Microsoft Data Access Components , noto anche come MDAC o Windows DAC , è un gruppo di tecnologie interdipendenti che danno ai programmatori un modo completo e uniforme di sviluppo di applicazioni che possono accedere a qualsiasi archivio dati . MDAC consente l'accesso al repository di dati , ad esempio SQL Server 2000 , SQL Server 2003 , Small Business Server 2003 e XP Home e Professional . Nel corso degli anni , Microsoft ha rilasciato diverse patch per far fronte a problemi di sicurezza MDAC . MS02 - 040 : Aggiornamento della protezione per MDAC
Il bollettino sulla sicurezza da Microsoft marzo 2007 indirizzata vulnerabilità con il componente MDAC sottostante chiamata Open Database Connectivity . Essa si verifica in tutte le versioni di Windows . I progettisti di ODBC voluto fare questa interfaccia applicazione indipendente da qualsiasi linguaggio di programmazione , sistemi di database o sistemi operativi. I programmatori che utilizzano ODBC possono accedere ai dati da una varietà di basi di dati senza problemi di configurazione.
La patch di sicurezza originariamente pubblicato non è stato installato correttamente su alcuni sistemi a causa del modo in cui il programma di Microsoft Windows Installer aggiornato la cache di Protezione file Windows . La cache di protezione è una sezione di memoria temporanea che riceve le informazioni prima che va in RAM . Lì , nella RAM , esso aggiornerà permanente l'applicazione . Poiché la cache non si aggiornava , la memoria non si aggiornava , quindi MDAC è rimasto vulnerabile
MS03 - 033 : . Aggiornamento della protezione per MDAC
Microsoft ha appreso che le versioni di MDAC precedenti di 2,8 conteneva anche un difetto che potrebbe causare una vulnerabilità di overflow del buffer . Quando un computer client su una rete tenta di visualizzare un elenco di computer di una rete che eseguono Microsoft SQL Server , invia una richiesta broadcast a tutti i dispositivi di rete .
Usando il difetto esistente , un utente malintenzionato può rispondere con un pacchetto appositamente progettato che causa un buffer overflow . Pertanto , un utente malintenzionato può sfruttare questa falla per ottenere lo stesso livello di diritti utente sul sistema , inclusa la creazione , la modifica o la cancellazione dei dati sul sistema. E 'anche possibile riconfigurare il sistema , riformattare il disco rigido o eseguire programmi a scelta dell'attaccante . L' aggiornamento di sicurezza marzo 2007 affronta questi problemi
MS07 - 009 : . Vulnerabilità può consentire l' esecuzione di codice in modalità remota
Nel dicembre del 2007 , Microsoft ha rilasciato Bollettino sulla sicurezza MS07 - 009 , in cui l'azienda ha aggiornato l' installazione di logica Windows Update . Quando un aggiornamento è avvenuto , MDAC ha riferito che tutte le lingue sono presenti nel sistema . In questo caso , Microsoft Systems Management Server e Microsoft Windows Server Update Services erano vulnerabili . Senza questo aggiornamento , SMS e WSUS erroneamente permesso tutte le lingue siano presenti nel sistema , invece di una sola lingua . Questo permetterebbe agli hacker di paesi remoti di accedere
MS06 - 014 : . Vulnerabilità può consentire l' esecuzione di codice
Nell'aprile del 2008 , Microsoft ha rilasciato bollettino sulla sicurezza MS06 - 014 . Questo bollettino sulla sicurezza recensione messaggi di errore che gli utenti hanno ricevuto .
Uno dei messaggi di errore coinvolti un download da un pacchetto MDAC aggiornamento software , il programma Microsoft Update o il programma di Microsoft Windows Update . Gli utenti sono stati di inviare un rapporto di errore quando hanno cercato di applicare un aggiornamento software MDAC . Gli utenti sono stati spinti a continuare il processo di rimozione del software , quando hanno usato Spuinst.exe per rimuovere un aggiornamento MDAC . In questi casi , i messaggi di errore erano difettosi . La patch di sicurezza affrontato con loro .
