Internet Explorer öffnet Access für Angreifer

Microsoft hat einen Workaround für eine Sicherheitslücke im Internet Explorer (ab Version 4.01 SP 2) in Verbindung mit der Datenbankanwendung Access herausgebracht. Die Lücke erlaubt es einer feindlich gesinnten Webseite über VBA-Scripts theoretisch beliebige Befehle auf dem Rechner auszuführen.

Die Scripting-Einstellungen des Explorers sollen verhindern dass Code über Access-Datenbanken ausgeführt wird. Access-Dateien (.mdb) sind dort als unsicher eingestuft. Diese Einstellung lässt sich aber wie Microsoft zugibt mittels des "object"-Tags umgehen. Einer feindlichen Webseite wäre es unter Ausnutzung der Lücke möglich, selbst eine auf dem Server liegende Datenbank auszuführen, die VBA-Scripts beinhaltet.

Microsoft bietet zur Abhilfe bislang keinen Patch sondern sondern einen Workaround an. Benutzer müssen demnach ein Administrator-Passwort in Access einrichten (im Menü: Extras/Sicherheit/Benutzer und Gruppenkonten/Anmeldungskennwort ändern). Die Anleitung dafür liefert Microsoft auf seinen Secuity-Seiten unter den FAQs zur "IE Script Vulnerability". Mit einem Passwort versehen fragt Access um Erlaubnis, bevor Scripts ausgeführt werden.

Im ständig aktualisierten Internet-Explorer-Bug-Reportsind weitere Sicherheitslücken beschrieben. Dort finden sich auch Links zu den bereits verfügbaren Patches. (uba)