195914

Outlook anfällig für VML-Exploit

22.09.2006 | 15:03 Uhr |

Die jüngste Sicherheitslücke im Internet Explorer betrifft auch Outlook und kann daher auch mit speziell präparierten Mails ausgenutzt werden, um schädlichen Code einzuschleusen.

Die Ausnutzung der VML-Anfälligkeit im Internet Explorer (IE) findet bereits auf einer großen Zahl von Web-Seiten statt, die vorwiegend mit dem Web Attacker Toolkit arbeiten ( wir berichteten ). Es ist jedoch auch möglich, diese Schwachstelle über präparierte Mails auszunutzen.

Dazu genügt es, eine Mail zu senden, in der VML-Code (Vector Markup Language) ohne den Einsatz von Javascript oder anderen Script-Sprachen verwendet wird. Auf diese Weise kann so genannter Shell-Code eingeschleust werden, wie er auch sonst oft in Exploits (Ausnutzung von Sicherheitslücken) zum Einsatz kommt.

Script-Code wird von neueren Outlook-Versionen (wie Outlook 2003) blockiert, allerdings können ältere Versionen anfällig sein. Auch andere Mail-Programme, vor allen Dingen Outlook Express, benutzen Komponenten des IE, um HTML-Mails anzuzeigen. Sie sind daher ganz allgemein anfällig für viele der Schwachstellen im Internet Explorer.

Der Internet Explorer ist der einzige Browser, der VML unterstützt. VML wurde Ende des 20. Jahrhunderts von Microsoft als Gegenentwurf zu SVG (Scalable Vector Graphics: http://www.w3.org/Graphics/SVG/) vorgeschlagen. Opera, Mozilla und andere aktuelle Browser setzen auf SVG, für dessen Verarbeitung der IE ein Plug-in von Adobe benötigt, ebenso wie ältere Netscape- und Mozilla-Browser.

Als einzig probates Mittel gegen die Ausnutzung der VML-Anfälligkeit im IE gilt derzeit die Deregistrierung der anfälligen Programmbilbliothek "vgx.dll". Die folgende Befehlszeile erledigt dies auf Windows-Versionen in den meisten Sprachen. Geben Sie sie entweder in einer Eingabeaufforderung oder über START / Ausführen... ein:

regsvr32 -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"

Es erscheint dann eine Dialogbox, die den Erfolg der Aktion bestätigt. Microsoft hat für den nächsten Patch Day am 10. Oktober ein Sicherheits-Update angekündigt, schließt jedoch zumindest nicht aus, dass es dieses bereits vorher bereit stellt.

0 Kommentare zu diesem Artikel
195914