 Windows XP。 Windows XP 客户无需采取任何操作。

最终用户公告： 此公告的最终用户版本位于： https：

常规信息

技术详细信息

技术说明：

Microsoft 数据访问组件（MDAC）是一组组件，用于在 Windows 平台上提供数据库连接。 MDAC 是一种无处不在的技术，它很可能存在于大多数 Windows 系统上：

默认情况下，它作为 Windows XP、Windows 2000 和 Windows Millennium 的一部分包含在内。
它以独立技术的形式可供下载
它要么包含在许多其他产品和技术中，要么安装。例如，MDAC 包含在 Windows NT® 4.0 选项包中，即使未安装 MDAC 本身，某些 MDAC 组件也作为 Internet Explorer 的一部分存在。

MDAC 为许多数据库操作提供基础功能，例如连接到远程数据库并将数据返回到客户端。 MDAC 组件之一（称为远程数据服务（RDS）提供支持三层体系结构的功能，即客户端从后端数据库请求服务的体系结构通过将业务逻辑应用于它们的网站进行中间处理。 RDS 实现中存在安全漏洞，特别是 RDS 数据存根的函数中存在安全漏洞，其用途是分析传入的 HTTP 请求并生成 RDS 命令。

Data Stub 中未检查缓冲区产生的安全漏洞会影响版本 2.7 之前的 MDAC 版本（随 Windows XP 附带的版本）。通过向数据存根发送格式异常的 HTTP 请求，攻击者可能会导致其选择的数据溢出到堆上。尽管堆溢出通常比较常见的堆栈溢出更难利用，但 Microsoft 已证实，在这种情况下，有可能利用漏洞在用户系统上运行攻击者选择的代码。

Web 服务器和 Web 客户端都面临漏洞的风险：

如果在服务器上安装并运行了易受攻击的 MDAC 版本，Web 服务器将面临风险。若要利用针对此类 Web 服务器的漏洞，攻击者需要与服务器建立连接，然后向其发送格式特别不正确的 HTTP 请求，这会影响使用攻击者选择的数据溢出缓冲区的效果。代码将在 IIS 服务的安全上下文中运行（默认情况下，在 LocalSystem 上下文中运行）
几乎每个情况下，Web 客户端都面临风险，因为 RDS 数据存根包含在所有当前版本的 Internet Explorer 中，因此无法禁用它。若要利用针对客户端的漏洞，攻击者需要托管一个网页，该网页在打开后，会向用户的系统发送 HTTP 回复，并使用攻击者选择的数据溢出缓冲区。网页可以托管在网站上，也可以作为 HTML 邮件直接发送给用户。代码将在用户的安全上下文中运行。

显然，此漏洞非常严重，Microsoft 建议其系统可能受其影响的所有客户立即采取适当的措施。

使用 Windows XP 或在其系统上安装了 MDAC 2.7 的客户没有任何风险，无需采取任何操作。
运行受影响版本的 MDAC 的 Web 服务器管理员应安装修补程序、禁用 MDAC 和/或 RDS，或升级到不受漏洞影响的 MDAC 2.7。
运行受影响版本的 MDAC 的 Web 客户端用户应立即在用于 Web 浏览的任何系统上安装修补程序。请务必强调，后一指南适用于用于 Web 浏览的任何系统，而不考虑已采取的任何其他保护措施。例如，如果 RDS 偶尔用作 Web 客户端，则禁用 RDS 的 Web 服务器仍需要修补。

在部署修补程序之前，客户应熟悉常见问题解答和下面“注意事项”部分中讨论的注意事项。

缓解因素：

Web 服务器

使用 MDAC 版本 2.7 （随 Windows XP 附带的版本）或更高版本的 Web 服务器不会受到漏洞的风险。
即使安装了易受攻击的 MDAC 版本，如果启用了 RDS，Web 服务器也会面临风险。默认情况下，RDS 在 Windows XP 和 Windows 2000 的干净安装上处于禁用状态，并且可以按照 IIS 安全清单中的指南在其他系统上禁用 RDS。此外， IIS 锁定工具将在默认配置中使用时自动禁用 RDS。
如果 URLScan 工具部署了其默认规则集（它只允许 ASCII 数据存在于 HTTP 请求中），则可能是漏洞只能用于拒绝服务攻击。
可以将 IIS 配置为使用少于管理权限运行。如果已执行此操作，则可能会限制攻击者通过漏洞获得的权限。
IP 地址限制（如果应用于 RDS 虚拟目录）可让管理员仅限制对受信任用户的访问权限。但是，对于大多数 Web 服务器方案来说，这并不可行。

