• 0761 40137 0
  • info@netcons-gmbh.de
  • Bötzinger Strasse 29A, 79111 Freiburg

Microsoft: Ärger mit Access nach November-2019-Sicherheitsupdates

ncalert content
Nach Installation der aktuellen Security-Updates scheitern Abfragen aus Access oftmals mit einem Fehler. Es gibt Workarounds; Updates sind geplant.

Bereits kurz nach der Bereitstellung der November-2019-Sicherheitsupdates am vergangenen Dienstag ("Patch Tuesday") berichteten Nutzer von Problemen mit Access 2010-Datenbanken: Plötzlich sei der Zugriff gescheitert und Access habe die Fehlermeldung 03340 – "Abfrage [Name der Abfrage] ist beschädigt" – zurückgegeben.

Später stellte sich heraus, dass Datenbankanfragen aus Access 2013 bis 2016 dieselben Probleme verursachen. Anwendungen, die die Laufzeitumgebungen der verschiedenen Access-Versionen für Datenbankabfragen verwenden, funktionieren ebenfalls nicht mehr. Einem Kommentar im Blog des Autors zufolge sind auch Lösungen von SAGE mit Access-2013-Runtime betroffen, selbst wenn diese auf SQL Server zugreifen.

Die Vermutung, dass zwischen den frisch installierten Updates und dem Fehler ein Zusammenhang besteht, lag nahe. Mittlerweile hat Microsoft dies in einem Supportbeitrag bestätigt.

Verantwortlich für den Fehler sind drei Sicherheitsupdates für die Schwachstelle CVE-2019-1402:

Dem Supportbeitrag ist zu entnehmen, dass neben MSI-Installationen von Microsoft Office 2010 bis 2016 auch Click-2-Run-Installationen (C2R) von Office 2013 bis 2019 sowie Office 365 betroffen sind.

Microsoft gibt an, dass für Office 365 und Office 2019 ein Korrektur-Update für den 24. November 2019 eingeplant sei. Alle anderen Office-Versionen erhalten das Update voraussichtlich zum 10. Dezember 2019.

Wer nach einer Problemlösung ohne Deinstallation des Schutzes vor CVE-2019-1402 sucht, kann Microsofts eigenen, im Supportbeitrag zum Fehler beschriebenen Workaround ausprobieren. Statt der direkten Aktualisierung einer Tabelle schlägt Microsoft darin einen Umweg vor: "The recommended workaround is to update the query so that it updates the results of another query, rather than updating a table directly." Im Beitrag nennt Redmond ein Beispiel zu dieser Vorgehensweise.

Im Blog des Autors kritisieren Nutzer, dass dies bei fertigen Anwendungen mit Laufzeitumgebungen kaum zu bewältigen sei. Zudem seien diese Abfragen langsamer als die direkten Zugriffe auf die Tabelle. Weiterhin erscheine es in einigen Konstellationen ein unverhältnismäßiger Aufwand zu sein, den Workaround in einem Programm zu implementieren und in wenigen Wochen wieder zurückzunehmen.

Betroffenen Anwendern bleibt aktuell als schnellste Lösung die – aus Security-Perspektive nur bedingt empfehlenswerte – Deinstallation der betreffenden Sicherheitsupdates aus der Liste der installierten Updates über die Systemsteuerung.

Nach der Deinstallation berichteten Betroffene im Blog des Autors, dass die Abfragen wieder funktionierten. Andere beklagten allerdings, dass das Update gar nicht im Update-Verlauf gefunden wurde. In diesem Fall bleibt dann nur die Rückkehr auf einen Sicherungspunkt vor dem Patchday.

Unter Windows 10 führt das Verteilen von Updates in nicht verwalteten Umgebungen unter Umständen dazu, dass das fehlerhafte Update nach der Deinstallation automatisch nachinstalliert wird. Dann bleibt als Notnagel, die Update-Installation zurückzustellen oder das Update (nach Microsofts Anleitung) mittels des Hilfstools "wushowhide.diagcab" auszublenden.

In Windows 7/8.1 und den Server-Pendants lässt sich das Paket in Windows Update ausblenden und so von der weiteren Installation ausnehmen.

In Umgebungen mit C2R-Installationen von Office 365 oder Office 2013 bis 2019 gibt es solche Update-Pakete nicht. Betroffen sind dort Anwender, die die neueste Aktualisierung (beispielsweise 15.0.5189.1000 bei Office 2013) installiert haben. Dort lässt sich mit Befehlen wie:

“C:\Program Files\Microsoft Office 15\ClientX64\OfficeC2RClient.exe” /update user updatetoversion=15.0.5179.1000

zur vorherigen Office-Version zurückkehren. Der Befehl im Beispiel bezieht sich auf Office 2013. Microsoft hat zu diesem Thema einen Support-Beitrag mit weiteren Details veröffentlicht.

Auf der Entwicklerplattform Stack Overflow hat ein Nutzer ein VBA-Script veröffentlicht, um das Rollback der problematischen Sicherheitsupdates für MSI- und C2R-Installationen automatisiert vorzunehmen. Ein weiteres Batch-Programm zum Rollback wurde im Blog des Artikelautors veröffentlicht. Die Nutzung erfolgt jeweils auf eigene Gefahr.

Mehr zu den aktuellen Security- und November-2019-Update(s):

Update 20.11.19, 11:05: Es gibt nun doch schon (vorgezogene) Fixes für Access 2016.

 

Quelle: heise.de