Abo
  • Services:

Sammel-Patch für Outlook Express behebt Sicherheitsloch

Schweres Sicherheitsleck in Outlook Express 5.5 und 6.0

Über eine schwere Sicherheitslücke in Outlook Express 5.5 und 6.0 berichtet Microsoft in einem aktuellen Security Bulletin. Über das Sicherheitsloch kann ein Angreifer beliebige Programme auf einem fremden System ausführen. Zur Abhilfe stellt Microsoft einen Sammel-Patch bereit, der auch frühere Sicherheitslecks in Outlook Express stopfen soll.

Artikel veröffentlicht am ,

Das Sicherheitsloch in Outlook Express 5.5 und 6.0 betrifft die Anzeige von MHTML-Inhalten, womit HTML-Inhalte in einer MIME-Kodierung versendet werden. MHTML-URLs lassen sich bei Bedarf über die Kommandozeile, den Windows Explorer oder mit dem Internet Explorer ausführen. Auch wenn MHTML-URLs mit dem Internet Explorer angezeigt werden können, befindet sich die entsprechende Routine nur in Outlook Express, die vom Browser verwendet wird.

Stellenmarkt
  1. BWI GmbH, Bonn, Köln
  2. über duerenhoff GmbH, Raum Leonberg

Die Sicherheitslücke im MHTML-URL-Handler sorgt dafür, dass eine beliebige als Text anzeigbare Datei im Internet Explorer angezeigt werden kann. Wenn eine entsprechend formatierte URL auf eine auf dem lokalen Rechner gespeicherte Textdatei verweist, wird dieses als HTML gerendert. Besitzt diese Datei Script-Befehle, werden diese in der lokalen Sicherheitszone des Rechners ausgeführt. Ein Angreifer kann die betreffende URL auf einer Webseite ablegen oder per E-Mail verbreiten und so Angriffe initiieren.

Liegt die URL auf einer Webseite, kann ein Angreifer Dateien auf dem lokalen Rechner lesen und auch ausführen. Verwendet man Outlook Express 6.0 und Outlook 2002 nicht in der Standard-Konfiguration sowie Outlook 98 oder 2000 ohne das rund zwei Jahre alte E-Mail-Security-Update, läuft ein Angriff automatisch ab, ohne dass der Anwender auf eine URL in einer E-Mail klicken muss. Wurde das E-Mail-Security-Update für Outlook 98 respektive 2000 installiert und läuft Outlook Express 6.0 und Outlook 2002 mit der Standard-Konfiguration, wird ein Angriff erst durch das manuelle Öffnen der URL ausgelöst. In beiden Fällen beschränken die Rechte des Angegriffenen die Privilegien des Angreifers.

Sofern der Sammel-Patch für den Internet Explorer vom Februar 2003 installiert wurde, kann ein Angreifer keine lokale Datei auf den betreffenden Rechner übertragen. Dieser Patch sorgt zudem dafür, dass ein Angreifer lediglich Anwendungen auf dem angegriffenen System ausführen kann - und das auch nur ohne die Übergabe von Parametern.

Microsoft bietet passende Patches für Outlook Express 5.5 mit Service Pack 2 sowie Outlook Express 6 mit und ohne Service Pack 1 unter anderem in deutscher Sprache zum Download an.



Anzeige
Blu-ray-Angebote
  1. (u. a. John Wick, Sicario, Deepwater Horizon, Die große Asterix Edition, Die Tribute von Panem)
  2. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)

Leo 24. Apr 2003

Ne, Donnerstag... sonst hätte ich ein Training verpaßt :D Aber wenigstens is hier das...

thoon 24. Apr 2003

hmm...ich weiss nicht wo Du "kululativ" her hast. Ich lese nur "Cumulative". Und das...

Grommit 24. Apr 2003

Der Patch wird bei MS als "kululativ" angeboten. Bin ich auch, meistens Freitag abends...


Folgen Sie uns
       


Sky Ticket TV-Stick im Test

Wir haben den Sky Ticket TV Stick getestet. Der Streamingstick mit Fernbedienung bringt Sky Ticket auf den Fernseher, wenn dieser den Streamingdienst des Pay-TV-Anbieters nicht unterstützt. Auf dem Stick läuft das aktuelle Sky Ticket, das im Vergleich zur Vorgängerversion erheblich verbessert wurde. Den Sky Ticket TV gibt es quasi kostenlos, weil dieser nur zusammen mit passenden Sky-Ticket-Abos im Wert von 30 Euro angeboten wird.

Sky Ticket TV-Stick im Test Video aufrufen
Life is Strange 2 im Test: Interaktiver Road-Movie-Mystery-Thriller
Life is Strange 2 im Test
Interaktiver Road-Movie-Mystery-Thriller

Keine heile Teenagerwelt mit Partys und Liebeskummer: Allein in den USA der Trump-Ära müssen zwei Brüder mit mexikanischen Wurzeln in Life is Strange 2 nach einem mysteriösen Unfall überleben. Das Adventure ist bewegend und spannend - trotz eines grundsätzlichen Problems.
Von Peter Steinlechner

  1. Adventure Leisure Suit Larry landet im 21. Jahrhundert

Athlon 200GE im Test: Celeron und Pentium abgehängt
Athlon 200GE im Test
Celeron und Pentium abgehängt

Mit dem Athlon 200GE belebt AMD den alten CPU-Markennamen wieder: Der Chip gefällt durch seine Zen-Kerne und die integrierte Vega-Grafikeinheit, die Intel-Konkurrenz hat dem derzeit preislich wenig entgegenzusetzen.
Ein Test von Marc Sauter

  1. AMD Threadripper erhalten dynamischen NUMA-Modus
  2. HP Elitedesk 705 Workstation Edition Minitower mit AMD-CPU startet bei 680 Euro
  3. Ryzen 5 2600H und Ryzen 7 2800H 45-Watt-CPUs mit Vega-Grafik für Laptops sind da

Pixel 3 und Pixel 3 XL im Hands on: Googles Smartphones mit verbesserten Kamerafunktionen
Pixel 3 und Pixel 3 XL im Hands on
Googles Smartphones mit verbesserten Kamerafunktionen

Google hat das Pixel 3 und das Pixel 3 XL vorgestellt. Bei beiden neuen Smartphones legt das Unternehmen besonders hohen Wert auf die Kamerafunktionen. Mit viel Software-Raffinessen sollen gute Bilder auch unter widrigen Umständen entstehen. Die ersten Eindrücke sind vielversprechend.
Ein Hands on von Ingo Pakalski

  1. BQ Aquaris X2 Pro im Hands on Ein gelungenes Gesamtpaket mit Highend-Funktionen

    •  /