Erneut kritisches ActiveX-Problem aktiv ausgenutzt

Kurz vor dem allmonatlichen Patchday heute abend warnt Microsoft vor gezielten Attacken, die eine Sicherheitslücke in einem ActiveX-Control zur Darstellung von Access-Datenbank-Snapshots ausnutzen. Es handelt sich dabei um einen Pufferüberlauf, der sich so ausnutzen lässt, dass fremder Code mit den Rechten des angemeldeten Anwenders ausgeführt wird. Dazu genügt es offenbar, wenn ein Anwender, der eine der betroffenen Access-Versionen installiert hat, eine Web-Seite im Internet Explorer öffnet. Angesichts hunderttausender kompromittierter Web-Sites darf man diese Gefahr nicht auf die leichte Schulter nehmen. Anfällig sind die mit Microsoft Office Access 2000, Microsoft Office Access 2002 und Microsoft Office Access 2003 installierten Versionen des Snapshot Viewers; das aktuelle Access 2007 taucht in der Liste nicht auf.

Zum Schutz empfiehlt Microsoft, das Killbit für das ActiveX-Control zu setzen. Das verhindert, dass eine Webseite den Internet Explorer dazu veranlassen kann, das verwundbare Objekt zu starten, stört aber nicht den lokalen Einsatz. Allerdings erfordert dies einen Eingriff in die Registry. Alternativ kann man auch den Einsatz von ActiveScripting – also VBScript und JavaScript – für die Internet-Zone verbieten oder nur auf Nachfrage gestatten. Details zum Zonenmodell des Internet Explorer und wie man diese Einstellungen ändert, beschreibt der c't Browsercheck.

Die Redmonder vermeiden es in ihrer Warnung peinlich genau, betroffene Browser oder gar Betriebssysteme zu nennen. So ist völlig unklar, ob eine der Schutzvorkehrungen in Internet Explorer 7 oder Vista die Gefahr zumindest reduziert. Dass die Warnung so kurz vor dem Patchday erscheint, lässt darauf schließen, dass die heute abend veröffentlichten Updates diese Lücke nicht abdecken werden.

Siehe dazu auch:

• Vulnerability in the ActiveX Control for the Snapshot Viewer for Microsoft Access Could Allow Remote Code Execution Sicherheitswarnung von Microsoft

(ju)