40646

Microsoft bestätigt neue Schwachstelle in Jet Engine und Word

02.04.2008 | 16:31 Uhr |

Nach der kürzlich veröffentlichten Sicherheitsempfehlung haben weitere Untersuchungen von Microsoft ergeben, dass die gemeldete Sicherheitslücke in der Jet Database Engine tatsächlichen mit einem neuen Angriffsvektor ausgenutzt wird.

Microsoft hatte bereits über Ostern in der Sicherheitsempfehlung 950627 vor vereinzelten, gezielten Angriffen gewarnt, die eine neu entdeckte Schwachstelle im Datenbankmodul Jet ausnutzen. Dabei werden präparierte Word-Dokumente eingesetzt, die eine eingebettete MDB-Datei (MS Access) enthalten. Wie weitere Untersuchungen bei Microsoft ergeben haben, lässt sich mit diesen Dateien die Blockade potenziell gefährlicher Dateianhänge in Outlook und Exchange umgehen.

Während bereits seit längerer Zeit Angriffe mittels der auch in diesem Fall eingesetzten Jet-Schwachstelle bekannt sind, stellt das erfolgreiche Umgehen von Schutzvorkehrungen durch Einbetten der MDB-Dateien in Word-Dokumente einen bis dahin noch nicht bekannten Angriffsvektor dar. Das übliche Microsoft-Mantra, MDB-Dateien seien per se unsicher und daher gebe es keine Updates für entsprechende Schwachstellen, soll in diesem Fall nicht gelten.

Microsoft betrachtet MDB-Dateien als unsicher, weil sie gewollt die Ausführung von VBA-Code (Visual Basic for Applications, die Makrosprache von MS Office) in Access ermöglichen. Damit sind Zugriffe auf das Dateisystem möglich, neue Programmdateien können angelegt oder aus dem Internet geladen werden. Wenn die Zugriffsrechte des angemeldeten Benutzers dies erlauben, kann der Angreifer die Kontrolle über das System übernehmen.

Wie Mike Reavey im Blog des Microsoft Security Research Centers erklärt, prüfe man derzeit, in welcher Weise Word vor derartigen Angriffen geschützt werden könne. Finde sich eine solche Möglichkeit, werde es wohl ein Sicherheits-Update geben. Eine neuere Version der Programmbibliothek "msjet40.dll", die nicht anfällig für die ausgenutzte Jet-Schwachstelle sei, habe Microsoft bereits mit Windows Server 2003 SP2 und Windows Vista ausgeliefert. Sie sei auch im Service Pack 3 für Windows XP enthalten.

Ob es bereits beim nächsten Patch Day am 8. April ein solches Sicherheits-Update für MS Office geben wird, lässt Reavey offen.

0 Kommentare zu diesem Artikel
40646