Microsoft: Ärger mit Access nach November-2019-Sicherheitsupdates

  • Access

  • mad.de
  • 103 Aufrufe 0 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Microsoft: Ärger mit Access nach November-2019-Sicherheitsupdates

    Nach Installation der aktuellen Security-Updates scheitern Abfragen aus Access oftmals mit einem Fehler. Es gibt Workarounds; Updates sind geplant.

    Bereits kurz nach der Bereitstellung der November-2019-Sicherheitsupdates am vergangenen Dienstag ("Patch Tuesday") berichteten Nutzer von Problemen mit Access 2010-Datenbanken: Plötzlich sei der Zugriff gescheitert und Access habe die Fehlermeldung 03340 – "Abfrage [Name der Abfrage] ist beschädigt" – zurückgegeben.

    Später stellte sich heraus, dass Datenbankanfragen aus Access 2013 bis 2016 dieselben Probleme verursachen. Anwendungen, die die Laufzeitumgebungen der verschiedenen Access-Versionen für Datenbankabfragen verwenden, funktionieren ebenfalls nicht mehr. Einem Kommentar im Blog des Autors zufolge sind auch Lösungen von SAGE mit Access-2013-Runtime betroffen, selbst wenn diese auf SQL Server zugreifen.

    Sicherheitsfix verantwortlich, Korrektur-Updates geplant
    Die Vermutung, dass zwischen den frisch installierten Updates und dem Fehler ein Zusammenhang besteht, lag nahe. Mittlerweile hat Microsoft dies in einem Supportbeitrag bestätigt.

    Verantwortlich für den Fehler sind drei Sicherheitsupdates für die Schwachstelle CVE-2019-1402:
    - Office 2010: KB4484127
    - Office 2013: KB4484119
    - Office 2016: KB4484113

    Dem Supportbeitrag ist zu entnehmen, dass neben MSI-Installationen von Microsoft Office 2010 bis 2016 auch Click-2-Run-Installationen (C2R) von Office 2013 bis 2019 sowie Office 365 betroffen sind.

    Microsoft gibt an, dass für Office 365 und Office 2019 ein Korrektur-Update für den 24. November 2019 eingeplant sei. Alle anderen Office-Versionen erhalten das Update voraussichtlich zum 10. Dezember 2019.

    Offizieller Workaround von Microsoft
    Wer nach einer Problemlösung ohne Deinstallation des Schutzes vor CVE-2019-1402 sucht, kann Microsofts eigenen, im Supportbeitrag zum Fehler beschriebenen Workaround ausprobieren. Statt der direkten Aktualisierung einer Tabelle schlägt Microsoft darin einen Umweg vor: "The recommended workaround is to update the query so that it updates the results of another query, rather than updating a table directly." Im Beitrag nennt Redmond ein Beispiel zu dieser Vorgehensweise.

    Im Blog des Autors kritisieren Nutzer, dass dies bei fertigen Anwendungen mit Laufzeitumgebungen kaum zu bewältigen sei. Zudem seien diese Abfragen langsamer als die direkten Zugriffe auf die Tabelle. Weiterhin erscheine es in einigen Konstellationen ein unverhältnismäßiger Aufwand zu sein, den Workaround in einem Programm zu implementieren und in wenigen Wochen wieder zurückzunehmen.

    Update-Deinstallation als schnelle Abhilfe für Betroffene
    Betroffenen Anwendern bleibt aktuell als schnellste Lösung die – aus Security-Perspektive nur bedingt empfehlenswerte – Deinstallation der betreffenden Sicherheitsupdates aus der Liste der installierten Updates über die Systemsteuerung.

    Nach der Deinstallation berichteten Betroffene im Blog des Autors, dass die Abfragen wieder funktionierten. Andere beklagten allerdings, dass das Update gar nicht im Update-Verlauf gefunden wurde. In diesem Fall bleibt dann nur die Rückkehr auf einen Sicherungspunkt vor dem Patchday.

    Unter Windows 10 führt das Verteilen von Updates in nicht verwalteten Umgebungen unter Umständen dazu, dass das fehlerhafte Update nach der Deinstallation automatisch nachinstalliert wird. Dann bleibt als Notnagel, die Update-Installation zurückzustellen oder das Update (nach Microsofts Anleitung) mittels des Hilfstools "wushowhide.diagcab" auszublenden.

    In Windows 7/8.1 und den Server-Pendants lässt sich das Paket in Windows Update ausblenden und so von der weiteren Installation ausnehmen.

    Office-Version zurücksetzen in C2R-Installationen
    In Umgebungen mit C2R-Installationen von Office 365 oder Office 2013 bis 2019 gibt es solche Update-Pakete nicht. Betroffen sind dort Anwender, die die neueste Aktualisierung (beispielsweise 15.0.5189.1000 bei Office 2013) installiert haben. Dort lässt sich mit Befehlen wie:

    “C:\Program Files\Microsoft Office 15\ClientX64\OfficeC2RClient.exe” /update user updatetoversion=15.0.5179.1000

    zur vorherigen Office-Version zurückkehren. Der Befehl im Beispiel bezieht sich auf Office 2013. Microsoft hat zu diesem Thema einen Support-Beitrag mit weiteren Details veröffentlicht.

