Microsofts Datenbank-Engine JetDB führt eingeschleusten Code aus

Für eine kürzlich veröffentlichte Schwachstelle in Microsofts Jet Database Engine ist nun ein Proof-of-Concept-Exploit erschienen, der beliebigen Code auf einem verwundbaren System ausführt.

80

12.04.2005, 12:58 Uhr

Lesezeit: 1 Min.

Von

Daniel Bachfeld

Für eine kürzlich veröffentlichte Schwachstelle in Microsofts Jet Database Engine ist nun ein Proof-of-Concept-Exploit zur Demonstration erschienen. Die Jet Engine wird zum Zugriff auf lokale, dateibasierte Datenbanken verwendet, unter anderem Access und dBase. Der Exploit erzeugt eine .mdb-Datenbankdatei, die beim Laden in Microsoft Access eingebetteten Code ausführt. Ein Opfer muss dazu aber selbst eine präparierte Datenbankdatei laden, die beispielsweise per Mail auf den Rechner gelangt.

Der Fehler findet sich in der msjet40.dll bis einschließlich Version 4.00.8618.0, wie sie auch in Access 2003 enthalten ist. Betroffen sein sollen aber auch Access 2000/2002 und Office 2000/2003. Der Entdecker der Lücke hat Microsoft nach eigenen Angaben informiert. Ein Patch steht bislang noch nicht zur Verfügung. Anwender sollten keine Datenbankdateien laden, deren Herkunft und Vertrauenswürdigkeit sie nicht verifizieren können.

Siehe dazu auch: (dab)

Microsoft Jet DB engine vulnerabilities Fehlerreport von Hexview

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Microsofts Datenbank-Engine JetDB führt eingeschleusten Code aus

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.