Web 客户端

使用MDAC 版本 2.7 （随 Windows XP 附带的版本）或更高版本的 Web 客户端不会受到漏洞的风险。
不能在 Outlook 98 或 Outlook 2000 与 Outlook 电子邮件安全更新结合使用的系统上自动利用基于 HTML 邮件的攻击途径，或者 Outlook Express 6 或 Outlook 2002 在其默认配置中使用。
利用漏洞只会向攻击者传达用户对系统的特权。其帐户配置为在系统上拥有较少权限的用户的风险将低于使用管理权限的用户。

严重性分级：


MDAC 2.1	严重
MDAC 2.5	严重
MDAC 2.6	严重
MDAC 2.7	不受影响
Internet Explorer 5.01	严重
Internet Explorer 5.5	严重
Internet Explorer 6.0	严重

上述评估基于受漏洞影响的系统类型、其典型部署模式以及利用漏洞对它们的影响。此漏洞被分级为严重，因为攻击者可能会接管 IIS 服务器或 Internet Explorer 客户端并运行代码。任何具有 MDAC 和所有 Internet Explorer 客户端的 IIS 服务器都应立即应用修补程序。

漏洞标识符：CAN-2002-1142

测试的版本：

Microsoft 测试了 MDAC 2.1、2.5、2.6 和 2.7，以评估它们是否受服务器端漏洞的影响。此外，Microsoft 还测试了 Internet Explorer 5.01、5.5 和 6.0，以评估它们是否受客户端漏洞的影响。以前的版本不再受支持，可能会或不受这些漏洞的影响。

常见问题解答

修补程序消除了哪些漏洞？
此修补程序消除了影响许多 Web 服务器和客户端的安全漏洞。但是，在安装之前，值得回顾一下与修补程序相关的重要注意事项。

哪些注意事项与修补程序相关联？
尽管该修补程序确实解决了漏洞，但存在一种利基方案，在异常条件下，修补的系统可能会再次变得脆弱。此方案会导致无法设置其中一个易受攻击的组件使用的“终止位”。

什么是“杀伤位”？
Kill Bit 是一种方法，即使系统上存在 ActiveX 控件，也可以阻止通过 Internet Explorer 调用 ActiveX 控件。（有关终止位的详细信息，请参阅 Microsoft 知识库文章 Q240797）。通常，当安全漏洞涉及 ActiveX 控件时，修补程序会提供一个新控件，并在易受攻击的控制上设置 Kill Bit。但是，在这种情况下，这样做是不可行的。

为什么在这种情况下设置终止位是不可行的？
这些漏洞中涉及的 ActiveX 控件用于许多应用程序和网页来访问数据。许多应用程序（包括第三方应用程序）包含对其的硬编码引用;如果修补程序设置了 Kill Bit，网页将不再运行 - 即使使用新的更正版本也是如此。因此，修补程序将更新控件以删除漏洞，但不提供全新的控件，并在旧控件上设置 Kill Bit。

采用此方法的风险是什么？
由于此处的 ActiveX 控件已由 Microsoft 进行数字签名，并且签名仍然有效，因此攻击者在某些条件下可能会重新将旧的易受攻击的控件版本重新引入已修补的系统，从而再次使其易受攻击。但是，为了发生这种情况，用户需要访问恶意人员操作的网站，或者从其中打开 HTML 邮件。（值得注意的是，对于 HTML 邮件，客户在默认配置中使用 Outlook 6 或 Outlook 2002，或 Outlook 98 或 2000 与 Outlook 电子邮件安全更新不会面临任何风险）。

