Sicherheitslecks im Internet Explorer und in Outlook Express

Microsoft bietet ab sofort einen Patch an, der das in Outlook Express 5.5 sowie 6.0 steckende Sicherheitsleck schließen soll. Systeme mit Windows XP Service Pack 2, XP x64 Edition sowie Windows Server 2003 betrifft das Problem nicht.

Durch ein Sicherheitsloch in der Komponente Outlook Web Access vom Exchange Server 5.5 werden HTML-Inhalte nicht ordnungsgemäß geprüft, wie das Sicherheitsunternehmen iDefense ebenfalls herausgefunden und im April 2005 an Microsoft gemeldet hat. Über das Sicherheitsleck kann ein Angreifer über eine Cross-Site-Scripting-Lücke beliebigen HTML- oder Script-Code ausführen, sofern E-Mails über Outlook Web Access angezeigt werden und der verwendete E-Mail-Client die Rendering Engine des Internet Explorer verwendet. Microsoft stuft die Gefährdung als hoch ein, zumal sich darüber auch vertrauliche Daten ausspähen lassen.

Ein Patch für den Exchange Server 5.5 mit installiertem Service Pack 4 steht ab sofort kostenlos zum Download bereit. Andere Versionen vom Exchange Server sind nach Herstellerangaben nicht betroffen.

Für alle aus der Ferne ausnutzbaren Sicherheitslecks gilt, dass im Falle einer Ausführung von Programmcode diese mit den Rechten des angemeldeten Nutzers erfolgt und sich ein Angreifer darüber eine umfassende Kontrolle über ein fremdes System verschaffen kann. Da zahlreiche E-Mail-Clients die Rendering Engine des Internet Explorer für die Anzeige von HTML-Inhalten verwenden, können Angriffe auch via E-Mail-Client erfolgen, so dass man durch Öffnen einer HTML-E-Mail Opfer eines Angriffs werden kann.

Alle genannten Sicherheits-Patches stehen unter den genannten Links als Download zur Verfügung oder können via Update-Funktion installiert werden.