Internet Explorer öffnet Access für Angreifer
Die Scripting-Einstellungen des Explorers sollen verhindern dass Code über Access-Datenbanken ausgeführt wird. Access-Dateien (.mdb) sind dort als unsicher eingestuft. Diese Einstellung lässt sich aber wie Microsoft zugibt mittels des "object"-Tags umgehen. Einer feindlichen Webseite wäre es unter Ausnutzung der Lücke möglich, selbst eine auf dem Server liegende Datenbank auszuführen, die VBA-Scripts beinhaltet.
Microsoft bietet zur Abhilfe bislang keinen Patch sondern sondern einen Workaround an. Benutzer müssen demnach ein Administrator-Passwort in Access einrichten (im Menü: Extras/Sicherheit/Benutzer und Gruppenkonten/Anmeldungskennwort ändern). Die Anleitung dafür liefert Microsoft auf seinen Secuity-Seiten unter den FAQs zur "IE Script Vulnerability". Mit einem Passwort versehen fragt Access um Erlaubnis, bevor Scripts ausgeführt werden.
Im ständig aktualisierten Internet-Explorer-Bug-Reportsind weitere Sicherheitslücken beschrieben. Dort finden sich auch Links zu den bereits verfügbaren Patches. (uba)