Sicherheitslecks im Internet Explorer und in Outlook Express
Ein Sicherheitsleck im Internet Explorer tritt bei der Anzeige von PNG-Bildern auf, worüber ein Angreifer via Buffer Overflow Programmcode ausführen kann. Das zweite Sicherheitsloch in Microsofts Browser betrifft die Verarbeitung von XML-Daten, worüber ein Angreifer Einsicht in andere XML-Daten auf dem betreffenden Rechner erlangt. Beide Sicherheitslöcher hat Mark Dowd von ISS X-Force entdeckt und an Microsoft gemeldet, welche die Gefährdung als hoch einstufen.
Für den Internet Explorer in den Versionen 5.01, 5.5 sowie 6.0 stehen passende Patches(öffnet im neuen Fenster) kostenlos zum Download bereit. Beide Sicherheitslöcher können auch unter Windows XP mit Service Pack 2 ausgenutzt werden. Die aktuellen Patches für den Internet Explorer umfassen auch frühere von Microsoft veröffentlichte Patches für den Browser.
Mit einem weiteren Patch schließt Microsoft nun ein im November 2004 von iDefense entdecktes und an Microsoft gemeldetes Sicherheitsloch im Newsreader-Teil von Outlook Express. Die Sicherheitslücke macht sich bei der Verarbeitung von NNTP-Antworten bemerkbar, um darüber Newsgroup-Server abzufragen, wodurch ein Buffer Overflow auftritt und ein Angreifer beliebigen Programmcode ausführen kann. Ein Angreifer muss also einen entsprechend präparierten Newsgroup-Server betreiben, um das Sicherheitsleck ausnutzen zu können.
Microsoft bietet ab sofort einen Patch(öffnet im neuen Fenster) an, der das in Outlook Express 5.5 sowie 6.0 steckende Sicherheitsleck schließen soll. Systeme mit Windows XP Service Pack 2, XP x64 Edition sowie Windows Server 2003 betrifft das Problem nicht.
Durch ein Sicherheitsloch in der Komponente Outlook Web Access vom Exchange Server 5.5 werden HTML-Inhalte nicht ordnungsgemäß geprüft, wie das Sicherheitsunternehmen iDefense ebenfalls herausgefunden und im April 2005 an Microsoft gemeldet hat. Über das Sicherheitsleck kann ein Angreifer über eine Cross-Site-Scripting-Lücke beliebigen HTML- oder Script-Code ausführen, sofern E-Mails über Outlook Web Access angezeigt werden und der verwendete E-Mail-Client die Rendering Engine des Internet Explorer verwendet. Microsoft stuft die Gefährdung als hoch ein, zumal sich darüber auch vertrauliche Daten ausspähen lassen.
Ein Patch(öffnet im neuen Fenster) für den Exchange Server 5.5 mit installiertem Service Pack 4 steht ab sofort kostenlos zum Download bereit. Andere Versionen vom Exchange Server sind nach Herstellerangaben nicht betroffen.
Für alle aus der Ferne ausnutzbaren Sicherheitslecks gilt, dass im Falle einer Ausführung von Programmcode diese mit den Rechten des angemeldeten Nutzers erfolgt und sich ein Angreifer darüber eine umfassende Kontrolle über ein fremdes System verschaffen kann. Da zahlreiche E-Mail-Clients die Rendering Engine des Internet Explorer für die Anzeige von HTML-Inhalten verwenden, können Angriffe auch via E-Mail-Client erfolgen, so dass man durch Öffnen einer HTML-E-Mail Opfer eines Angriffs werden kann.
Alle genannten Sicherheits-Patches stehen unter den genannten Links als Download zur Verfügung oder können via Update-Funktion installiert werden.
- Anzeige Hier geht es zum Microsoft Exchange Server 2019 Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.