Microsoft Data Access Components , aussi connu comme MDAC ou Windows DAC , est un groupe de technologies connexes qui donnent aux programmeurs une manière globale et uniforme de développer des applications qui peuvent accéder à presque n'importe quel magasin de données. MDAC permet d'accéder aux référentiels de données telles que SQL Server 2000 , SQL Server 2003, Small Business Server 2003 et XP Home et Professional . Au fil des ans , Microsoft a publié plusieurs correctifs pour régler les problèmes de sécurité MDAC . MS02 -040 : Mise à jour de sécurité pour MDAC
La sécurité publication de bulletins par Microsoft en Mars 2007 adressée vulnérabilité avec le composant MDAC sous-jacente appelée Open Database Connectivity . Il se produit dans toutes les versions de Windows. Les concepteurs de ODBC voulu faire cette interface de l'application indépendante des langages de programmation , les systèmes de bases de données ou systèmes d'exploitation . Les programmeurs qui utilisent ODBC peuvent accéder à des données provenant de diverses bases de données sans problèmes de configuration.
Le correctif de sécurité initialement publié n'a pas été installé correctement sur certains systèmes en raison de la façon dont le programme d'installation de Microsoft Windows mis à jour le cache de protection des fichiers Windows . La mémoire cache de protection est une section de mémoire temporaire qui reçoit de l'information avant qu'il ne passe à la RAM . Là, dans la RAM , il mettra à jour en permanence l'application. Parce que le cache n'a pas mis à jour , la mémoire n'a pas mis à jour , si MDAC est resté vulnérable
MS03- 033: . Mise à jour de sécurité pour MDAC
Microsoft a appris que les versions de MDAC plus tôt de 2,8 contenait également une faille qui se traduirait par une vulnérabilité de type buffer overflow . Quand un ordinateur client sur un réseau tente d' afficher une liste des ordinateurs sur un réseau qui exécutent Microsoft SQL Server, il émet une demande de diffusion à tous les périphériques du réseau.
En utilisant la faille existant , un attaquant peut répondre avec un paquet spécialement conçu qui va provoquer un buffer overflow. Par conséquent , un attaquant peut exploiter cette faille avec succès pour obtenir le même niveau de droits d'utilisateur sur le système , y compris la création, la modification ou la suppression de données sur le système. Il est également possible de reconfigurer le système , reformater le disque dur ou exécuter des programmes de choix de l' attaquant . La mise à jour de sécurité Mars 2007 répond à ces problèmes
MS07- 009: . Vulnérabilité pourrait permettre l' exécution de code à distance
En Décembre 2007, Microsoft a publié le bulletin de sécurité MS07- 009, dans lequel la société mis à jour l'installation logique Windows Update. Lorsqu'une mise à jour est survenu, MDAC a indiqué que toutes les langues étaient présents dans le système. Dans ce cas, le Microsoft Windows Server Update Services Microsoft Systems Management Server et étaient vulnérables . Sans cette mise à jour , SMS et WSUS incorrectement autorisés toutes les langues soient présentes dans le système au lieu d'une langue. Cela permettrait aux pirates en provenance des pays éloignés d'accéder
MS06- 014: . Vulnérabilité pourrait permettre l' exécution de code
En Avril 2008, Microsoft a publié le bulletin de sécurité MS06- 014. Ce bulletin de sécurité revue les messages d'erreur que les utilisateurs ont reçu .
Un des messages d'erreur en cause un téléchargement à partir d'un package MDAC logiciel de mise à jour , le programme de mise à jour Microsoft ou le programme Microsoft Windows Update. Les utilisateurs devaient envoyer un rapport d' erreur quand ils ont essayé d'appliquer une mise à jour logicielle MDAC. Les utilisateurs ont également été invités à poursuivre le processus de suppression du logiciel quand ils ont utilisé Spuinst.exe de supprimer une mise à jour MDAC. Dans ces cas, les messages d'erreur étaient défectueux . Le correctif de sécurité a traité avec eux.