为什么攻击者能够无提示地重新引入旧版本的控件？不应该有警告消息？
每当出现与数字签名（例如错误的签名或过期证书）或签名者不受信任相关的错误时，将生成警告消息。但在这种情况下，旧版控件上的数字签名仍然有效，签名者是 Microsoft，具体取决于情况，许多用户可能已选择信任此特定 Microsoft 证书（因为它用于对许多不同的 Microsoft ActiveX 控件进行签名）。因此，如果重新引入旧控件，许多用户不会看到任何类型的警告消息。

为什么不撤销用于对控件进行签名的证书？
用于对控件进行签名的证书仍然有效 - 问题在于控件，而不是证书。此外，已使用同一证书对许多控件进行签名，撤销该证书将导致所有这些控件都无效。

可以遵循哪些步骤来防止控件以无提示方式重新引入到我的系统上？
最简单的方法是确保没有受信任的发布者，包括 Microsoft。如果这样做，网页或 HTML 邮件下载 ActiveX 控件的任何尝试都会生成警告消息。下面介绍如何清空受信任的发布者列表：

在 Internet Explorer 中，依次选择“工具”、“Internet 选项”。
选择“内容”选项卡。在页面的“证书”部分中，单击“发布者”。
在“证书”对话框中，单击“受信任的发布者”选项卡。
对于列表中的每个证书，单击该证书，然后选择“删除”。确认要删除条目。
从列表中删除所有条目后，选择“关闭以关闭证书”对话框，然后单击“确定”关闭“Internet 选项”对话框。

清空受信任的发布者列表后，如果看到一条警告，指出网站或 HTML 邮件想要下载控件，如何决定是否让它继续？
使用的最佳条件是是信任网站还是 HTML 邮件的发件人。如果你不信任提供控件的网站，请取消下载。

Microsoft 最终是否会在此控件上设置 Kill Bit？
是的。 Microsoft 正在开发一项新技术，使它能够在易受攻击的控件版本上设置 Kill Bit，而无需强制用户重新创作包含对这些控件引用的网页。当新技术可用时，我们将确保此修补程序使用它。

漏洞的范围是什么？
这是缓冲区溢出漏洞。成功利用它的攻击者可以完全控制受影响的系统，从而能够采取合法用户可能采取的任何操作。这可能包括创建、修改或删除系统上的数据、重新配置数据、重新格式化硬盘驱动器或运行攻击者选择的程序。该漏洞对 Web 服务器和 Web 客户端构成风险，Microsoft 建议所有用户立即采取措施，以确保其系统受到保护。 Windows XP 系统（无论是作为 Web 服务器还是客户端）不会受到漏洞的影响。其他系统具有不同程度的可用选项：

Web 服务器可以采取一系列操作来保护其系统，从安装修补程序到禁用受影响的函数。即使在服务器易受攻击的情况下，URLScan 等工具也可能会限制仅使用漏洞来拒绝服务攻击。
Web 客户端（包括有时用于 Web 浏览的 Web 服务器）的选项较少。仅通过应用修补程序来保护运行 Windows XP 之外的任何 Web 客户端。

导致漏洞的原因是什么？
漏洞是由于 Microsoft 数据访问组件之一（特别是远程访问服务数据存根）中的未检查缓冲区造成的。

什么是 Microsoft 数据访问组件？
Microsoft 数据访问组件（MDAC）是一组组件，使程序能够轻松访问数据库和操作其中的数据。新式数据库可能采用各种形式（例如 SQL 数据库、Access 数据库、XML 文件等），并保存在各种位置（例如，本地系统或远程数据库服务器上）。 MDAC 提供了一组合并的函数，用于以一致的方式处理所有这些函数。

我的系统上有 MDAC 吗？
答案几乎可以肯定是的。 MDAC 是一种无处不在的技术：

它作为 Windows XP、Windows Me、Windows 2000 的一部分进行安装。（值得注意的是，Windows XP 安装的版本没有此漏洞）
可从 Microsoft 网站下载。
它由许多其他 Microsoft 应用程序安装。为了仅命名几个情况，它作为 Windows NT 4.0 选项包的一部分以及 Microsoft Access 和 SQL Server 安装。
MDAC 中的一些组件包含在其他 Microsoft 技术中。例如，Internet Explorer 包括一些 MDAC 函数。如稍后我们将讨论的那样，这被证明是在这种情况下的重要因素。

