64042

Sicherheitslücke im Microsoft Snapshot Viewer

08.07.2008 | 14:16 Uhr |

Angreifer nutzen bereits eine Anfälligkeit in der ActiveX-Komponente des Snapshot Viewers aus, der zu Microsoft Office gehört. Microsoft hat eine Sicherheitsmitteilung herausgegeben, die Tipps zur Abhilfe enthält.

Der Snapshot Viewer ist ein Programm, mit dem Sie Access-Daten ansehen könne, falls Sie keine Version von Microsofts Datenbank-Software installiert haben. Dazu gibt es auch eine ActiveX-Komponente, die das Betrachten von Access-Dateien im Internet Explorer ermöglicht. In diesem ActiveX-Steuerelement ist eine bis dahin unbekannte Sicherheitslücke entdeckt worden, die bereits aktiv ausgenutzt wird. Microsoft hat daher die Sicherheitsmitteilung 955179 veröffentlicht.

Der Snapshot Viewer ist sowohl einzeln zum Download von der Microsoft Website erhältlich als auch in allen Version von Microsoft Office 2000, 2003 und 2003 enthalten, nicht jedoch in Office 2007. Auch das anfällige ActiveX-Steuerelement ist in allen diesen Fassungen enthalten. Worin die Anfälligkeit genau besteht, sagt Microsoft nicht, sie ermöglicht jedoch das Einschleusen von beliebigem Code, der dann mit den Rechten des angemeldeten Benutzer ausgeführt werden kann.

Für einen erfolgreichen Angriff muss ein Angreifer seine Opfer auf eine speziell präparierte Web-Seite locken. Das kann etwa mit einem Link auf einer anderen Web-Seite, in einer Mail oder in per Instant Messenger erfolgen. Microsoft sind nach eigenem Bekunden bislang lediglich "begrenzte, gezielte Angriffe" bekannt, die diese Schwachstelle aus nutzen. Diese Situation kann sich freilich jederzeit ändern.

Microsoft nennt mehrere Möglichkeiten für Anwender sich zu schützen. So können Sie im Internet Explorer die Sicherheitseinstellungen für die Internet-Zone auf "hoch" setzen. Dadurch wird ActiveX praktisch abgeschaltet, außer für Websites, die vom Anwender als vertrauenswürdig eingestuft werden. Nachteil: Websites, die auf ActiveX-Komponenten wie etwa den Flash Player oder den Adobe Reader setzen, werden nicht mehr wie gewohnt funktionieren.

Eine andere, schon beinahe klassische Methode ist zugleich die gezielteste: das Setzen des so genannten Kill-Bits für anfällige ActiveX-Komponenten. Durch einen Eintrag in der Registry wird verhindert, dass die fraglichen ActiveX-Steuerelemente im Internet Explorer geladen werden, unabhängig von der Sicherheitszone. Für die verschiedenen Versionen des Snapshot Viewers sind insgesamt drei Kill-Bits nötig. Microsoft empfiehlt die folgenden Zeilen in eine neue Textdatei (zum Beispiel mit dem Editor Notepad) zu kopieren:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F0E42D50-368C-11D0-AD81-00A0C90DC8D9}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F0E42D60-368C-11D0-AD81-00A0C90DC8D9}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F2175210-368C-11D0-AD81-00A0C90DC8D9}]
"Compatibility Flags"=dword:00000400

Speichern Sie diese dann als Datei mit der Endung ".reg" (zum Beispiel: "killsnapshot.reg"). Per Doppelklick im Windows Explorer können Sie diese Einträge in die Registry importieren. Die Rückfrage von Windows bestätigen Sie mit einem Klick auf "OK". Nach dem Neustart des Internet Explorers sind Sie vor Angriffen auf diese Schwachstelle geschützt.

Microsoft hat diese Sicherheitsempfehlung noch kurz vor dem heutigen Patch Day heraus gegeben. Daher ist so schnell kein Sicherheits-Update zu erwarten, das die anfälligen ActiveX-Komponenten ersetzt. Abwarten ist also nicht angesagt.

0 Kommentare zu diesem Artikel
64042