Hier die erhaltene Info

---------------------------------------------
KURZINFORMATION ZU SCHWACHSTELLEN UND SICHERHEITSLUECKEN

ID: CB-K08/0394
Titel: Schwachstelle im 'Snapshot Viewer for Microsoft Access'
ActiveX Control ermoeglicht Codeausfuehrung
Datum: 08.07.2008
Software: Snapshot Viewer for Microsoft Access
Version: Microsoft Office Access 2000, Office Access 2002,
Office Access 2003
Plattform: Microsoft Windows
Auswirkung: Ausfuehren beliebigen Programmcodes
Remoteangriff: Ja
Risiko: hoch
Bezug: <http://www.microsoft.com/technet/security/advisory/955
179.mspx>

################################################## ####################

CVE-2008-2463

Eine Schwachstelle im ActiveX Steuerelement 'Snapshot Viewer for Microsoft Access' ermoeglicht einem entfernten Angreifer durch Gestaltung einer manipulierten Webseite Code auf ein Opfersystem zu schleusen und im Kontext des angemeldeten Benutzers auszufuehren. Ist der Benutzer mit administrativen Rechten angemeldet, so ist die vollstaendige Kompromittierung des Opfersystems moeglich.

Weitere Informationen zu der Schwachstelle sowie moegliche Workaround-Massnahmen entnehmen Sie bitte folgenden Quellen:

[1] <http://www.microsoft.com/technet/security/advisory/955179.mspx>
[2] <http://securitytracker.com/alerts/2008/Jul/1020433.html>
[3] <http://www.securityfocus.com/bid/30114>
[4] <http://secunia.com/advisories/30883/>


Mit freundlichen Gruessen
das Team CERT-Bund

================================================== ===============
BSI - Bundesamt fuer Sicherheit in der Informationstechnik
Referat 121 -- CERT-Bund

Telefon +49-228-9582-5110 / FAX +49-228-9582-5427
<mailto:certbund@bsi.bund.de> / <http://www.bsi.bund.de> ================================================== ===============

================================================== =====================
Hinweise zum Abmeldeverfahren dieser Mailingliste gibt es auf den Seiten des CERT-Bund <http://www.bsi.de/certbund/infodienst/>

Die Authentizitaet dieser Nachricht kann anhand der digitalen Signatur ueberprueft werden. Die hierfuer zum Einsatz kommenden oeffentlichen Schluessel sowie die Verfahren sind auf den Seiten des CERT-Bund <http://www.bsi.de/certbund/digsig/> aufgefuehrt und erlaeutert.

HINWEIS:

Die Inhalte dieser Meldung repraesentieren den Kenntnisstand des BSI zum Zeitpunkt der Versendung. Eine Haftung fuer eventuelle Schaeden oder Konsequenzen, die durch die direkte oder indirekte Nutzung der Inhalte entstehen, wird ausgeschlossen.
Diese Meldung kann unter Einhaltung des Urheberrechts im vollstaendigen Wortlaut, ohne Aenderungen und mit BSI-Copyright-Informationen kopiert und fuer den persoenlichen und privaten Gebrauch weitergeleitet werden.
Eine kommerzielle Nutzung ist ausdruecklich untersagt.

-------------------------------------