    Auf der Entwicklerplattform Stack Overflow hat ein Nutzer ein VBA-Script veröffentlicht, um das Rollback der problematischen Sicherheitsupdates für MSI- und C2R-Installationen automatisiert vorzunehmen. Ein weiteres Batch-Programm zum Rollback wurde im Blog des Artikelautors veröffentlicht. Die Nutzung erfolgt jeweils auf eigene Gefahr.

    Quelle: Microsoft: Ärger mit Access nach November-2019-Sicherheitsupdates | heise online


    Update: 19.11.2019

    Abfrageprobleme nach Updates: Microsoft fixt Fehler 3340 in Access 2016

    Microsoft hat früher als geplant begonnen, einen durch Sicherheitsupdates verursachten Access-Fehler zu beheben: Der Hotfix für Access 2016 ist fertig.

    Die zum Patch Tuesday am 12. November 2019 veröffentlichten Office-Sicherheitsupdates führten dazu, dass Access bei bestimmten Datenbankabfragen die Fehlermeldung "Abfrage [Name der Abfrage] ist beschädigt" zurücklieferte und die Operation verweigerte.

    Von diesem Fehler, den wir auch bei heise online thematisierten, waren alle Microsoft-Access-Versionen (sowohl MSI- als auch Click-to-Run-Installationen) sowie die Access-Laufzeitumgebungen betroffen. Firmen, die auf entsprechende Lösungen wie SAGE ERP, HK-Software oder ähnliche angewiesen waren, konnten die Software nicht mehr einsetzen. Administratoren sahen sich gezwungen, die Sicherheitsupdates vom 12. November 2019 als Notlösung zu deinstallieren.

    Microsoft hatte ursprünglich angekündigt, einen Fix für unterschiedliche Access-Versionen zum 24. November beziehungsweise zum 10. Dezember auszurollen. Das führte aber wohl zu enormen Protesten der Anwenderschaft, so dass Microsoft den Fix nun vorgezogen hat: Zumindest für Access 2016 ist er verfügbar.

    Update KB4484198 als Hotfix für Access 2016
    Zum 18. November 2019 hat Microsoft das Update KB4484198 als sogenannten Hotfix bereitgestellt. "Hotfix" bedeutet, dass dieses Update nicht per Windows Update verteilt wird, sondern von betroffenen Administratoren aus dem Microsoft Download Center manuell heruntergeladen und dann installiert werden muss.

    Der Fix ist unter den folgenden Download-Links verfügbar:

    - Update KB4484198 32-Bit Version (Office 2016) (*hier deaktiviert)
    - Update KB4484198 64-Bit Version (Office 2016)(*hier deaktiviert)

    Im Supportbeitrag zum Hotfix gibt Microsoft an, dass er den Access-Abfragefehler 3340f ür die MSI-Installationen von Microsoft Office 2016 beheben soll. Rückmeldungen, die der Autor dieser Meldung erhielt, bestätigen, dass der Hotfix hilft. Für den Fall der Fälle enthält der Supportbeitrag aber detaillierte Anweisungen, wie sich der Fix unter verschiedenen Windows-Versionen wieder deinstallieren lässt.

    Unschön ist, dass Microsoft diese Hotfix-Updates nicht direkt in verwalteten Umgebungen wie Windows Server Update Services (WSUS) oder System Center Configuration Manager (SCCM) verteilt.

    Fahrplan für weitere Fixes
    Inzwischen hat Microsoft auf seiner Supportseite für den Fehler die Tabelle mit Hinweisen, wann Bugfixes für die diversen Access-Versionen erscheinen sollen, kräftig überarbeitet. Für die MSI-Installationen gelten folgende geplante Freigabetermine für Fixes:

    - 18.11.2019: Access 2016 (Build 5189.4927) --> siehe KB4484198
    - 22.11.2019: Access 2010 (Build 7241.5001)
    - 22.11.2019: Access 2013 (Build 5189.1002)

    Click-to-Run-Termine
    Bei den Click-to-Run-Installationen von Office 365 und Office 2013-2019 sind offiziell die folgenden Termine für Fehlerbereinigungen vorgesehen:

    - 22.11.2019: Access für Office 365/Access 2016 C2R/Access 2019 (Version 1911) (Build 12228.20152)
    - 25.11.2019: Access für Office 365 Semi-Annual (1901)
    - 10.12.2019: Access 2019 Volumenlizenz (Build 10352.20054)

    Allerdings hat sich ein Betroffener, der nach eigenen Angaben Microsoft Office Professional Plus 2016 als Click-to-Run-Installation nutzt, im Blog des Autors zu Wort gemeldet. Er berichtet, dass die bisherige Build 12130.29344 mit dem Fehler am 19.11.2019 bei einer manuellen Update-Suche in Office auf die Build 12130.20390 angehoben worden sei. In dieser sei der Query-Fehler bereits nicht mehr vorhanden.

    Quelle: Abfrageprobleme nach Updates: Microsoft fixt Fehler 3340 in Access 2016 | heise online

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von mad.de ()