Sicherheitsleck in Outlook 2002 gestattet Programmausführung

Sicherheitsloch umgeht Sicherheitszonen-Modell des Internet Explorer. Im Zuge des monatlichen Patch-Days für den März 2004 wurde ein schweres Sicherheitsloch in Outlook 2002 bekannt, das einem Angreifer die Ausführung von Script-Code erlaubt. Darüber kann man auf beliebige Dateien mit den Rechten des angemeldeten Nutzers zugreifen sowie beliebigen Code ausführen, sobald das Opfer eine präparierte Webseite oder HTML-E-Mail liest. Microsoft bietet einen Patch zur Abhilfe des Problems an.

10. März 2004 um 10:33 Uhr / Ingo Pakalski

Kommentare News folgen (öffnet im neuen Fenster)

Das Sicherheitsleck in Outlook 2002 betrifft die Analyse von mailto-URLs, die falsch erkannt werden, so dass sich darüber Script-Code über den Internet Explorer in der lokalen Sicherheitszone ausführen lässt. Zur Ausnutzung des Sicherheitslochs muss ein Angreifer lediglich eine entsprechend formatierte HTML-E-Mail versenden oder das Opfer zum Besuch einer präparierten Webseite bewegen.

Bereits die Anzeige einer solchen HTML-E-Mail oder Webseite genügt, damit ein Angreifer Zugriff auf lokale Dateien erhält oder Code mit den Rechten des angemeldeten Nutzers ausführen kann. Opfer einer solchen Attacke kann nur werden, wer Outlook 2002 als Standard-E-Mail-Applikation unter Windows eingerichtet und zusätzlich die Heute-Ansicht als Ordnerstandard-Homepage aktiviert hat.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

IT Service Manager (m/w/d) Simon Hegele Gesellschaft für Logistik und Service mbH, Karlsdorf-Neuthard,Homeoffice (öffnet im neuen Fenster)

Senior Account Manager ITK (w/m/d) Telcat Multicom GmbH, München,Nürnberg (öffnet im neuen Fenster)

Teamleitung (m/w/d) IT-Sicherheit Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz (öffnet im neuen Fenster)

Bachelorand/Masterand - KI-gestützte Middleware zur automatisierten Deployment- und Konfigurationsoptimierung (w/m/d) SEW-EURODRIVE GmbH & Co KG, Bruchsal (öffnet im neuen Fenster)

Ausbildung Kaufmann für IT-System-Management (m/w/d) StratOz GmbH, Schwerte (öffnet im neuen Fenster)

Softwareentwickler Fullstack (m/w/d) Techniker Krankenkasse, Hamburg (öffnet im neuen Fenster)

Customer Journey Expert Onboarding-Prozesse - Savings & Investments (w/m/d) ING Deutschland, Nürnberg,Frankfurt am Main (öffnet im neuen Fenster)

ERP Inhouse Support Engineer (m/w/d) Beckhoff Automation GmbH & Co. KG, Verl (öffnet im neuen Fenster)

Microsoft bietet einen Patch(öffnet im neuen Fenster) für Outlook 2002 kostenlos zum Download an. Outlook 2002 wird als separates Produkt angeboten, ist aber auch Bestandteil von Office XP.

Am Patch-Day im März 2004 veröffentlichte Microsoft zudem zwei weitere Patches zu Sicherheitslücken im MSN Messenger und Windows 2000 Server.

Nachtrag vom 11. März 2004:
Microsoft hat einige Angaben zur Gefährlichkeit des Sicherheitslochs überarbeitet, worüber ein separater Artikel aufklärt.

Zur Startseite Kommentare

Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

Patches für Windows 2000 Server und MSN Messenger erschienen

Sicherheitsloch im MSN Messenger erlaubt Lesen von Dateien. Am monatlichen Patch-Day von Microsoft für den März 2004 veröffentlichte der Hersteller unter anderem Patches zur Beseitigung von Sicherheitslücken im Instant Messenger MSN Messenger der Versionen 6.0 und 6.1 sowie in Windows 2000 Server. Während ein Angreifer über das Sicherheitsleck im MSN Messenger Dateien einlesen kann, erlaubt das Sicherheitsloch in Windows 2000 Server eine Denial-of-Service-Attacke.

Deutsches Service Pack 3 für Office XP veröffentlicht

Office XP Service Pack 3 enthält bereits aktuellen Outlook-Sicherheits-Patch. Ab sofort steht das Service Pack 3 (SP3) für Office XP zum Download bereit, das alle bislang erschienenen Sicherheits-Patches und Updates für das Office-Paket enthält. Das SP3 setzt kein vorheriges Service Pack voraus, so dass es sich auch auf jungfräulichen Office-XP-Installationen aufspielen lässt.

Sicherheitslücke in Verschlüsselung von Outlook 2002 (Upd)

Outlook 2002 erstellt fehlerhaftes V1 Exchange Server Security Zertifikat. Eine Sicherheitslücke bei der Erstellung eines V1 Exchange Server Security Zertifikats über Outlook 2002 und einen Exchange-Server sorgt dafür, dass die E-Mail nicht verschlüsselt wird. Dadurch lässt sich eine vermeintlich verschlüsselte E-Mail ohne Probleme von Dritten einsehen. Microsoft stellt einen Patch bereit, der allerdings vorerst nur in englischer Sprache zu haben ist.

Relevante Themen