Et sikkerhedshul i ActiveX-objektet til Snapshot Viewer til Microsoft Access er fundet. Snapshot Viewer giver brugere adgang til at se Microsoft Access-rapporter uden at have hele databaseprogrammet installeret.
Derudover har man nu opdaget, at det også giver mulighed for, at programmet kan give en angriber samme adgang til computeren, som den person der bruger den. Det skriver Bill Sisk, en Microsoft talsmand i et blogindlæg
Den udsatte ActiveX-kontrol følger med den gratis Snapshow Viewer, samt alle understøttede udgaver af Access bortset fra den nyeste Access 2007.
Det vil sige, at hvis en bruger går ind på en side, der er forberedt til at udnytte sikkerhedshullet, så vil personen bag siden kunne opnå adgang til brugerens computer. Hvis brugeren er administrator vil angrebet give administratorrettigheder, og eftersom standardbrugeren i Windows-installationer er administrator kan mange risikere netop det.
Er du sikker?
Problemet forværres af, at man ikke behøver have Microsoft Access eller Snapshot Viewer installeret i forvejen. Fordi det sårbare ActiveX-objekt er signeret af Microsoft, kan brugere, der har indstillet Internet Explorer til automatisk at acceptere kode, der er signeret af Microsoft hente programmet i baggrunden.
Derefter en angriber kan udnytte svagheden. Fortæller Matthew Richard, chef for Verisign's iDefense Rapid Response Team til Computerworld News Service.
I blogindlægget opfordres alle brugere til at tage en række manuelle forholdsregler, for at mindske risikoen for at blive ramt af et angreb, der gør brug af sikkerhedshullet.
Blandt forholdsreglerne er en ændring i Windows’ registreringsdatabase, at sætte Internet Explorer op til at spørge inden den kører Active Scripting og at tilføje sider man stoler på til listen over betroede sider i Internet Explorer.
Læs mere om sikkerhedshullet og om de forholdsregler, du kan tage, indtil Microsoft finder en løsning på problemet.