Компьюлента. 26 августа 2003 года, 12:48
Компания Microsoft выпустила бюллетень безопасности MS03-033, в котором описывается дыра в Microsoft Data Access Components (MDAC) - наборе программных модулей, обеспечивающих доступ Windows к различным базам данных. MDAC является частью операционных систем Windows Me, 2000, XP и Windows Server 2003, а также может попасть в систему при установке ряда программных продуктов Microsoft, например, SQL Server.
Сущность обнаруженной уязвимости сводится к следующему. В MDAC есть несколько функций для удаленного доступа к базам данных. Если клиентский компьютер попытается использовать такую функцию, то он направит запрос на все компьютеры в подсети, пытаясь обнаружить СУБД SQL Server. Если злоумышленник ответит на этот запрос особым пакетом, то на клиентской машине произойдет переполнение буфера, а хакер получит к ней доступ с правами приложения, направившего запрос. Опасность дыры несколько сокращается тем, что для проведения атаки хакер должен находиться в той же подсети, что и атакуемый компьютер.
Дыра актуальна для MDAC версий 2.5, 2.6 и 2.7. Во всех случаях дыре присвоен рейтинг важной. В последней версии MDAC 2.8, включенной в состав Windows Server 2003, дыры нет.
В состав выпущенного Microsoft патча входит также обновленное исправление для критической дыры, которая была обнаружена в 2002 году и описана в бюллетене MS-002-40. Она также связана с возможностью переполнения буфера.