Im Doppelpack: Sicherheitsprobleme bei Microsoft
Erneut entdecken Bug-Jäger eine schwere Sicherheitslücke in Outlook.
Microsoft weist in einem aktuellen Security Bulletin auf ein gravierendes Sicherheitsloch in Outlook hin: Das Active-X-Element "Microsoft Outlook View Control" ermöglicht unter Umständen, dass Angreifer über das Internet E-Mails, die auf der lokalen Maschine liegen, lesen und löschen können. Auch ein Zugriff auf den Outlook-Kalender sei für Fremde so möglich.
Eigentlich ist das Control dazu da, E-Mails im Web-Browser darstellen zu können. Dummerweise "stellt es eine Funktion bereit, das es einer Webpage ermöglicht, mehr zu tun, als nur Informationen vom Rechner zu beziehen", heißt es im Bulletin. Im Klartext: Eine simple, mit Outlook 98, 2000 oder 2002 geöffnete, HTML-formatierte E-Mail genügt, um auf dem Rechner des Nutzers Zugriff auf E-Mails und Kalender zu haben oder sogar Code auszuführen. Eine entsprechend präparierte HTML-Seite im Web könnte ebenso einen Angriff auf den heimischen Rechner starten.
Ein Patch sei in Vorbereitung, erklärte Microsoft heute. Wann er erscheinen wird, sei derzeit unklar. So lange das Patch auf sich warten läßt, sollen alle Outlook-Nutzer in den Sicherheitseinstellungen von Windows Active-X-Controls für die "IE-Internet-Zone" nicht zulassen. Anwender von Outlook 98 und 2000 sollten außerdem das E-Mail Security Update einspielen, weil Outlook damit HTML-formatierte E-Mails nur in Sicherheitszonen öffnet, in denen Active X ohnehin deaktiviert ist. Weil Outlook XP bereits das aktuelle E-Mail Security Update enthalte, sei hier ein Update nicht nötig.
Ganz anders sieht das jedoch der Entdecker der Sicherheitslücke, Georgi Guninski. Als Workarround empfiehlt der berühmte Bug-Jäger lapidar: "Deinstallieren Sie Office XP und Windows". Auf seiner Homepage demonstriert er die Funktionsweise der Sicherheitslücke.
Microsoft hat derzeit auch von anderer Seite Trouble mit der Sicherheit: Seit dem 7. Juli versenden Unbekannte E-Mails an Windows-Anwender, in denen sie sich als "Microsoft Security Notification Service" ausgeben. Unter dem Vorwand, auf ein Sicherheits-Patch hinzuweisen, locken die Angreifer ihre Opfer auf eine angebliche Microsoft-Page. Der dort verlinkte "Patch" cvr58-ms.exe sei in Wahrheit ein Virus, das die Programme des eigenen Computers schädige, erklärte Microsoft heute. (hob)
