Las actualizaciones de seguridad para Microsoft Data Access Components

Microsoft Data Access Components, también conocido como MDAC o Windows DAC, es un conjunto de tecnologías relacionadas entre sí que dan a los programadores una manera integral y uniforme de desarrollar aplicaciones que pueden acceder a casi cualquier almacén de datos. MDAC permite el acceso a repositorios de datos como SQL Server 2000, SQL Server 2003, Small Business Server 2003 y XP Home y Professional. Con los años, Microsoft ha publicado varios parches para hacer frente a los problemas de seguridad de MDAC.

Actualización de seguridad para MDAC: MS02-040

La publicación del boletín de seguridad por Microsoft en la vulnerabilidad de marzo de 2007 dirigida con el componente MDAC subyacente llamado Open Database Connectivity. Ocurre en todas las versiones de Windows. Los diseñadores de ODBC querían hacer esta interfaz de la aplicación independiente de cualquier lenguaje de programación, sistemas de bases de datos o sistemas operativos. Los programadores que utilizan ODBC puede acceder a los datos de una variedad de bases de datos sin un problema de configuración.

El parche de seguridad lanzado originalmente no se ha instalado correctamente en algunos sistemas, debido a la forma en que el programa de Microsoft Windows Installer actualiza la caché de Protección de archivos de Windows. El caché de protección es una sección de memoria temporal que recibe la información antes de que salga a la RAM. Allí, en la memoria RAM, se actualizará de forma permanente la aplicación. Debido a que el caché no se actualizaba, la memoria no se actualizaba, por lo MDAC sigue siendo vulnerable.

Actualización de seguridad para MDAC: MS03-033

Microsoft aprendió que las versiones de MDAC 2.8 antes de lo que también contenían un defecto que daría lugar a una vulnerabilidad de desbordamiento de búfer. Cuando un equipo cliente en una red intenta ver una lista de los ordenadores en una red que ejecutan Microsoft SQL Server, se emite una petición de difusión a todos los dispositivos de red.

Mediante el uso de la falla existente, un atacante puede responder con un paquete especialmente diseñado que va a causar un desbordamiento de búfer. Por lo tanto, un atacante puede explotar con éxito esta vulnerabilidad para obtener el mismo nivel de derechos de usuario a través del sistema, incluyendo la creación, modificación o supresión de datos en el sistema. También es posible reconfigurar el sistema, vuelva a formatear el disco duro o ejecutar programas de la elección del atacante. La actualización de seguridad de marzo de a 2007 aborda estos problemas.

MS07-009: Una vulnerabilidad podría permitir la ejecución remota de código

En diciembre de 2007, Microsoft lanzó el boletín de seguridad MS07-009, en el que la compañía ha actualizado la instalación de la lógica de Windows Update. Cuando se produjo una actualización, MDAC informó que todas las lenguas estaban presentes en el sistema. En este caso, el servidor de Microsoft Systems Management y Microsoft Windows Server Update Services eran vulnerables. Sin esta actualización, SMS y WSUS permite incorrectamente todos los idiomas estén presentes en el sistema en lugar de un idioma. Esto permitiría a los piratas informáticos procedentes de países remotos obtener acceso.

MS06-014: Una vulnerabilidad podría permitir la ejecución de código

En abril de 2008, Microsoft lanzó el boletín de seguridad MS06-014. Este boletín de seguridad revisó los mensajes de error que recibieron los usuarios.

Uno de los mensajes de error implicado una descarga de un paquete de actualización de software de MDAC, el programa de Microsoft Update o el programa de Microsoft Windows Update. Los usuarios tenían que enviar un informe de error cuando trataron de aplicar una actualización de software de MDAC. Los usuarios también fueron motivadas para continuar el proceso de eliminación de software cuando se utilizan Spuinst.exe para quitar una actualización de MDAC. En estos casos, los mensajes de error eran defectuosos. La revisión de seguridad trató con ellos.