TechNet Sicherheit > Sicherheitsempfehlungen

Microsoft-Sicherheitsempfehlung (955179)

Sicherheitsanfälligkeit im ActiveX-Steuerelement für den Snapshot Viewer für Microsoft Access kann Remotecodeausführung ermöglichen

Veröffentlicht: 07. Jul 2008

Microsoft untersucht derzeit aktive, gezielte Angriffe, die eine potenzielle Sicherheitsanfälligkeit im ActiveX-Steuerelement für den Snapshot Viewer für Microsoft Access ausnutzen. Ein Angreifer kann die Sicherheitsanfälligkeit ausnutzen, indem er eine speziell gestaltete Website erstellt. Wenn ein Benutzer die Website anzeigt, kann die Sicherheitsanfälligkeit die Codeausführung von Remotestandorten aus ermöglichen. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der angemeldete Benutzer erlangen.

Das ActiveX-Steuerelement für den Snapshot Viewer für Microsoft Access ermöglicht Ihnen, einen Access-Berichtssnapshot anzuzeigen, ohne dass Sie über die Standard- oder Laufzeitversionen von Microsoft Office Access verfügen müssen. Die Sicherheitsanfälligkeit betrifft lediglich das ActiveX-Steuerelement für den Snapshot Viewer für Microsoft Office Access 2000, Microsoft Office Access 2002 und Microsoft Office Access 2003.

Das ActiveX-Steuerelement ist im Lieferumfang aller unterstützten Versionen von Microsoft Office Access außer Microsoft Office Access 2007 enthalten. Es wird zudem mit dem eigenständigen Snapshot Viewer geliefert.

Schadensbegrenzende Faktoren

•	In einem webbasierten Angriffsszenario kann ein Angreifer eine Website mit einer Website einrichten, die diese Sicherheitsanfälligkeit ausnutzt. Außerdem können manipulierte Websites und Websites, die von Benutzern bereitgestellte Inhalte akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, über die diese Sicherheitsanfälligkeit ausgenutzt werden kann. Ein Angreifer muss den Benutzer zu einem Besuch dieser Website verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, in einer E-Mail oder einer Instant Messenger-Nachricht auf einen Link zur Website des Angreifers zu klicken.
•	Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der lokale Benutzer erlangen. Für Benutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.
•	Internet Explorer unter Windows Server 2003 wird standardmäßig in einem eingeschränkten Modus verwendet, der als verstärkte Sicherheitskonfiguration bezeichnet wird. Dadurch wird die Sicherheitsstufe für die Internetzone auf „Hoch“ gesetzt. Dies ist ein schadensbegrenzender Faktor für Websites, die nicht zu den vertrauenswürdigen Sites von Internet Explorer hinzugefügt wurden.

Allgemeine Informationen

Übersicht

Zweck dieser Sicherheitsempfehlung: Benachrichtigung über aktive, gezielte Angriffe, die das ActiveX-Steuerelement für den Snapshot Viewer für Microsoft Office Access 2000, Microsoft Office Access 2002 und Microsoft Office Access 2003 betreffen.

Status der Empfehlung: Die Empfehlung wurde veröffentlicht.

Empfehlung: Lesen Sie die Vorschläge und führen Sie die entsprechenden Maßnahmen durch.

Referenzen	Identifizierung
CERT-Referenz	VU#837785
CVE-Referenz	CVE-2008-2463

Diese Empfehlung betrifft die folgende Software.

Betroffene Software
Snapshot Viewer für Microsoft Access
Microsoft Office Access 2000
Microsoft Office Access 2002
Microsoft Office Access 2003

Top of section

Häufig gestellte Fragen (FAQs)

Was genau umfasst diese Empfehlung?
Microsoft ist bekannt, dass eine Sicherheitsanfälligkeit gemeldet wurde, die das ActiveX-Steuerelement für den Snapshot Viewer für Microsoft Access betrifft. Die betroffene Software ist im Abschnitt „Übersicht“ aufgelistet.

