发布日期：1999-08-23
更新日期：1999-10-01

受影响系统：

- Microsoft Jet, all versions

描述：

---

Updated Patch Available for Office "ODBC Vulnerabilities

日期 : 1999/8/23, 10/1

分类 : Microsoft
来源参考 : Microsoft Security Bulletin

-- 简述---------------------------------------------------------------
Microsoft 提供编号 MS99-30 安全建议文件的相关修正程序，终止该文件先前提到的一项安全性漏洞。

-- 说明---------------------------------------------------------------
1. Jet 是一个在 Microsoft Office 97 及 Office 2000 程序里面所使用的资料库
引擎。先前发现在 Jet 里面有两个安全漏洞：
o "VBA Shell" 安全性漏洞：这个问题存在於所有版本的 Jet，除了 Jet 4.0 以外
。主要是在处理资料库查询的时候，可以将作业系统的命令包含在查询指令中一
起执行。影响范围是除了 Office 2000 以外的所有 Office 程序产品，另外对
Office 2000 里面某一部份程序：Access 2000 亦有影响。
o "Text I-ISAM" 安全性漏洞：这个问题存在於所有版本的 Jet。主要是因为 Jet
提供方便的方法让使用者更改文字挡的内容，然而有心的使用者也可以利用这个
方法在查询资料库时修改系统档案。影响范围是所有的 Office 程序产品。
2. 有关 MS99-30 安全建议，可以参考以下网址：

http://www.microsoft.com/security/bulletins/MS99-030faq.asp

-- 影响平台 ----------------------------------------------------------
- Microsoft Jet, all versions

注意：Jet 使用在许多 Microsoft 产品上当作资料库引擎，目前已知的就有：
- Microsoft Office
- Microsoft Visual Studio
- Microsoft Publisher
- Microsoft Streets & Trips

其他还有许多公司利用 Microsoft 的函式库开发程序，写成应用程序，所以应该也
会受到影响。目前并不需要针对这些应用程序作相关更正，因为 Microsoft 所提供
的修正程序是直接针对 Jet 资料库引擎作修正。



建议：

---

-- 修正方式 ----------------------------------------------------------
修正程序可以在以下网址取得：

http://officeupdate.microsoft.com/articles/mdac_typ.htm

注意：

1. 该网页上所提供的修正程序有分成 Office 97 跟 Office 2000 两种版本的修正
程序，事实上是同一个程序。修正程序会自动侦测使用者电脑内部所使用的 Jet
版本为何，自动做出修正。最低版本的限制是 Jet 3.5，在 Jet 3.5 以前(不含)
的旧版资料库引擎，Microsoft 已经不作任何技术支援。
2. 此修正程序适用所有语系的 Office 程序产品。

-- 影响结果-----------------------------------------------------------
使用者可存取系统档案及使用系统命令。

浏览次数：11244
严重程度：0（网友投票）