Outlook-Sicherheitsleck ermöglicht unbemerkte Ausführung von Programmcode
Am gestrigen 10. März 2004 veröffentlichte Microsoft ein Security Bulletin mit der Beschreibung einer neu entdeckten Sicherheitslücke in Outlook 2002. Dieses Bulletin wurde nun nur einen Tag später von Microsoft überarbeitet, da sich das Sicherheitsloch als gefährlicher entpuppte als zunächst angenommen. Das Sicherheitsleck erlaubt es einem Angreifer, beliebigen Programmcode auf einem fremden System auszuführen.
Entgegen den am gestrigen 10. März 2004 gemachten Angaben sind nicht nur Anwender von dem Sicherheitsproblem betroffen, die die Heute-Ansicht als Ordnerstandard-Homepage ausgewählt haben. Es genügt bereits, Outlook als Standard-E-Mail-Client im Betriebssystem angemeldet zu haben, um mögliches Opfer dieses Sicherheitsrisikos zu werden. Welche Standard-Homepage in Outlook ausgewählt ist, spielt also keine Rolle.
Bei der Bearbeitung von mailto-URLs analysiert Outlook 2002 diese falsch, so dass sich darüber Script-Code über den Internet Explorer in der lokalen Sicherheitszone ausführen lässt. Zur Ausnutzung des Sicherheitslochs muss ein Angreifer lediglich eine entsprechend formatierte HTML-E-Mail versenden oder das Opfer zum Besuch einer präparierten Webseite bewegen. Allein die Anzeige einer solchen HTML-E-Mail oder Webseite genügt, damit fremde Nutzer Zugriff auf lokale Dateien erhalten sowie Code mit den Rechten des angemeldeten Nutzers ausführen können. Ein Anklicken des mailto-Links ist also nicht erforderlich.
Der zur Beseitigung des Sicherheitslochs bereitgestellte Patch für Outlook 2002 wurde nicht überarbeitet. Wer bereits das gestrige Update für Outlook 2002 oder aber das zeitgleich erschienene Service Pack 3 für Office XP installiert hat, muss keine weiteren Schritte unternehmen. Outlook 2002 ist Bestandteil von Office XP, wird aber auch einzeln angeboten.
Quelle