34974

Schwere Sicherheitslücke in Office XP

13.07.2001 | 12:42 Uhr |

Georgi Guninski, Microsofts personifizierter Alptraum, hat wieder zugeschlagen. Der Sicherheitsguru entdeckte eine Sicherheitslücke in Outlook XP. Ein Active-X-Control namens "Microsoft Outlook View Control" ermöglicht einem Angreifer Zugriff auf alle Daten in Outlook.

Georgi Guninski , Microsofts personifizierter Alptraum, hat wieder zugeschlagen. Der Sicherheitsguru entdeckte eine Sicherheitslücke in Outlook XP. Ein Active-X-Control namens "Microsoft Outlook View Control" ermöglicht einem Angreifer Zugriff auf alle Daten in Outlook.

Betroffen sind, laut Guninski, Windows-2000-Rechner, die mit dem Internet Explorer 5.5 samt Service Pack 1 (oder mit dem Internet Explorer 6 Beta) und mit Office XP ausgestattet sind. Die Lücke tritt aber auch zusammen mit Office 2000 auf, wie ein Test der PC-WELT ergab.

Das "Microsoft Outlook View Control" ist ein Active-X-Control, mit dem sich Outlook-Mail-Ordner als Web-Seiten betrachten lassen. Das Control sollte nur "passive" Vorgänge wie das Betrachten von Mails oder von Kalender-Daten ermöglichen. Doch aufgrund der Sicherheitslücke ist es möglich, über eine Website Daten in Outlook zu manipulieren. Dadurch kann ein Angreifer Mails löschen, Kalender-Einträge ändern, oder über Outlook eigenen Programm-Code auf dem fremden Rechner ausführen.

Voraussetzung ist, dass der Outlook-Benutzer mit dem Internet Explorer eine Website mit speziellem Skript- oder HTML-Code besucht oder eine HTML-Mail in Outlook öffnet. Danach kann der Eindringling die Mails im Outlook-Ordner lesen, ändern, oder löschen.

Wie Tests der PC-WELT ergaben, sind die Zugriffs-Möglichkeiten für einen Angreifer je nach Systemkonfiguration unterschiedlich. Im schlimmsten Fall kann der Eindringling nicht nur die Mails, sondern sogar die gesamte Festplatte eines fremden Rechners einlesen. Eine Demonstration des Bugs sehen Sie hier

Guninski informierte Microsoft am 9. Juli von dieser Sicherheitslücke. Microsoft arbeitet derzeit noch an einem Patch und will diesen schnellstmöglich hier veröffentlichen.

Um das Risiko über den Internet Explorer zu beseitigen, empfiehlt Microsoft bis zum Erscheinen des Patches alle Active-X-Controls im Internet Explorer zu deaktivieren: Im Internet Explorer Menü "Extras, Internetoptionen, Sicherheit, Internet".

Für die Gefahr durch speziell präparierte HTML-Mails gibt es bereits Abhilfe, da diese Lücke bereits länger bekannt ist: Das Outlook 2000 Service Release-1 Update für Outlook 98 und 2000 sorgt für Abhilfe (in Outlook XP ist es bereits enthalten).

Sicherheitsexperte Georgi Guninski empfiehlt übrigens eine andere, ungleich radikalere Lösung des Sicherheitsproblems: "Uninstall Office XP and Windows."

Trojaner tarnt sich als Windows-Patch (PC-WELT Online, 12.07.2001)

Neues Service Pack für Exchange 2000 hat noch gravierende Bugs (PC-WELT Online, 29.06.2001)

0 Kommentare zu diesem Artikel
34974