Bereits kurz nach der Bereitstellung der November-2019-Sicherheitsupdates am vergangenen Dienstag ("Patch Tuesday") berichteten Nutzer von Problemen mit Access 2010-Datenbanken: Plötzlich sei der Zugriff gescheitert und Access habe die Fehlermeldung 03340 – "Abfrage [Name der Abfrage] ist beschädigt" – zurückgegeben.

Später stellte sich heraus, dass Datenbankanfragen aus Access 2013 bis 2016 dieselben Probleme verursachen. Anwendungen, die die Laufzeitumgebungen der verschiedenen Access-Versionen für Datenbankabfragen verwenden, funktionieren ebenfalls nicht mehr. Einem Kommentar im Blog des Autors zufolge sind auch Lösungen von SAGE mit Access-2013-Runtime betroffen, selbst wenn diese auf SQL Server zugreifen.

Sicherheitsfix verantwortlich, Korrektur-Updates geplant

Die Vermutung, dass zwischen den frisch installierten Updates und dem Fehler ein Zusammenhang besteht, lag nahe. Mittlerweile hat Microsoft dies in einem Supportbeitrag bestätigt.

So sieht die englischsprachige Variante des Zugriffsfehlers aus. (Bild: Microsoft)

Verantwortlich für den Fehler sind drei Sicherheitsupdates für die Schwachstelle CVE-2019-1402:

Office 2010: KB4484127

Office 2013: KB4484119

Office 2016: KB4484113

Dem Supportbeitrag ist zu entnehmen, dass neben MSI-Installationen von Microsoft Office 2010 bis 2016 auch Click-2-Run-Installationen (C2R) von Office 2013 bis 2019 sowie Office 365 betroffen sind.

Microsoft gibt an, dass für Office 365 und Office 2019 ein Korrektur-Update für den 24. November 2019 eingeplant sei. Alle anderen Office-Versionen erhalten das Update voraussichtlich zum 10. Dezember 2019.

Offizieller Workaround von Microsoft

Wer nach einer Problemlösung ohne Deinstallation des Schutzes vor CVE-2019-1402 sucht, kann Microsofts eigenen, im Supportbeitrag zum Fehler beschriebenen Workaround ausprobieren. Statt der direkten Aktualisierung einer Tabelle schlägt Microsoft darin einen Umweg vor: "The recommended workaround is to update the query so that it updates the results of another query, rather than updating a table directly." Im Beitrag nennt Redmond ein Beispiel zu dieser Vorgehensweise.

Im Blog des Autors kritisieren Nutzer, dass dies bei fertigen Anwendungen mit Laufzeitumgebungen kaum zu bewältigen sei. Zudem seien diese Abfragen langsamer als die direkten Zugriffe auf die Tabelle. Weiterhin erscheine es in einigen Konstellationen ein unverhältnismäßiger Aufwand zu sein, den Workaround in einem Programm zu implementieren und in wenigen Wochen wieder zurückzunehmen.

Betroffenen Anwendern bleibt aktuell als schnellste Lösung die – aus Security-Perspektive nur bedingt empfehlenswerte – Deinstallation der betreffenden Sicherheitsupdates aus der Liste der installierten Updates über die Systemsteuerung.

Nach der Deinstallation berichteten Betroffene im Blog des Autors, dass die Abfragen wieder funktionierten. Andere beklagten allerdings, dass das Update gar nicht im Update-Verlauf gefunden wurde. In diesem Fall bleibt dann nur die Rückkehr auf einen Sicherungspunkt vor dem Patchday.

Unter Windows 10 führt das Verteilen von Updates in nicht verwalteten Umgebungen unter Umständen dazu, dass das fehlerhafte Update nach der Deinstallation automatisch nachinstalliert wird. Dann bleibt als Notnagel, die Update-Installation zurückzustellen oder das Update (nach Microsofts Anleitung) mittels des Hilfstools "wushowhide.diagcab" auszublenden.

In Windows 7/8.1 und den Server-Pendants lässt sich das Paket in Windows Update ausblenden und so von der weiteren Installation ausnehmen.

Office-Version zurücksetzen in C2R-Installationen

In Umgebungen mit C2R-Installationen von Office 365 oder Office 2013 bis 2019 gibt es solche Update-Pakete nicht. Betroffen sind dort Anwender, die die neueste Aktualisierung (beispielsweise 15.0.5189.1000 bei Office 2013) installiert haben. Dort lässt sich mit Befehlen wie:

“C:\Program Files\Microsoft Office 15\ClientX64\OfficeC2RClient.exe” /update user updatetoversion=15.0.5179.1000

zur vorherigen Office-Version zurückkehren. Der Befehl im Beispiel bezieht sich auf Office 2013. Microsoft hat zu diesem Thema einen Support-Beitrag mit weiteren Details veröffentlicht.

Auf der Entwicklerplattform Stack Overflow hat ein Nutzer ein VBA-Script veröffentlicht, um das Rollback der problematischen Sicherheitsupdates für MSI- und C2R-Installationen automatisiert vorzunehmen. Ein weiteres Batch-Programm zum Rollback wurde im Blog des Artikelautors veröffentlicht. Die Nutzung erfolgt jeweils auf eigene Gefahr.