什么是远程数据服务？
远程数据服务（RDS）是 MDAC 的一个组件。 RDS 提供在基于 Internet 的方案中经常需要的函数，即通过三层系统间接访问数据源的能力。如果曾经访问过实现搜索函数的网站，则已参与三层数据库系统。在此类系统中，用户（占用所谓的用户界面层）会询问数据库（该数据库占用所谓的数据库层），但不直接这样做。相反，他或她向中间层（称为业务逻辑层）提供请求。在大多数 Internet 方案中，业务逻辑层驻留在 Web 服务器上。业务逻辑层的目的是确定用户想要的内容，将该请求转换为一系列数据库命令，检查这些命令，以确保用户能够进行这些命令，然后将这些命令发送到数据库层。当数据库响应到达时，业务逻辑层可能需要将结果转换为对用户更有意义的表单。 RDS 提供了实现此类系统的业务逻辑层所需的许多功能：具体而言，它提供在 Web 服务器上允许其解释来自客户端的数据库请求，并在客户端上解释从 Web 服务器接收此类请求时的响应。

RDS 有什么问题？
在 MDAC 2.4、2.5 和 2.6 中传递的 RDS 组件之一包含未检查缓冲区。在服务器端，此组件称为 RDS 数据存根，在客户端上称为“数据空间”控件。这些组件实现业务逻辑层的某些功能。具体而言，数据存根处理 HTTP 请求并将其转换为 RDS 请求，然后可以传递给 RDS 核心功能进行处理。

当你说 RDS 数据存根具有未检查缓冲区时，你意味着什么？
缓冲区是内存中分配用于保存某种类型的数据的位置。拥有缓冲区的程序（在本例中为 RDS 数据存根）负责，以确保它永远不会将更多的数据放入缓冲区中，而不是可以容纳的数据-否则，数据将溢出到周围的内存中并覆盖其中的数据，从而导致缓冲区溢出。缓冲区溢出是危险的。在最不严重的情况下，如果缓冲区被随机数据溢出，则它会破坏它溢出的内存的效果：在大多数情况下，这将导致程序或系统本身失败。但是，如果缓冲区被仔细选择的数据过度运行，则实际上效果可能是更改程序，以便它现在执行新函数。显然，任何可能使攻击者能够将已经运行的程序变成他或她自己的目的的缺陷都是严重的。

此漏洞会使攻击者能够执行哪些操作？
此漏洞将使攻击者能够将 HTTP 请求发送到受影响的系统，在 RDS 数据存根处理时，会导致缓冲区溢出。可能，任何安装了 MDAC（特别是 RDS）的系统都处于危险状态。但两种类型的系统面临特殊风险：

Web 服务器。许多 Web 服务器具有在它们上运行的 RDS 的易受攻击版本。如果攻击者成功地利用了针对此类服务器的漏洞，他或她可能会破坏其稳定，或者，在最坏的情况下，可以完全控制它。然后，攻击者可能会破坏网页、攻击随后访问该网站的用户，或只是重新格式化硬盘驱动器。
Web 客户端。通过 Web 客户端，我们是指用于处理网页的任何系统;典型示例包括用于浏览 Web 或处理电子邮件的家庭计算机、笔记本电脑或工作站。 RDS 数据存根作为 Internet Explorer 的一部分存在于这些系统上。如果攻击者成功地利用了针对此类系统的漏洞，他或她可能会导致 Internet Explorer 失败（不会产生持久影响），或者，在最坏的情况下，获得用户对其的权限。然后，攻击者可以在用户可能采取的系统上执行任何操作。

