PDA

Vollständige Version anzeigen : Hochkritische Sicherheitslücke in Access-Datenbank-Komponente


Günther Kramer
14.04.2005, 17:20
Hallo Accessler,

Elmar informierte uns soeben über einen Beitrag. Herzlichen Dank dafür.

Hochkritische Sicherheitslücke in Access-Datenbank-Komponente
Autor: Ralf Benzmüller
Datum: 12.04.2005 17:42


Durch einen Fehler in Microsofts Jet Datenbank Engine kann ein Angreifer einen Rechner übernehmen, wenn eine manipulierte .MDB Datei mit Access aufgerufen wird. Erster Exploit-Code liegt bereits vor, ein Patch von Microsoft noch nicht. Öffnen Sie vorerst keine fremden Datenbanken.


Die Microsoft Jet Datenbank-Engine ist der Kern von Microsofts erfolgreicher Datenbank Access. Sie ist aber auch Bestandteil von Excel und kann als kostenlose Komponente in Anwendungen integriert werden, die auf Datenbanken zugreifen. Die zentrale Funktionalität ist in der dynamischen Bibliothek 'msjet40.dll' enthalten, die Datenbankanfragen überprüft und verarbeitet. Am 31. März haben Datensicherheitsexperten von Hexview mehrere Sicherheitslücken in dieser Kernkomponente von Microsofts Jet Datenbank-Engine entdeckt und tags zuvor Microsoft darüber informiert. Die Sicherheitslücke wurde als "kritisch" eingestuft.

Gestern hat das French Security Incident Response Team (FrSIRT) einen Exploit veröffentlicht, in dem dieser Fehler ausgenutzt wird, um eine kompromitierte Access-Datenbank (*.MDB) zu erzeugen. Die fehlerhafte Verarbeitung durch msjet40.dll (bis Version 4.00.8618.0) ermöglicht es Code auszuführen, der vorher in die Datenbankdatei geschrieben wurde. Wenn diese Datei mit Access (oder einer anderen Anwendung, die msjet40.dll verwendet) geöffnet wird, wird der entsprechende Code ausgeführt. Im Exploit wird der in Windows integrierte Taschenrechner geöffnet. Stattdessen lässt sich natürlich auch schädlicher Code ausführen. Anfällig sind Rechner mit Windows 2000 oder XP, auf denen MS Access 200x oder Office 200x installiert ist, sowie andere Rechner, auf denen msjet40.dll installiert wurde.

Bislang gibt es noch kein Patch für die Lücke (wie auch nach einem Tag?). Um den Fehler auszunutzen, muss ein Anwender lediglich eine kompromitierte Datenbank öffnen. Daher hat Secunia die Sicherheitslücke als "hoch kritisch" eingestuft. Da die Jet Datenbank-Engine nicht nur Access-Datenbanken verarbeitet, könnte der Fehler theoretisch auch in einer Excel-Datei oder einer Datenbank in einem anderen Format stecken. Seien Sie also in der nächsten Zeit vorsichtig, wenn Sie Datenbanken oder Excel-Tabellen von einem unbekannten Verfasser öffnen.

Quelle: G DATA Software AG (http://www.gdata.de/article/articleview/3339/1/1/)

Wichtige Links:
Service Pack für die Microsoft Jet 4.0-Datenbank-Engine (http://support.microsoft.com/?kbid=239114)
Windows - Microsoft Windows Update (http://windowsupdate.microsoft.com/)
Microsoft - Office Update - Downloads (http://office.microsoft.com/de-de/officeupdate/default.aspx)

Zur Ermittlung der aktuellen JetEngine-Version habe ich ein kleines AccessTool angehängt, welches ab der Version Microsoft Access 97 verwendet werden kann.

Sobald die Lücke durch ein update der JetEngine geschlossen werden kann, informieren wir an dieser Stelle wieder.