Microsoft Data Access Components, noto anche come MDAC o DAC di Windows, è un gruppo di tecnologie interconnesse che danno ai programmatori un modo completo e uniforme di sviluppare applicazioni che possono accedere a quasi qualsiasi archivio dati. MDAC consente l'accesso a repository di dati, ad esempio SQL Server 2000, SQL Server 2003, Small Business Server 2003 e XP Home e Professional. Nel corso degli anni, Microsoft ha rilasciato diverse patch per affrontare i problemi di sicurezza di MDAC.

Aggiornamento della protezione per MDAC: MS02-040

Il rilascio dei bollettini sulla sicurezza da Microsoft marzo 2007 indirizzata vulnerabilità con il componente MDAC sottostante chiamato Open Database Connectivity. Essa si verifica in tutte le versioni di Windows. I progettisti di ODBC voluto fare questa interfaccia applicazione indipendente da ogni linguaggio di programmazione, sistemi di database o sistemi operativi. I programmatori che utilizzano ODBC possono accedere ai dati da una varietà di database senza un problemi di configurazione.

La patch di sicurezza originariamente rilasciato non è stato installato correttamente su alcuni sistemi a causa del modo in cui il programma di Microsoft Windows Installer aggiornato la cache di Protezione file Windows. La cache di protezione è una sezione di memoria temporanea che riceve informazioni prima che va in RAM. Lì, in RAM, esso aggiornerà definitivamente l'applicazione. Poiché la cache non è stato aggiornato, la memoria non ha aggiornato, in modo da MDAC è rimasto vulnerabile.

Aggiornamento della protezione per MDAC: MS03-033

Microsoft ha appreso che le versioni di MDAC precedenti alla 2.8 conteneva anche un difetto che si tradurrebbe in una vulnerabilità di buffer overflow. Quando un computer client su una rete tenta di visualizzare un elenco di computer in una rete che eseguono Microsoft SQL Server, si emette una richiesta broadcast a tutti i dispositivi di rete.

Usando il difetto esistente, un utente malintenzionato può rispondere con un pacchetto appositamente progettato che causare un buffer overflow. Pertanto, un utente malintenzionato può sfruttare questa falla per ottenere lo stesso livello di diritti utente sul sistema, tra cui la creazione, la modifica o la cancellazione dei dati sul sistema. E 'anche possibile riconfigurare il sistema, riformattare il disco rigido o eseguire programmi di scelta dell'attaccante. L'aggiornamento della protezione marzo 2007 affronta questi problemi.

MS07-009: una vulnerabilità può consentire l'esecuzione codice in modalità remota

Nel dicembre 2007, Microsoft ha rilasciato bollettino sulla sicurezza MS07-009, in cui l'azienda ha aggiornato l'installazione di Windows Update logica. Quando si è verificato un aggiornamento, MDAC ha riferito che tutte le lingue erano presenti nel sistema. In questo caso, il server di Microsoft Systems Management e Microsoft Windows Server Update Services erano vulnerabili. Senza questo aggiornamento, SMS e WSUS permesso in modo non corretto tutte le lingue siano presenti nel sistema, invece di una sola lingua. Questo permetterebbe agli hacker di paesi di ottenere l'accesso.

MS06-014: una vulnerabilità può consentire l'esecuzione di codice

Nell'aprile del 2008, Microsoft ha rilasciato bollettino sulla sicurezza MS06-014. Questo bollettino sulla sicurezza recensione messaggi di errore che gli utenti hanno ricevuto.

Uno dei messaggi di errore coinvolto un download da un pacchetto di aggiornamento software per MDAC, il programma Microsoft Update o il programma di Microsoft Windows Update. Gli utenti sono stati di inviare una segnalazione di errore quando hanno cercato di applicare un aggiornamento software per MDAC. Gli utenti sono stati anche richiesto di continuare il processo di rimozione del software quando hanno usato Spuinst.exe per rimuovere un aggiornamento MDAC. In questi casi, i messaggi di errore erano difettosi. La patch di sicurezza affrontato con loro.