谁可以利用漏洞？
这取决于攻击者是想利用针对 Web 服务器还是 Web 客户端的漏洞。

Web 服务器。与受影响的服务器建立 Web 会话的任何用户都可以通过向其发送适当的 HTTP 请求来利用漏洞。
Web 客户端。如果用户能够构造一个将发送适当的 HTTP 命令的网页，然后说服用户打开它，则用户可能会利用该漏洞对 Web 客户端的漏洞。通常，这可以通过将页面托管在攻击者控制的网站上，或者将其作为 HTML 邮件直接发送给用户来完成。

我运行 Web 服务器。如何判断系统是否处于危险？
为了使 Web 服务器面临漏洞的风险，以下两项都必须为 true：

必须在服务器上安装易受攻击的 MDAC 版本。最新版本的 MDAC 版本 2.7 （作为 Windows XP 的一部分提供），不包含此漏洞。但是，大多数以前的版本都是易受攻击的。
RDS 必须在 Internet Information Services（IIS）中运行。在 IIS 5.0 和 5.1 中，RDS 默认处于禁用状态（除非系统已从早期版本的 Windows 升级）。即使在 RDS 默认运行的情况下，也可以按 IIS 安全清单中所述将其禁用。 IIS 锁定工具还会在其默认配置中使用时自动禁用 RDS。

不过，请务必记住，如果 Web 服务器偶尔也用作 Web 客户端（也就是说，如果浏览 Web 或从服务器读取电子邮件），它仍可能面临风险。基于服务器的漏洞和基于客户端的漏洞完全独立于彼此。

我在 Web 服务器上安装了 URLScan 工具。它是否有助于保护我的系统？
是的。 URLScan 工具限制服务器将处理的 HTTP 请求的类型。在这种情况下，特别感兴趣的是，URLScan 的默认规则集仅允许服务器处理 HTTP 请求（如果它们仅包含 ASCII 数据）。创建仅使用有效 ASCII 数据更改 IIS 服务操作的请求将极其困难;但是，即使在这种情况下，攻击者仍可能导致服务失败。

我的系统是 Web 客户端。如何判断它是否处于危险？
首先要做的是检查你是否正在运行 Windows XP。如果你是，你的系统没有任何风险 - 随 Windows XP 附带的 MDAC 版本不包含漏洞。所有其他版本的 Windows 都面临风险。多个版本的 Windows 附带了易受攻击的 MDAC 版本，Internet Explorer 的多个版本也一样。因此，除了 Windows XP 之外运行的任何系统几乎肯定会面临风险，并且需要修补程序。

你说 Windows XP 并不易受攻击，但使用 Internet Explorer 6.0 的客户是。然而，Internet Explorer 6.0 作为 Windows XP 的一部分提供。为什么 Windows XP 易受攻击？
在系统上安装 Internet Explorer 6.0 时，它会检查查看是否已安装 MDAC 版本;如果没有，则安装它。对于 Windows XP，已安装 MDAC 版本（不受漏洞影响的版本），因此 Internet Explorer 6.0 使用该版本。

基于网站的或基于 HTML 邮件的攻击向量是否对 Web 客户端构成更大的威胁？
无论选择何种攻击途径，攻击者都有优点和缺点。从攻击者的角度来看，在网站中托管网页的主要优势是，除非安装了修补程序，否则大多数计算机都容易受到此类攻击。主要缺点是攻击者没有任何办法强制用户访问该网站。相反，他或她需要吸引他们在那里，通常是让他们单击一个链接，将他们带到攻击者的网站。相比之下，以 HTML 邮件形式发送网页将有利于攻击者能够面向特定用户，并将其直接发送给他们。主要缺点是，基于 HTML 邮件的攻击会在许多用户的系统上失败。具体而言，即使没有修补，在 Outlook 98 或 Outlook 2000 与 Outlook 电子邮件安全更新或 Outlook Express 6 或 Outlook 2002 在默认配置中使用 Outlook 98 或 Outlook 2000 的系统上的 HTML 邮件无法利用漏洞。

我的系统是一个 Web 服务器，我已确认它不易受攻击。但是，我有时还会从该系统浏览 Web。是否需要安装修补程序？
是的。充当 Web 客户端的任何系统都需要修补程序。即使系统也恰好是 Web 服务器，即使 Web 服务器已配置为防止漏洞，也是如此。

