Microsoft bestätigt neue Schwachstelle in Jet Engine und Word

Diskutiere Microsoft bestätigt neue Schwachstelle in Jet Engine und Word im IT-News Forum im Bereich IT-News; Nach der kürzlich veröffentlichten Sicherheitsempfehlung haben weitere Untersuchungen von Microsoft ergeben, dass die gemeldete Sicherheitslücke...
#1
copy02

copy02

News Master
Threadstarter
Team
Dabei seit
11.02.2005
Beiträge
6.493
Alter
42
Ort
Im Wilden Nordwesten an der Nordsee
Nach der kürzlich veröffentlichten Sicherheitsempfehlung haben weitere Untersuchungen von Microsoft ergeben, dass die gemeldete Sicherheitslücke in der Jet Database Engine tatsächlichen mit einem neuen Angriffsvektor ausgenutzt wird.

Microsoft hatte bereits über Ostern in der Sicherheitsempfehlung 950627 vor vereinzelten, gezielten Angriffen gewarnt, die eine neu entdeckte Schwachstelle im Datenbankmodul Jet ausnutzen. Dabei werden präparierte Word-Dokumente eingesetzt, die eine eingebettete MDB-Datei (MS Access) enthalten. Wie weitere Untersuchungen bei Microsoft ergeben haben, lässt sich mit diesen Dateien die Blockade potenziell gefährlicher Dateianhänge in Outlook und Exchange umgehen.

Während bereits seit längerer Zeit Angriffe mittels der auch in diesem Fall eingesetzten Jet-Schwachstelle bekannt sind, stellt das erfolgreiche Umgehen von Schutzvorkehrungen durch Einbetten der MDB-Dateien in Word-Dokumente einen bis dahin noch nicht bekannten Angriffsvektor dar. Das übliche Microsoft-Mantra, MDB-Dateien seien per se unsicher und daher gebe es keine Updates für entsprechende Schwachstellen, soll in diesem Fall nicht gelten.
Microsoft betrachtet MDB-Dateien als unsicher, weil sie gewollt die Ausführung von VBA-Code (Visual Basic for Applications, die Makrosprache von MS Office) in Access ermöglichen. Damit sind Zugriffe auf das Dateisystem möglich, neue Programmdateien können angelegt oder aus dem Internet geladen werden. Wenn die Zugriffsrechte des angemeldeten Benutzers dies erlauben, kann der Angreifer die Kontrolle über das System übernehmen.

Wie Mike Reavey im Blog des Microsoft Security Research Centers erklärt, prüfe man derzeit, in welcher Weise Word vor derartigen Angriffen geschützt werden könne. Finde sich eine solche Möglichkeit, werde es wohl ein Sicherheits-Update geben. Eine neuere Version der Programmbibliothek "msjet40.dll", die nicht anfällig für die ausgenutzte Jet-Schwachstelle sei, habe Microsoft bereits mit Windows Server 2003 SP2 und Windows Vista ausgeliefert. Sie sei auch im Service Pack 3 für Windows XP enthalten.
Ob es bereits beim nächsten Patch Day am 8. April ein solches Sicherheits-Update für MS Office geben wird, lässt Reavey offen.

Quelle und ganzer Bericht bei PC-Welt.de
 
Thema:

Microsoft bestätigt neue Schwachstelle in Jet Engine und Word

Microsoft bestätigt neue Schwachstelle in Jet Engine und Word - Ähnliche Themen

  • AMD Ryzen - Microsoft bestätigt auf Software basierende Performance-Probleme der neuen CPUs

    AMD Ryzen - Microsoft bestätigt auf Software basierende Performance-Probleme der neuen CPUs: Nachdem AMD seine neuen Ryzen-CPUs auf den Markt gebracht hat, wurden diese ausführlichen Benchmark-Tests mit dem Ergebnis ausgesetzt, dass wohl...
  • Microsoft bestätigt Entwicklung von neuen kleinen Touch-Geräten, 7-Zoll-Surface Tablet nicht undenkbar

    Microsoft bestätigt Entwicklung von neuen kleinen Touch-Geräten, 7-Zoll-Surface Tablet nicht undenkbar: Was Spekulationen bereits Ende letzter Woche anklingen ließen, das Microsoft ein Surface-Tablet mit 7-Zoll-Bildschirm in Planung hätte, wurde...
  • Microsoft bestätigt neue Lücke im Internet Explorer

    Microsoft bestätigt neue Lücke im Internet Explorer: Quelle und ganzer Bericht bei Heise.de
  • Microsoft bestätigt neue Verhandlungen mit Yahoo

    Microsoft bestätigt neue Verhandlungen mit Yahoo: Nur wenige Tage nach der Kampfansage von Carl Icahn an den Verwaltungsrat von Yahoo hat Microsoft dem Internetkonzern einen neuen Vorschlag für...
  • Microsoft bestätigt neue Version der Xbox 360

    Microsoft bestätigt neue Version der Xbox 360: Lange geisterte es als Gerücht durchs Internet, nun ist die Bestätigung seitens Microsoft erfolgt: Ab dem 29. April wird es eine schwarze Xbox 360...
  • Ähnliche Themen

    Oben