69042

Neuer Bug in Outlook Express 6

14.09.2001 | 14:56 Uhr |

Derzeit wird auf der Sicherheitsmailingliste Bugtraq über ein neues Sicherheitsrisiko in Outlook Express 6 diskutiert. Diese Version des Mail-Clients ist im kommenden Windows XP und im Internet Explorer 6.0 standardmäßig enthalten.

Derzeit wird auf der Sicherheitsmailingliste Bugtraq über ein neues Sicherheitsrisiko in Outlook Express 6 diskutiert. Diese Version des Mail-Clients ist im kommenden Windows XP und im Internet Explorer 6.0 standardmäßig enthalten.

Bis vor kurzem konnten schädliche Programme - wie Viren oder Trojaner - nur in Anhängen oder in einer HTML-Mail übertragen werden. Unter der neuen Express-Version hingegen werden auch HTML-Befehle ausgeführt, die in einer reinen Text-Mail enthalten sind, so lange sie in der ersten Zeile der Mail stehen, mit einem Script-Tag eingeleitet werden und nicht länger als etwa 75 Zeichen sind.

Immerhin hat Microsoft aus einigen Sicherheitslücken in der Vergangenheit gelernt - standardmäßig ist Active Scripting in Mails mittlerweile ausgeschaltet. So lange diese Einstellung nicht verändert wird, wird das Skript auch nicht ausgeführt.

Jedoch ergeben sich für die Hersteller von Anti-Viren- und anderer Sicherheitssoftware durch diesen Bug neue Schwierigkeiten: Viele Lösungen durchsuchten aus Geschwindigkeitsgründen nur HTML-Mails und Anhänge - in reinen Text-Mails konnten keine potentiell gefährlichen Skripte enthalten sein. Nun müssen die Hersteller ihre Produkte nachbessern, da Microsoft dieses "Feature" in Outlook Express 6 integriert hat. Dadurch werden die Sicherheitslösungen wahrscheinlich deutlich langsamer als bisher arbeiten und eine höhere Fehlalarmquote aufweisen.

Es scheint so, als ob Microsoft die eigenen Programme nicht mehr im Griff hat. Immer wieder wurden in den vergangenen Wochen schwere Sicherheitsmängel gefunden. Es ist nicht auszuschließen, dass sich Viren oder Würmer über diese Lücke in Zukunft verbreiten könnten. Schwere Attacken wie durch Code Red oder Loveletter können jedoch ausgeschlossen werden.

Demonstration des Bugs (ZIP-Archiv-Download)

Blue Code nimmt IIS und Code Red ins Visier (PC-WELT Online, 10.09.2001)

Code Red - die Schadensbilanz (PC-WELT Online, 03.09.2001)

0 Kommentare zu diesem Artikel
69042