Microsoft meldet gefährliches Sicherheitsleck

Sicherheitsloch wird bereits aktiv ausgenutzt. Im ActiveX-Control für den Snapshot-Viewer der Datenbanksoftware Access steckt ein Sicherheitsloch. Angreifer können darüber Schadcode ausführen und so ein fremdes System unter ihre Kontrolle bringen. Dieses Sicherheitsleck wird nach Erkenntnissen von Microsoft bereits aktiv ausgenutzt.

8. Juli 2008 um 10:17 Uhr / Ingo Pakalski

62 Kommentare News folgen (öffnet im neuen Fenster)

Das fehlerhafte ActiveX-Control ist Bestandteil des Snapshot-Viewer für Access und gehört auch bei Access 2000, 2002 sowie 2003 zum Lieferumfang. Office 2007 ist nach Microsoft-Angaben von dem Problem nicht betroffen. Mit dem Snapshot-Viewer lassen sich Access-Berichte einsehen, ohne Access selbst laufen zu lassen.

Das Sicherheitsleck lässt sich ausnutzen, indem ein Opfer zum Öffnen einer präparierten Webseite verleitet wird. Dann kann der Angreifer schadhaften Programmcode mit den Rechten des angemeldeten Nutzers ausführen. Die Ausführung des ActiveX-Controls kann durch Setzen eines Kill-Bits(öffnet im neuen Fenster) ausgeschaltet werden, damit solche Angriffe bis zum Erscheinen eines Patches unterbunden werden. Das betreffende Security Advisory(öffnet im neuen Fenster) listet im Bereich Suggested Actions einen passenden Registry-Eintrag, der in die Registry importiert werden muss. Dann stehen die betreffenden Funktionen allerdings nicht mehr zur Verfügung.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Effiziente Containerverwaltung mit Kubernetes

zum Artikel

Karriere Ratgeber: Wer krank zur Arbeit geht, zahlt wochenlang dafür

zum Ratgeber

Seminar: Container Management und Orchestrierung: virtueller Drei-Tage-Workshop

zum Kurs

E-Learning: SEO-Grundlagen: Besseres Website-Ranking durch gezielte Optimierung (E-Learning)

zum Kurs

Derzeit ist unklar, ob Microsoft bis zum Patchday am heutigen 8. Juli 2008 ein Update fertig bekommt, um das offene Sicherheitsloch zu beseitigen. Möglicherweise müssen betroffene Anwender bis zum darauffolgenden Patchday im August 2008 warten, bis der Fehler korrigiert wird.

Zur Startseite 62 Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Sicherheitsleck in Visual Basic erlaubt Programmausführung

Alle Office-Applikationen und weitere Microsoft-Produkte betroffen. Wie Microsoft berichtet, existiert in Visual Basic for Applications (VBA) ein schweres Sicherheitsleck, worüber ein Angreifer beliebigen Programmcode mit den Rechten des angemeldeten Anwenders ausführen kann. Da VBA in zahlreichen Microsoft-Produkten verwendet wird, sind auch etliche Applikationen von dem Sicherheitsrisiko betroffen. Ein weiteres Sicherheitsleck enthält der Access-Viewer, worüber ein Angreifer ebenfalls Programmcode auf einem fremden System ausführen kann.

Sicherheitslücke im Internet Explorer 6

Angreifer können schadhaften Code ausführen. Im Internet Explorer 6 ist eine Sicherheitslücke gefunden worden, über die sich im schlimmsten Fall Schadcode einschleusen lässt. Aber auch das unbemerkte Ausspionieren von vertraulichen Daten ist damit möglich. Bislang steht kein Patch bereit, um den Fehler zu beseitigen. Immerhin soll der Internet Explorer 7 davon nicht betroffen sein.

Relevante Themen