Abo
  • Services:

Sammel-Patch für Outlook Express behebt Sicherheitsloch

Schweres Sicherheitsleck in Outlook Express 5.5 und 6.0

Über eine schwere Sicherheitslücke in Outlook Express 5.5 und 6.0 berichtet Microsoft in einem aktuellen Security Bulletin. Über das Sicherheitsloch kann ein Angreifer beliebige Programme auf einem fremden System ausführen. Zur Abhilfe stellt Microsoft einen Sammel-Patch bereit, der auch frühere Sicherheitslecks in Outlook Express stopfen soll.

Artikel veröffentlicht am ,

Das Sicherheitsloch in Outlook Express 5.5 und 6.0 betrifft die Anzeige von MHTML-Inhalten, womit HTML-Inhalte in einer MIME-Kodierung versendet werden. MHTML-URLs lassen sich bei Bedarf über die Kommandozeile, den Windows Explorer oder mit dem Internet Explorer ausführen. Auch wenn MHTML-URLs mit dem Internet Explorer angezeigt werden können, befindet sich die entsprechende Routine nur in Outlook Express, die vom Browser verwendet wird.

Stellenmarkt
  1. ALTANA Management Services GmbH, Wesel
  2. über duerenhoff GmbH, Raum München

Die Sicherheitslücke im MHTML-URL-Handler sorgt dafür, dass eine beliebige als Text anzeigbare Datei im Internet Explorer angezeigt werden kann. Wenn eine entsprechend formatierte URL auf eine auf dem lokalen Rechner gespeicherte Textdatei verweist, wird dieses als HTML gerendert. Besitzt diese Datei Script-Befehle, werden diese in der lokalen Sicherheitszone des Rechners ausgeführt. Ein Angreifer kann die betreffende URL auf einer Webseite ablegen oder per E-Mail verbreiten und so Angriffe initiieren.

Liegt die URL auf einer Webseite, kann ein Angreifer Dateien auf dem lokalen Rechner lesen und auch ausführen. Verwendet man Outlook Express 6.0 und Outlook 2002 nicht in der Standard-Konfiguration sowie Outlook 98 oder 2000 ohne das rund zwei Jahre alte E-Mail-Security-Update, läuft ein Angriff automatisch ab, ohne dass der Anwender auf eine URL in einer E-Mail klicken muss. Wurde das E-Mail-Security-Update für Outlook 98 respektive 2000 installiert und läuft Outlook Express 6.0 und Outlook 2002 mit der Standard-Konfiguration, wird ein Angriff erst durch das manuelle Öffnen der URL ausgelöst. In beiden Fällen beschränken die Rechte des Angegriffenen die Privilegien des Angreifers.

Sofern der Sammel-Patch für den Internet Explorer vom Februar 2003 installiert wurde, kann ein Angreifer keine lokale Datei auf den betreffenden Rechner übertragen. Dieser Patch sorgt zudem dafür, dass ein Angreifer lediglich Anwendungen auf dem angegriffenen System ausführen kann - und das auch nur ohne die Übergabe von Parametern.

Microsoft bietet passende Patches für Outlook Express 5.5 mit Service Pack 2 sowie Outlook Express 6 mit und ohne Service Pack 1 unter anderem in deutscher Sprache zum Download an.



Anzeige
Top-Angebote
  1. 29,99€
  2. (bei PCs, Monitoren, Equipment & Co. sparen)
  3. 29,00€ inkl. Versand

Leo 24. Apr 2003

Ne, Donnerstag... sonst hätte ich ein Training verpaßt :D Aber wenigstens is hier das...

thoon 24. Apr 2003

hmm...ich weiss nicht wo Du "kululativ" her hast. Ich lese nur "Cumulative". Und das...

Grommit 24. Apr 2003

Der Patch wird bei MS als "kululativ" angeboten. Bin ich auch, meistens Freitag abends...


Folgen Sie uns
       


Gamescom 2018 - Vorbesprechung (Golem.de Live)

Die Golem.de-Redakteure Peter Steinlechner und Michael Wieczorek besprechen, was uns auf der Gamescom 2018 in Köln erwartet.

Gamescom 2018 - Vorbesprechung (Golem.de Live) Video aufrufen
Raumfahrt: Großbritannien will wieder in den Weltraum
Raumfahrt
Großbritannien will wieder in den Weltraum

Die Briten wollen eigene Raketen bauen und von Großbritannien aus starten. Ein Teil des Geldes dafür kommt auch von Investoren und staatlichen Investitionsfonds aus Deutschland.
Von Frank Wunderlich-Pfeiffer

  1. Raumfahrt Cubesats sollen unhackbar werden
  2. Landspace Chinesisches Raumfahrtunternehmen kündigt Raketenstart an
  3. Raumfahrt @Astro_Alex musiziert mit Kraftwerk

Always Connected PCs im Test: Das kann Windows 10 on Snapdragon
Always Connected PCs im Test
Das kann Windows 10 on Snapdragon

Noch keine Konkurrenz für x86-Notebooks: Die Convertibles mit Snapdragon-Chip und Windows 10 on ARM sind flott, haben LTE integriert und eine extrem lange Akkulaufzeit. Der App- und der Treiber-Support ist im Alltag teils ein Manko, aber nur eins der bisherigen Geräte überzeugt uns.
Ein Test von Marc Sauter und Oliver Nickel

  1. Miix 630 Lenovos ARM-Detachable kostet 1.000 Euro
  2. Qualcomm "Wir entwickeln dediziertes Silizium für Laptops"
  3. Windows 10 on ARM Microsoft plant 64-Bit-Support ab Mai 2018

Matebook X Pro im Test: Huaweis zweites Notebook ist klasse
Matebook X Pro im Test
Huaweis zweites Notebook ist klasse

Mit dem Matebook X Pro veröffentlicht Huawei sein zweites Ultrabook. Das schlanke Gerät überzeugt durch ein gutes Display, flotte Hardware samt dedizierter Grafikeinheit, clevere Kühlung und sinnvolle Anschlüsse. Nur die eigenwillig positionierte Webcam halten wir für fragwürdig.
Ein Test von Marc Sauter

  1. Android Huawei stellt zwei neue Tablets mit 10-Zoll-Displays vor
  2. Smartphones Huawei will Ende 2019 Nummer 1 werden
  3. Handelskrieg Huawei-Chef kritisiert Rückständigkeit in den USA

    •  /