Original-URL des Artikels: https://www.golem.de/0807/60910.html    Veröffentlicht: 08.07.2008 10:17    Kurz-URL: https://glm.io/60910

Microsoft meldet gefährliches Sicherheitsleck

Sicherheitsloch wird bereits aktiv ausgenutzt

Im ActiveX-Control für den Snapshot-Viewer der Datenbanksoftware Access steckt ein Sicherheitsloch. Angreifer können darüber Schadcode ausführen und so ein fremdes System unter ihre Kontrolle bringen. Dieses Sicherheitsleck wird nach Erkenntnissen von Microsoft bereits aktiv ausgenutzt.

Das fehlerhafte ActiveX-Control ist Bestandteil des Snapshot-Viewer für Access und gehört auch bei Access 2000, 2002 sowie 2003 zum Lieferumfang. Office 2007 ist nach Microsoft-Angaben von dem Problem nicht betroffen. Mit dem Snapshot-Viewer lassen sich Access-Berichte einsehen, ohne Access selbst laufen zu lassen.

Das Sicherheitsleck lässt sich ausnutzen, indem ein Opfer zum Öffnen einer präparierten Webseite verleitet wird. Dann kann der Angreifer schadhaften Programmcode mit den Rechten des angemeldeten Nutzers ausführen. Die Ausführung des ActiveX-Controls kann durch Setzen eines Kill-Bits ausgeschaltet werden, damit solche Angriffe bis zum Erscheinen eines Patches unterbunden werden. Das betreffende Security Advisory listet im Bereich Suggested Actions einen passenden Registry-Eintrag, der in die Registry importiert werden muss. Dann stehen die betreffenden Funktionen allerdings nicht mehr zur Verfügung.

Derzeit ist unklar, ob Microsoft bis zum Patchday am heutigen 8. Juli 2008 ein Update fertig bekommt, um das offene Sicherheitsloch zu beseitigen. Möglicherweise müssen betroffene Anwender bis zum darauffolgenden Patchday im August 2008 warten, bis der Fehler korrigiert wird.  (ip)


Verwandte Artikel:
Sicherheitsleck in Visual Basic erlaubt Programmausführung   
(04.09.2003, https://glm.io/27277 )
Sicherheitsupdate: Microsoft-Compiler baut Schutz gegen Spectre   
(18.01.2018, https://glm.io/132241 )
Sicherheitslücke im Internet Explorer 6   
(27.06.2008, https://glm.io/60688 )
Microsoft: Fall Creators Update ist final für alle Geräte verfügbar   
(12.01.2018, https://glm.io/132140 )
Meltdown und Spectre: NSA will nichts von Prozessor-Schwachstelle gewusst haben   
(07.01.2018, https://glm.io/131999 )

Links zum Artikel:
Microsoft: http://www.microsoft.de
Microsoft - Security Advisory 955179 (.com): http://www.microsoft.com/technet/security/advisory/955179.mspx
Microsoft (.com): http://www.microsoft.com

© 1997–2019 Golem.de, https://www.golem.de/