Ist dies eine Sicherheitsanfälligkeit, für die ein Sicherheitsupdate von Microsoft erforderlich ist?
Microsoft unternimmt entsprechende Schritte zum Schutz seiner Kunden. Dies kann ein Sicherheitsupdate im Rahmen unserer monatlichen Sicherheitsupdateveröffentlichungen, ein außerplanmäßiges Update oder zusätzliche Anweisungen umfassen, die Benutzern helfen sollen, sich zu schützen.

Wodurch wird diese Bedrohung verursacht?
Diese Bedrohung wird von einer Sicherheitsanfälligkeit im ActiveX-Steuerelement für Snapshot Viewer verursacht. Eine speziell gestaltete Website, die dazu konzipiert ist, das ActiveX-Steuerelement über Internet Explorer auszunutzen, kann Remotecodeausführung ermöglichen. Dies kann auch beeinträchtigte Websites sowie Websites umfassen, die von Benutzern bereitgestellte Inhalte oder Anzeigen akzeptieren oder hosten. Diese Websites können speziell gestalteten Inhalt enthalten, mit dem diese Sicherheitsanfälligkeit ausgenutzt werden könnte. Ein Angreifer kann Benutzer jedoch nicht zum Besuch solcher Websites zwingen. Er muss den Benutzer zu einem Besuch dieser Website verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, in einer E-Mail oder einer Instant Messenger-Anfrage auf einen Link zur Website des Angreifers zu klicken. Es besteht ebenfalls die Möglichkeit, manipulierten Webinhalt mithilfe von Bannerwerbungen anzuzeigen oder Webinhalt auf andere Weise an betroffene Systeme zu übermitteln.

Was ist der Snapshot Viewer für Microsoft Access?
Mithilfe des Snapshot Viewers können Sie einen Access-Berichtssnapshot anzeigen, ohne dass Sie über die Standard- oder Laufzeitversionen von Microsoft Office Access verfügen müssen.

Was ist ein Kill Bit?
Eine Sicherheitsfunktion in Internet Explorer verhindert, dass ein ActiveX-Steuerelement jemals von dem Internet Explorer HTML-Wiedergabemodul geladen werden kann. Dies wird erreicht, indem eine Registrierungseinstellung vorgenommen wird. Dieser Vorgang wird als „Setzen des Kill Bits“ bezeichnet. Nachdem das Kill Bit gesetzt wurde, kann das Steuerelement nie mehr geladen werden – auch dann nicht, wenn es vollständig installiert ist. Durch das Setzen des Kill Bits wird sichergestellt, dass eine gefährdete Komponente inaktiv und harmlos bleibt, selbst wenn sie in ein System eingeführt bzw. wieder eingeführt wird.

Weitere Informationen zu Kill Bits finden Sie im Microsoft Knowledge Base-Artikel 240797: So verhindern Sie die Ausführung eines ActiveX-Steuerelements in Internet Explorer.

Wenn ich das Steuerelement nicht installiert habe, sollte ich das Kill Bit dennoch setzen?
Ja. Durch Setzen des Kill Bits wird die Ausführung des anfälligen Steuerelements in Internet Explorer blockiert.

Wie kann ich feststellen, ob das Steuerelement installiert ist?
Es ist mindestens einer der folgenden Registrierungsschlüssel eingestellt:

HKEY_CLASSES_ROOT\CLSID\{F0E42D50-368C-11D0-AD81-00A0C90DC8D9}

HKEY_CLASSES_ROOT\CLSID\{F0E42D60-368C-11D0-AD81-00A0C90DC8D9}

HKEY_CLASSES_ROOT\CLSID\{F2175210-368C-11D0-AD81-00A0C90DC8D9}

Top of section

Empfohlene Maßnahmen

Problemumgehungen

Microsoft hat die folgenden Problemumgehungen getestet. Diese Problemumgehungen beheben nicht die zugrunde liegende Sicherheitsanfälligkeit, sondern blockieren nur die bekannten Angriffsmethoden. Wenn eine Problemumgehung die Funktionalität verringert, wird diese Einschränkung im entsprechenden Eintrag genannt.

•

Unterbinden der Ausführung von COM-Objekten in Internet Explorer

Sie können Versuche, eine Instanz eines COM-Objekts in Internet Explorer zu erstellen, unterbinden, indem Sie das Kill Bit für das Steuerelement in der Registrierung setzen.

