Abo
  • Services:
Anzeige

Sicherheitsleck in Outlook 2002 gestattet Programmausführung

Sicherheitsloch umgeht Sicherheitszonen-Modell des Internet Explorer

Im Zuge des monatlichen Patch-Days für den März 2004 wurde ein schweres Sicherheitsloch in Outlook 2002 bekannt, das einem Angreifer die Ausführung von Script-Code erlaubt. Darüber kann man auf beliebige Dateien mit den Rechten des angemeldeten Nutzers zugreifen sowie beliebigen Code ausführen, sobald das Opfer eine präparierte Webseite oder HTML-E-Mail liest. Microsoft bietet einen Patch zur Abhilfe des Problems an.

Das Sicherheitsleck in Outlook 2002 betrifft die Analyse von mailto-URLs, die falsch erkannt werden, so dass sich darüber Script-Code über den Internet Explorer in der lokalen Sicherheitszone ausführen lässt. Zur Ausnutzung des Sicherheitslochs muss ein Angreifer lediglich eine entsprechend formatierte HTML-E-Mail versenden oder das Opfer zum Besuch einer präparierten Webseite bewegen.

Anzeige

Bereits die Anzeige einer solchen HTML-E-Mail oder Webseite genügt, damit ein Angreifer Zugriff auf lokale Dateien erhält oder Code mit den Rechten des angemeldeten Nutzers ausführen kann. Opfer einer solchen Attacke kann nur werden, wer Outlook 2002 als Standard-E-Mail-Applikation unter Windows eingerichtet und zusätzlich die Heute-Ansicht als Ordnerstandard-Homepage aktiviert hat.

Microsoft bietet einen Patch für Outlook 2002 kostenlos zum Download an. Outlook 2002 wird als separates Produkt angeboten, ist aber auch Bestandteil von Office XP.

Am Patch-Day im März 2004 veröffentlichte Microsoft zudem zwei weitere Patches zu Sicherheitslücken im MSN Messenger und Windows 2000 Server.

Nachtrag vom 11. März 2004:
Microsoft hat einige Angaben zur Gefährlichkeit des Sicherheitslochs überarbeitet, worüber ein separater Artikel aufklärt.


eye home zur Startseite
Blindside 12. Mär 2004

seeehr Übersichtlich, normalerweise ist >> ein Re:Re: Wenn der Mensch keine Emotionen...

Ozzy 11. Mär 2004

Im Prinzip hätten sich doch Deine Äußerungen erübrigt, wenn Du den Original-Artikel...

Blindside 11. Mär 2004

Das war die einzigste Aussage die wirklich von mir stammt - und die bezog sich auf ein...

Blindside 11. Mär 2004

Wenn du bitte damit aufhören würdest tatsächliche Aussagen von mir mit fremden Aussagen...

Ozzy 10. Mär 2004

Das sagt doch alles ! Ich muss doch nicht als Administrator oder Hauptbenutzer meine E...



Anzeige

Stellenmarkt
  1. SSI Schäfer IT Solutions GmbH, Oberviechtach bei Weiden
  2. Robert Bosch GmbH, Reutlingen, Dresden
  3. HUGO BRENNENSTUHL GMBH & CO KOMMANDITGESELLSCHAFT, Tübingen-Pfrondorf
  4. Robert Bosch GmbH, Abstatt


Anzeige
Blu-ray-Angebote
  1. (u. a. Arrow, Pretty Little Liars, The Big Bang Theory, The 100)
  2. (u. a. Hacksaw Ridge, Lion, Snowden, Lone Survivor, London Has Fallen, Homefront)
  3. 27,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Unternehmen

    1&1 Versatel bietet Gigabit für Frankfurt

  2. Microsoft

    Xbox One emuliert 13 Xbox-Klassiker

  3. DMT Bonding

    Telekom probiert 1 GBit/s ohne Glasfaser aus

  4. Telekom-Software

    Cisco kauft Broadsoft für knapp 2 Milliarden US-Dollar

  5. Pubg

    Die blaue Zone verursacht künftig viel mehr Schaden

  6. FSFE

    "War das Scheitern von Limux unsere Schuld?"

  7. Code-Audit

    Kaspersky wirbt mit Transparenzinitiative um Vertrauen

  8. iOS 11+1+2=23

    Apple-Taschenrechner versagt bei Kopfrechenaufgaben

  9. Purism Librem 13 im Test

    Freiheit hat ihren Preis

  10. Andy Rubin

    Drastischer Preisnachlass beim Essential Phone



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
ZFS ausprobiert: Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
ZFS ausprobiert
Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
  1. Librem 5 Purism zeigt Funktionsprototyp für freies Linux-Smartphone
  2. Pipewire Fedora bekommt neues Multimedia-Framework
  3. Linux-Desktops Gnome 3.26 räumt die Systemeinstellungen auf

Verschlüsselung: Niemand hat die Absicht, TLS zu knacken
Verschlüsselung
Niemand hat die Absicht, TLS zu knacken
  1. RSA-Sicherheitslücke Infineon erzeugt Millionen unsicherer Krypto-Schlüssel
  2. TLS-Zertifikate Zertifizierungsstellen müssen CAA-Records prüfen
  3. Certificate Transparency Webanwendungen hacken, bevor sie installiert sind

Zotac Zbox PI225 im Test: Der Kreditkarten-Rechner
Zotac Zbox PI225 im Test
Der Kreditkarten-Rechner

  1. Re: Günstiger?

    Ovaron | 06:11

  2. Re: Problem = Nutzer

    matzems | 06:08

  3. Re: Wer könnte jetzt auf Linux migrieren?

    hum4n0id3 | 06:05

  4. Re: Darum wird sich Linux nie so richtig durchsetzen

    matzems | 06:02

  5. Re: Es bräuchte wirklich ein Essential Phone...

    masel99 | 06:02


  1. 18:46

  2. 17:54

  3. 17:38

  4. 16:38

  5. 16:28

  6. 15:53

  7. 15:38

  8. 15:23


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel