• IT-Karriere:
  • Services:

Sammel-Patch für Outlook Express behebt Sicherheitsloch

Schweres Sicherheitsleck in Outlook Express 5.5 und 6.0

Über eine schwere Sicherheitslücke in Outlook Express 5.5 und 6.0 berichtet Microsoft in einem aktuellen Security Bulletin. Über das Sicherheitsloch kann ein Angreifer beliebige Programme auf einem fremden System ausführen. Zur Abhilfe stellt Microsoft einen Sammel-Patch bereit, der auch frühere Sicherheitslecks in Outlook Express stopfen soll.

Artikel veröffentlicht am ,

Das Sicherheitsloch in Outlook Express 5.5 und 6.0 betrifft die Anzeige von MHTML-Inhalten, womit HTML-Inhalte in einer MIME-Kodierung versendet werden. MHTML-URLs lassen sich bei Bedarf über die Kommandozeile, den Windows Explorer oder mit dem Internet Explorer ausführen. Auch wenn MHTML-URLs mit dem Internet Explorer angezeigt werden können, befindet sich die entsprechende Routine nur in Outlook Express, die vom Browser verwendet wird.

Stellenmarkt
  1. Schaeffler Technologies AG & Co. KG, Nürnberg
  2. Fresenius Kabi Deutschland GmbH, Oberursel

Die Sicherheitslücke im MHTML-URL-Handler sorgt dafür, dass eine beliebige als Text anzeigbare Datei im Internet Explorer angezeigt werden kann. Wenn eine entsprechend formatierte URL auf eine auf dem lokalen Rechner gespeicherte Textdatei verweist, wird dieses als HTML gerendert. Besitzt diese Datei Script-Befehle, werden diese in der lokalen Sicherheitszone des Rechners ausgeführt. Ein Angreifer kann die betreffende URL auf einer Webseite ablegen oder per E-Mail verbreiten und so Angriffe initiieren.

Liegt die URL auf einer Webseite, kann ein Angreifer Dateien auf dem lokalen Rechner lesen und auch ausführen. Verwendet man Outlook Express 6.0 und Outlook 2002 nicht in der Standard-Konfiguration sowie Outlook 98 oder 2000 ohne das rund zwei Jahre alte E-Mail-Security-Update, läuft ein Angriff automatisch ab, ohne dass der Anwender auf eine URL in einer E-Mail klicken muss. Wurde das E-Mail-Security-Update für Outlook 98 respektive 2000 installiert und läuft Outlook Express 6.0 und Outlook 2002 mit der Standard-Konfiguration, wird ein Angriff erst durch das manuelle Öffnen der URL ausgelöst. In beiden Fällen beschränken die Rechte des Angegriffenen die Privilegien des Angreifers.

Sofern der Sammel-Patch für den Internet Explorer vom Februar 2003 installiert wurde, kann ein Angreifer keine lokale Datei auf den betreffenden Rechner übertragen. Dieser Patch sorgt zudem dafür, dass ein Angreifer lediglich Anwendungen auf dem angegriffenen System ausführen kann - und das auch nur ohne die Übergabe von Parametern.

Microsoft bietet passende Patches für Outlook Express 5.5 mit Service Pack 2 sowie Outlook Express 6 mit und ohne Service Pack 1 unter anderem in deutscher Sprache zum Download an.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (aktuell u. a. Hasbro Nerf Laser Ops für 21,99€, HP X27i Gaming-Monitor 339€, AK Racing Gaming...
  2. (aktuell u. a. Blade Hawks RGB Gaming-Mauspad für 20,90€, Vooe Powerbank 26.800 mAh für 21...
  3. (u. a. Samsung UE65RU8009UXZG für 677€, Huawei Medipad T5 für 159€, Lenovo Idealpad L340 für...
  4. (aktuell u. a. 20 Prozent Direktabzug auf alles von Roccat & Speedlink)

Leo 24. Apr 2003

Ne, Donnerstag... sonst hätte ich ein Training verpaßt :D Aber wenigstens is hier das...

thoon 24. Apr 2003

hmm...ich weiss nicht wo Du "kululativ" her hast. Ich lese nur "Cumulative". Und das...

Grommit 24. Apr 2003

Der Patch wird bei MS als "kululativ" angeboten. Bin ich auch, meistens Freitag abends...


Folgen Sie uns
       


Eichrechtskonforme Ladesäule von Allego getestet

Spezielle Module erlauben eine eichrechtskonforme Nutzung von Ladesäulen. Doch sie stellen ein Sicherheitsrisiko dar.

Eichrechtskonforme Ladesäule von Allego getestet Video aufrufen
Alternatives Android im Test: /e/ will Google ersetzen
Alternatives Android im Test
/e/ will Google ersetzen

Wie Google, nur mit Privatsphäre - /e/ verbindet ein alternatives Android mit Cloudfunktionen und einer Suchmaschine.
Ein Test von Moritz Tremmel


    Star Trek - Der Film: Immer Ärger mit Roddenberry
    Star Trek - Der Film
    Immer Ärger mit Roddenberry

    Verworfene Drehbücher, unzufriedene Paramount-Chefs und ein zögerlicher Spock: Dass der erste Star-Trek-Film vor 40 Jahren schließlich doch in die Kinos kam, grenzt an ein Wunder. Dass er schön aussieht, noch mehr.
    Von Peter Osteried

    1. Machine Learning Fan überarbeitet Star Trek Voyager in 4K
    2. Star Trek - Picard Hasenpizza mit Jean-Luc
    3. Star Trek Voyager Starke Frauen und schwache Gegner

    CPU-Fertigung: Intel hat ein Netburst-Déjà-vu
    CPU-Fertigung
    Intel hat ein Netburst-Déjà-vu

    Über Jahre hinweg Takt und Kerne ans Limit treiben - das wurde Intel einst schon beim Pentium 4 zum Verhängnis.
    Eine Analyse von Marc Sauter

    1. Maxlinear Intel verkauft Konzernbereich
    2. Comet Lake H Intel geht den 5-GHz-Weg
    3. Security Das Intel-ME-Chaos kommt

      •  /