Warnung: Eine fehlerhafte Verwendung des Registrierungs-Editors kann unter Umständen ernste Probleme verursachen, die eine erneute Installation des Betriebssystems erfordern können. Microsoft übernimmt keine Garantie dafür, dass Sie Probleme lösen können, die auf das fehlerhafte Verwenden des Registrierungs-Editors zurückzuführen sind. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko.

Weitere Informationen dazu, wie Sie verhindern können, dass ein Steuerelement in Internet Explorer ausgeführt wird, finden Sie im Microsoft Knowledge Base-Artikel 240797. Dieser Artikel enthält außerdem Anleitungen dazu, wie Sie einen Wert für Kompatibilitätskennzeichen in der Registrierung erstellen, um zu verhindern, dass eine Instanz des COM-Objekts in Internet Explorer erstellt wird.

Fügen Sie den folgenden Text in einen Texteditor, wie z. B. Notepad, ein. Speichern dann Sie die Datei mit der Dateinamenerweiterung .reg.

Windows Registrierungs-Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F0E42D50-368C-11D0-AD81-00A0C90DC8D9}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F0E42D60-368C-11D0-AD81-00A0C90DC8D9}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F2175210-368C-11D0-AD81-00A0C90DC8D9}]
"Compatibility Flags"=dword:00000400

Diese Registrierungsdatei kann auf die einzelnen Systeme angewendet werden, indem Sie darauf doppelklicken. Sie kann zudem mithilfe von Gruppenrichtlinien domänenübergreifend installiert werden. Weitere Informationen zu Gruppenrichtlinien finden Sie auf den folgenden Websites:

•	Gruppenrichtlinien-Sammlung
•	Was ist der Gruppenrichtlinienobjekt-Editor?
•	Wichtigste Gruppenrichtlinientools und -einstellungen

Hinweis: Sie müssen Internet Explorer neu starten, damit diese Änderungen wirksam werden.

Auswirkung der Problemumgehung: Das ActiveX-Steuerelement wird nicht mehr in Internet Explorer instanziiert. Benutzer, die dieses Steuerelement benötigen, um einen Berichtssnapshot anzuzeigen, ohne die Standard- oder Laufzeitversionen von Microsoft Office Access 97 bis Microsoft Office Access 2007 installiert zu haben, stellen möglicherweise fest, dass ihre Berichte nicht dargestellt werden, wenn sie das ActiveX-Steuerelement für Snapshot Viewer über Internet Explorer verwenden.

•

Konfigurieren Sie Internet Explorer zur Bestätigung der Ausführung von Active Scripting, oder deaktivieren Sie Active Scripting in der Internet- und der lokalen Intranet-Sicherheitszone

Sie können sich vor dieser Sicherheitsanfälligkeit schützen, indem Sie die Einstellungen so ändern, dass vor der Ausführung von Active Scripting eine Bestätigung verlangt wird. Sie können auch Active Scripting in der Internet- und lokalen Intranetzone deaktivieren. Führen Sie zu diesem Zweck die folgenden Schritte durch:

1.	Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen.
2.	Klicken Sie auf die Registerkarte Sicherheit.
3.	Klicken Sie auf Internet und dann auf Stufe anpassen.
4.	Klicken Sie unter Einstellungen im Abschnitt Scripting im Bereich Active Scripting auf Eingabeaufforderung oder Deaktivieren und dann auf OK.
5.	Klicken Sie auf Lokales Intranet und dann auf Stufe anpassen.
6.	Klicken Sie unter Einstellungen im Abschnitt Scripting im Bereich Active Scripting auf Eingabeaufforderung oder Deaktivieren und dann auf OK.
7.	Klicken Sie zweimal auf OK, um zu Internet Explorer zurückzukehren.

Hinweis: Durch das Deaktivieren von Active Scripting in der Internetzone und der lokalen Intranetzone funktionieren einige Websites eventuell nicht richtig. Wenn Sie nach der Änderung dieser Einstellung Probleme mit einer Website haben und überzeugt sind, dass die Website sicher ist, können Sie diese zur Liste vertrauenswürdiger Sites hinzufügen. Dann funktioniert die Website einwandfrei.

Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu

Nachdem Sie Internet Explorer so konfiguriert haben, dass vor der Ausführung von ActiveX-Steuerelementen und Active Scripting in der Internetzone und lokalen Intranetzone eine Bestätigung verlangt wird, können Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzufügen. Auf diese Weise können Sie vertrauenswürdige Websites wie zuvor weiterverwenden und sich gleichzeitig vor diesem Angriff von nicht vertrauenswürdigen Sites schützen. Microsoft empfiehlt, der Zone der vertrauenswürdigen Sites nur Sites hinzufügen, denen Sie vertrauen.

Führen Sie zu diesem Zweck die folgenden Schritte durch:

1.	Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen und dann auf die Registerkarte Sicherheit.
2.	Klicken Sie im Feld Wählen Sie eine Zone von Webinhalten aus, um die Sicherheitseinstellungen für diese Zone anzugeben auf Vertrauenswürdige Sites und anschließend auf Sites.
3.	Wenn Sie Sites hinzufügen möchten, die keinen verschlüsselten Kanal benötigen, deaktivieren Sie das Kontrollkästchen Für Sites dieser Zone ist eine Serverüberprüfung (https:) erforderlich.
4.	Geben Sie im Feld Diese Website der Zone hinzufügen die URL einer Site ein, der Sie vertrauen, und klicken Sie dann auf Hinzufügen.
5.	Wiederholen Sie diese Schritte für jede Site, die Sie der Zone hinzufügen möchten.
6.	Klicken Sie zweimal auf OK, um die Änderungen zu übernehmen und zu Internet Explorer zurückzukehren.

Hinweis: Fügen Sie alle Sites hinzu, bei denen Sie sicher sind, dass diese auf Ihrem Computer keine Schaden verursachenden Aktionen durchführen. Erwägen Sie insbesondere das Hinzufügen der Sites *.windowsupdate.microsoft.com und *.update.microsoft.com. Auf diesen Sites erhalten Sie das Update. Für die Installation des Updates ist ein ActiveX-Steuerelement erforderlich.

Auswirkung der Problemumgehung: Das Verlangen einer Bestätigung vor der Ausführung von Active Scripting ist mit Nebeneffekten verbunden. Zahlreiche Websites im Internet oder in einem Intranet setzen Active Scripting ein, um zusätzliche Funktionen bereitzustellen. Eine E-Commerce- oder eine Internetbankingsite kann z. B. mithilfe von Active Scripting Menüs, Bestellformulare oder sogar Abrechnungsdienste anbieten. Die Bestätigung vor der Ausführung von Active Scripting erfolgt global für alle Internet- und Intranetsites. Sie werden häufig um eine Bestätigung gebeten, wenn Sie diese Problemumgehung aktivieren. Klicken Sie in jeder Eingabeaufforderung auf Ja, um Active Scripting auszuführen, wenn Sie der Site vertrauen, die Sie besuchen. Wenn Sie nicht für jede Website eine Eingabeaufforderung erhalten möchten, verwenden Sie die Schrittfolge unter „Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu.“

•

Setzen Sie die Einstellungen der Internetzone und der lokalen Intranetzone auf „Hoch“, um vor der Ausführung von ActiveX-Steuerelementen und Active Scripting in diesen Zonen eine Bestätigung zu erhalten

Sie können sich vor dieser Sicherheitsanfälligkeit schützen, indem Sie die Einstellungen in der Internetsicherheitszone so ändern, dass vor der Ausführung von ActiveX-Steuerelementen und Active Scripting eine Bestätigung verlangt wird. Setzen Sie die Sicherheitseinstellungen Ihres Browsers auf Hoch.

So erhöhen Sie die Stufe der Browser-Sicherheit in Microsoft Internet Explorer:

1.	Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen.
2.	Klicken Sie im Dialogfeld Internetoptionen auf die Registerkarte Sicherheit und dann auf das Symbol Internet.
3.	Ziehen Sie den Gleitregler unter Sicherheitsstufe dieser Zone auf Hoch. Dadurch wird die Sicherheitsstufe für alle besuchten Websites auf Hoch gesetzt.

Hinweis: Wenn kein Gleitregler zu sehen ist, klicken Sie auf Standardstufe und ziehen Sie den Regler dann auf Hoch.

Hinweis: Bei der Sicherheitsstufe Hoch funktionieren einige Websites eventuell nicht richtig. Wenn Sie nach der Änderung dieser Einstellung Probleme mit einer Website haben und überzeugt sind, dass die Website sicher ist, können Sie diese zur Liste vertrauenswürdiger Sites hinzufügen. Dann funktioniert die Website selbst bei einer auf Hoch eingestellten Sicherheitsstufe einwandfrei.

Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu

Führen Sie zu diesem Zweck die folgenden Schritte durch:

1.	Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen und dann auf die Registerkarte Sicherheit.
2.	Klicken Sie im Feld Wählen Sie eine Zone von Webinhalten aus, um die Sicherheitseinstellungen für diese Zone anzugeben auf Vertrauenswürdige Sites und anschließend auf Sites.
3.	Wenn Sie Sites hinzufügen möchten, die keinen verschlüsselten Kanal benötigen, deaktivieren Sie das Kontrollkästchen Für Sites dieser Zone ist eine Serverüberprüfung (https:) erforderlich.
4.	Geben Sie im Feld Diese Website der Zone hinzufügen die URL einer Site ein, der Sie vertrauen, und klicken Sie dann auf Hinzufügen.
5.	Wiederholen Sie diese Schritte für jede Site, die Sie der Zone hinzufügen möchten.
6.	Klicken Sie zweimal auf OK, um die Änderungen zu übernehmen und zu Internet Explorer zurückzukehren.

Hinweis: Fügen Sie alle Sites hinzu, bei denen Sie sicher sind, dass diese auf Ihrem Computer keine Schaden verursachenden Aktionen durchführen. Erwägen Sie insbesondere das Hinzufügen der Sites *.windowsupdate.microsoft.com und *.update.microsoft.com. Auf diesen Sites erhalten Sie das Update. Für die Installation des Updates ist ein ActiveX-Steuerelement erforderlich.

Auswirkung der Problemumgehung: Das Verlangen einer Bestätigung vor der Ausführung von ActiveX-Steuerelementen und Active Scripting ist mit Nebeneffekten verbunden. Zahlreiche Websites im Internet oder in einem Intranet setzen ActiveX oder Active Scripting ein, um zusätzliche Funktionen bereitzustellen. Eine E-Commerce- oder eine Internetbankingsite kann z. B. mithilfe von ActiveX-Steuerelementen Menüs, Bestellformulare oder sogar Abrechnungsdienste anbieten. Die Bestätigung vor der Ausführung von ActiveX-Steuerelementen bzw. Active Scripting erfolgt global für alle Internet- und Intranetsites. Sie werden häufig um eine Bestätigung gebeten, wenn Sie diese Problemumgehung aktivieren. Klicken Sie bei jeder Eingabeaufforderung auf Ja, um ActiveX-Steuerelemente oder Active Scripting auszuführen, wenn Sie der Site vertrauen, die Sie besuchen. Wenn Sie nicht für jede Website eine Eingabeaufforderung erhalten möchten, verwenden Sie die Schrittfolge unter „Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu.“

Top of section

Ressourcen:

•	Sie können uns Ihr Feedback über das Formular auf der Microsoft-Website Hilfe und Support: Kontakt zukommen lassen.
•	Technischer Support ist in den USA und Kanada über die Microsoft Support Services erhältlich. Weitere Informationen zu verfügbaren Supportoptionen finden Sie auf der Microsoft-Website „Hilfe und Support“.
•	Kunden außerhalb der USA erhalten Support bei ihren regionalen Microsoft-Niederlassungen. Weitere Informationen dazu, wie Sie Microsoft in Bezug auf Supportfragen kontaktieren können, finden Sie auf der Website Internationale Hilfe und Support.
•	Auf der Microsoft-Website TechNet Sicherheit werden zusätzliche Informationen zur Sicherheit in Microsoft-Produkten zur Verfügung gestellt.

Haftungsausschluss:

Die Informationen in dieser Empfehlung werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für sie.

Revisionen:

•	7. Juli 2008: Die Empfehlung wurde veröffentlicht.

Zum Seitenanfang