Update für Microsofts MDAC beseitigt Buffer Overflow [Update]

Das Bulletin MS03-033 beschreibt einen Buffer Overflow in den MDAC-Versionen 2.5, 2.6 und 2.7. Version 2.8 und die in Windows 2003 Server eingesetzte Version sind nicht betroffen. MDAC ist desweiteren in Windows XP, Windows 2000 und Windows ME, sowie Anwendungen, wie etwa SQL Server 2000, enthalten.

MDAC unterstützt Programme bei der Kommunikation mit Datenbanken. Ein Fehler in einer MDAC-Komponente ermöglicht es einem Angreifer, einen Buffer Overflow zu provozieren, in dem er auf Anfragen einer Applikation mit manipulierten Paketen antwortet. Wird dabei beliebiger Code mitgesendet, kann dieser im Kontext der anfragenden Applikation ausgeführt werden. Microsoft stuft den Fehler als "important" ein. Der Patch zum Beseitigen des Fehlers liegt auf den Seiten von Microsoft zum Download bereit, kann aber auch über die Update-Funktion installiert werden.

Das Bulletin MS03-033 ersetzt darüberhinaus das alte Bulletin MS02-40. Ursprünglich hieß es dort, ein Fehler in MDAC liege im OpenRowSet-Befehl, jetzt habe man aber festgestellt, dass das Problem vielmehr in der "MDAC component Open Database Connectivity" (ODBC) zu finden sei. Ferner hatten mehrere Anwender beklagt, dass sich der Patch aus MS02-40 nicht korrekt installieren lässt. Das lag an einem Fehler im Windows-Installer, der den Cache für Dateirechte nicht korrekt aktualisierte. (dab)