MDAC 和 Internet Explorer 是否有单独的修补程序？
否。我们开发了一个修补程序，用于同时安装 MDAC 和 Internet Explorer 的修补程序。此修补程序将确定 MDAC 的版本（如果有的话）正在使用并向其上的所有易受攻击的组件应用修补程序。如果系统上没有易受攻击的组件，修补程序将不执行任何操作。

我不知道是否安装了 MDAC。在应用修补程序之前，是否需要先确定该修补程序？
否。此修补程序将确定系统上安装了哪个版本的 MDAC（如果有）并应用所需的修补程序。

修补程序可用性

下载此修补程序的位置

可以在所有受影响的平台上安装以下修补程序：

Microsoft 数据访问组件：Q329414的安全修补程序

有关此修补程序的其他信息

安装平台：

可以在以下系统上安装修补程序：

Windows 98 黄金版。
Windows 98标准版 Gold
Windows Me Gold
Windows NT4 Service Pack 6a
Windows 2000 Service Pack 2 或 Service Pack 3

包含在将来的 Service Pack 中：

此问题的修补程序将包含在 MDAC 2.5 的下一个 Service Pack 中。 MDAC 2.1 和 MDAC 2.6 将不再有服务包。
此修补程序还将包含在 Internet Explorer 5.01 Service Pack 4 和 Internet Explorer 6.0 Service Pack 2 中。

需要重新启动：

Web 服务器：建议在安装修补程序后重新启动服务器。
Web 客户端：安装修补程序后无需重新启动。

可以卸载修补程序： 否。

取代的修补程序： 无。

验证修补程序安装：

Microsoft 知识库文章 Q329414 提供了可用于验证修补程序安装的文件清单。

注意：

如常见问题解答中所述，修补程序不会在受影响的 ActiveX 控件上设置 Kill Bit。
如果应用修补程序后，会安装预安装修补程序的 MDAC Service Pack，则效果是删除修补程序。此外，由于修补程序文件仍位于系统上，因此Windows 更新无法检测到修补程序文件未使用，并且不会提供重新安装修补程序。相反，安装 Service Pack 后，用户需要手动重新安装修补程序。

例如，已经修补了 MDAC 2.5 计算机的用户。然后，如果他们对已修补的 MDAC 2.5 计算机应用 MDAC 2.5 Service Pack 2，则可能会有回归，使用户需要重新安装此修补程序。

用户始终可以升级到最新版本的 MDAC，因为 MDAC 2.7 不受此漏洞的影响。

本地化：

此修补程序的本地化版本在“修补程序可用性”中讨论的位置可用。

获取其他安全修补程序：

可从以下位置获取其他安全问题的修补程序：

安全修补程序可从 Microsoft 下载中心获取，可通过执行关键字 (keyword)搜索“security_patch”来轻松找到。
WindowsUpdate 网站提供了使用者平台的修补程序

其他信息：

确认

Microsoft 感谢 Foundstone 研究实验室向我们报告此问题，并与我们合作来保护客户。

支持：

Microsoft 知识库文章 Q329414 讨论此问题。可以在 Microsoft Online 支持网站上找到知识库文章。
Microsoft 产品支持服务提供技术支持。与安全修补程序关联的支持调用不收取任何费用。

安全资源：Microsoft TechNet 安全网站提供有关 Microsoft 产品安全性的其他信息。

免责声明：

Microsoft 知识库中提供的信息“按原样”提供，不提供任何形式的担保。 Microsoft 不明确或暗示所有保证，包括适销性和针对特定用途的适用性和适用性的保证。在任何情况下，Microsoft Corporation 或其供应商都应对任何损害负责，包括直接、间接、附带、后果性、业务利润损失或特殊损害，即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。某些州不允许排除或限制后果性或附带性损害的责任，因此上述限制可能不适用。

修改：

V1.0（2002 年 11 月 20 日）：公告已创建。
V1.1 （2002 年 11 月 22 日）：对受信任的发布者进行轻微澄清。

构建于 2014-04-18T13：49：36Z-07：00</https：>

通过