139884

Sicherheitslücke in Outlook

23.02.2001 | 11:35 Uhr |

Eine fehlerhafte Komponente in Outlook und Outlook Express soll Angreifern die Möglichkeit geben, fremde PCs mit Daten zu überfluten. Betroffen von der neuen Sicherheitslücke sind Outlook 97 und 2000, Outlook Express 5.01 und die Version 5.5.

Eine fehlerhafte Komponente in Outlook und Outlook Express soll Angreifern die Möglichkeit geben, fremde PCs mit Daten zu überfluten. Betroffen von der neuen Sicherheitslücke sind Outlook 97 und 2000, Outlook Express 5.01 und die Version 5.5.

Der Patch behebt die so genannte "Malformed vCard" Sicherheitslücke: Eine wichtige Komponente - der Vhandler - in Outlook und Outlook Express bearbeitet "Virtual-Business Cards" und enthält einen "unchecked buffer", das heißt einen temporären Speicherplatz für Daten ohne einen "string length limit".

Ein Angreifer könnte diese Lücke nutzen, indem er eine spezielle "vCard" erzeugt und diese versendet. Wenn der Empfänger die Mail öffnet, wird der Buffer des Rechners mit einer gewaltigen Datenmenge überflutet.

Der "Buffer overrun" kann auf zwei Arten ausgenutzt werden: Zum einen kann der Buffer mit willkürlich ausgewählten Daten überflutet werden und die Anwendung stürzt "nur" ab, zum anderen kann, wenn spezieller Datencode versendet wird, zumindest die Kontrolle über den verwendeten Mail Client erlangt werden. Unter Umständen erhält der Angreifer auch die Möglichkeit andere Anwendungen oder Befehle starten zu können.

Vorraussetzung für die Installation des neuen Patches ist eine bereits vorhandene Version des Internet Explorer in der Version 5.01 oder IE 5.5. Da die Sicherheitslücke ihren Kern in einer der Komponenten von Outlook Express hat, der ein Teil des Internet Explorers ist, muss vor der Installation des Patches das Service Pack 1 für den IE 5.01 beziehungsweise IE 5.5 installiert werden.

Derzeit liegt der Patch lediglich für die englische Version von Outlook Express und Outlook vor. (PC-WELT, 23.02.2001, eb)

Information von Microsoft

Zum Microsoft Patch

Patch für Windows Media Player (PC-WELT Online, 15.02.2001)

Sicherheitslücke in Powerpoint 2000 (PC-WELT Online, 24.01.2001)

Achtung: Sicherheitslücke im Internet Explorer (PC-WELT Online, 24.11.2000)

0 Kommentare zu diesem Artikel
139884