Kritisches Sicherheitsleck in Microsoft Access

Verantwortlich für den Bug ist ein fehlerhaftes ActiveX-Control, das ein Bestandteil des Snapshot-Viewers in Access ist. Dieser wird bei Access 2000, 2002 und 2003 eingesetzt und gehört zur Standard-Ausstattung. Die neueste Version der Datenbank-Software ist laut Microsoft-Angaben angeblich nicht betroffen.

Laut einem Sicherheitshinweis von Microsoft besteht die Gefahr der Sicherheitslücke darin, dass der Snapshot-Viewer Access-Inhalte anzeigt, auch wenn das Hauptprogramm derzeit deaktiviert ist. Dadurch lässt sich dieser beispielsweise aus dem Internet-Explorer oder einem anderen Browser heraus aufrufen. Angreifer brauchen nun nur noch eine speziell präparierte Webseite zu basteln und einen Link beispielsweise per Mail oder Messenger an das Opfer zu schicken. Ruft dieser dann die Webseite auf, erhält der Angreifer sämtliche Nutzerrechte des Betrogenen. Besonders kritisch fällt die Sicherheitslücke aus, wenn der Angegriffene über Administratoren-Rechte verfügt.

Durch einen Kill Bit in der Registry lässt sich die Ausführung des Snapshot-Viewers blockieren. Microsoft hat dazu eine Anleitung verfasst. (Maxim Roubintchik)