95700

Neue Sicherheitslücke in Outlook

26.04.2002 | 11:50 Uhr |

Microsoft warnt vor einer neuen Sicherheitslücke in seinen Mailprogrammen Outlook 2000 und 2002, durch die ein Angreifer seinen Programmcode auf einem fremden Rechner ausführen kann. Voraussetzung ist allerdings, dass Sie Microsoft Word als Mail-Editor benutzen.

Microsoft warnt vor einer neuen Sicherheitslücke in seinen Mailprogrammen Outlook 2000 und 2002, durch die ein Angreifer seinen Programmcode auf einem fremden Rechner ausführen kann. Voraussetzung ist allerdings, dass Sie Microsoft Word als Mail-Editor benutzen.

Sie können Microsoft Word als Editor für Outlook benutzen, um Mails im Rich Text- (RTF) oder im HTML-Format zu schreiben. Dabei existiert allerdings eine Sicherheitslücke, wenn Sie mit einem derart konfigurierten Outlook eine Mail von einem Angreifer weiterleiten oder beantworten.

Die Schwachstelle beruht auf den unterschiedlichen Sicherheitseinstellungen von Outlook für das Anzeigen von Mails und für das Bearbeiten von Mails im Word Editor. Wenn Outlook eine HTML-Mail anzeigt, benutzt es die Sicherheitszonen-Einstellungen des Internet Explorers. Skripte werden dadurch nicht automatisch ausgeführt. Will der Benutzer aber auf eine Mail antworten, oder sie weiterleiten und benutzt er dafür Word als Maileditor, so öffnet Outlook die Mail und startet Word für die Bearbeitung. Dabei werden Scripte nicht mehr an der Ausführung gehindert.

Dieses Szenario kann ein Angreifer ausnutzen, indem er ein präparierte HTML-Mail mit einem Script an einen Outlook-Benutzer schickt, der Word als Maileditor gewählt hat. Das Script wird nach dem Öffnen im Word-Editor gestartet und kann jede vom Angreifer programmierte Funktion ausführen.

Betroffen sind von dieser Schwachstelle nur Benutzer von Outlook 2000 und 2002, die Word als Maileditor einsetzen. Nur das Lesen der Mail stellt allerdings keine Gefahr dar, erst beim Weiterleiten oder Beantworten tritt die Sicherheitslücke zu Tage. Außerdem können Benutzer von Office XP mit Service Pack 1 festlegen, dass HTML-Mails nur wie reiner Text behandelt werden. In diesem Fall droht keine Gefahr. Aufgrund dieser Einschränkungen stuft die Redmonder Software-Schmiede die Sicherheitslücke nur als durchschnittliches Risiko ein.

Microsoft stellt einen Patch zur Beseitigung dieser Sicherheitslücke auf seiner Website zum Download zur Verfügung

Klez-H-Wurm löst weltweite "Epidemie" aus (PC-WELT Online, 24.04.2002)

PC-WELT Viren & Bugs

0 Kommentare zu diesem Artikel
95700