Original-URL des Artikels: https://www.golem.de/0403/30177.html    Veröffentlicht: 10.03.2004 10:33    Kurz-URL: https://glm.io/30177

Sicherheitsleck in Outlook 2002 gestattet Programmausführung

Sicherheitsloch umgeht Sicherheitszonen-Modell des Internet Explorer

Im Zuge des monatlichen Patch-Days für den März 2004 wurde ein schweres Sicherheitsloch in Outlook 2002 bekannt, das einem Angreifer die Ausführung von Script-Code erlaubt. Darüber kann man auf beliebige Dateien mit den Rechten des angemeldeten Nutzers zugreifen sowie beliebigen Code ausführen, sobald das Opfer eine präparierte Webseite oder HTML-E-Mail liest. Microsoft bietet einen Patch zur Abhilfe des Problems an.

Das Sicherheitsleck in Outlook 2002 betrifft die Analyse von mailto-URLs, die falsch erkannt werden, so dass sich darüber Script-Code über den Internet Explorer in der lokalen Sicherheitszone ausführen lässt. Zur Ausnutzung des Sicherheitslochs muss ein Angreifer lediglich eine entsprechend formatierte HTML-E-Mail versenden oder das Opfer zum Besuch einer präparierten Webseite bewegen.

Bereits die Anzeige einer solchen HTML-E-Mail oder Webseite genügt, damit ein Angreifer Zugriff auf lokale Dateien erhält oder Code mit den Rechten des angemeldeten Nutzers ausführen kann. Opfer einer solchen Attacke kann nur werden, wer Outlook 2002 als Standard-E-Mail-Applikation unter Windows eingerichtet und zusätzlich die Heute-Ansicht als Ordnerstandard-Homepage aktiviert hat.

Microsoft bietet einen Patch für Outlook 2002 kostenlos zum Download an. Outlook 2002 wird als separates Produkt angeboten, ist aber auch Bestandteil von Office XP.

Am Patch-Day im März 2004 veröffentlichte Microsoft zudem zwei weitere Patches zu Sicherheitslücken im MSN Messenger und Windows 2000 Server.

Nachtrag vom 11. März 2004:
Microsoft hat einige Angaben zur Gefährlichkeit des Sicherheitslochs überarbeitet, worüber ein separater Artikel aufklärt.  (ip)


Verwandte Artikel:
Patches für Windows 2000 Server und MSN Messenger erschienen   
(10.03.2004, https://glm.io/30175 )
Deutsches Service Pack 3 für Office XP veröffentlicht   
(10.03.2004, https://glm.io/30179 )
Sicherheitslücke in Verschlüsselung von Outlook 2002 (Upd)   
(23.01.2003, https://glm.io/23621 )
Sicherheitsloch bei Verwendung von Outlook mit Word   
(26.04.2002, https://glm.io/19546 )
Fehlerhafte E-Mail bringt Outlook 2002 zum Absturz   
(05.12.2002, https://glm.io/23011 )

Links zum Artikel:
Microsoft: http://www.microsoft.de
Microsoft (.com): http://www.microsoft.com
Microsoft - Security Bulletin MS04-009 (.com): http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms04-009.htm

© 1997–2019 Golem.de, https://www.golem.de/