Componentes de Microsoft Data Access , también conocido como MDAC o Windows DAC , es un grupo de tecnologías interrelacionadas que dan a los programadores una manera integral y uniforme de desarrollo de aplicaciones que pueden acceder a casi cualquier almacén de datos. MDAC permite el acceso a repositorios de datos como SQL Server 2000 , SQL Server 2003 , Small Business Server 2003 y XP Home y Professional . Con los años, Microsoft ha lanzado varios parches para hacer frente a los problemas de seguridad de MDAC . MS02 - 040: Actualización de seguridad para MDAC
La publicación del boletín de seguridad de Microsoft 03 2007 dirigió la vulnerabilidad con el componente MDAC subyacente denominada Open Database Connectivity . Ocurre en todas las versiones de Windows. Los diseñadores de ODBC querían para hacer de este interfaz de la aplicación independiente de cualquier lenguaje de programación , los sistemas de bases de datos o sistemas operativos . Los programadores que utilizan ODBC puedan acceder a los datos de una variedad de bases de datos sin un problema de configuración .
El parche de seguridad publicado originalmente no se ha instalado correctamente en algunos sistemas , debido a la forma en que el programa de Microsoft Windows Installer actualiza la caché de Protección de archivos de Windows . La caché de protección es una sección de memoria temporal que recibe la información antes de que salga a la RAM . Hay , en la memoria RAM , se actualizará de forma permanente la aplicación . Debido a que la caché no se actualizaba , la memoria no se actualiza , por lo MDAC seguía siendo vulnerable
MS03 -033 : . Actualización de seguridad para MDAC
Microsoft se enteró de que las versiones de MDAC anteriores de 2,8 también contenía un fallo que dé lugar a una vulnerabilidad de desbordamiento de búfer. Cuando un equipo cliente en una red intenta ver una lista de los ordenadores en una red que ejecutan Microsoft SQL Server, emite una solicitud de difusión a todos los dispositivos de red.
Mediante el uso de la falla existente , un atacante puede responder con un paquete especialmente diseñado que provocará un desbordamiento de búfer . Por lo tanto , un atacante puede aprovechar con éxito esta vulnerabilidad para obtener el mismo nivel de derechos de usuario en el sistema, incluyendo la creación, modificación o supresión de los datos en el sistema. También es posible configurar el sistema , vuelva a formatear el disco duro o ejecutar programas de elección del atacante. La actualización de seguridad marzo 2007 aborda estos problemas
MS07 - 009: . Vulnerabilidad podría permitir la ejecución remota de código
En diciembre de 2007 , Microsoft publicó el boletín de seguridad MS07 - 009 , en el que la compañía ha actualizado la instalación de la lógica de Windows Update. Cuando se produce una actualización , MDAC informó de que todos los idiomas estaban presentes en el sistema . En este caso, el de Microsoft Windows Server Update Services Microsoft Systems Management Server y eran vulnerables . Sin esta actualización , SMS y WSUS incorrectamente permitidos todos los idiomas estén presentes en el sistema en lugar de un idioma. Esto permitiría a los piratas informáticos de países remotos obtener acceso
MS06 -014 : . Vulnerabilidad podría permitir la ejecución de código
En abril de 2008 , Microsoft publicó el boletín de seguridad MS06 -014 . Este boletín de seguridad revisó los mensajes de error que los usuarios reciben.
Uno de los mensajes de error que intervienen una descarga de un paquete de software de MDAC actualización, el programa de actualización de Microsoft o el programa de Microsoft Windows Update . Los usuarios debían enviar un informe de error al tratar de aplicar una actualización de software MDAC. Los usuarios también se vieron impulsados a continuar con el proceso de eliminación de software cuando se utilizan Spuinst.exe para quitar una actualización de MDAC . En estos casos , los mensajes de error eran defectuosos . La revisión de seguridad trató con ellos
.