Sicherheitsfunktionen in Outlook 2003 ausgehebelt
Mit besonderen HTML-Mails lässt sich die Sperre zur Verbindungsaufnahme mit externen Servern unter Outlook 2003 aushebeln.
Nach Angaben des Sicherheitsspezialisten http-equiv lassen sich in Outlook 2003 einige Sicherheitsfunktionen mit besonderen HTML-Mails aushebeln. So umgehen Mails mit dem VML-Schema beispielsweise die Sperre, die bei der Mailansicht die Verbindungsaufnahme zu Webservern verhindert. Einige HTML-Mails versuchen, unter anderem Bilder und andere Objekte aus dem Internet nachzuladen, wenn sich der Anwender die Nachricht anzeigen läßt. Spammer benutzen diesen Trick auch, um die Gültigkeit von E-Mail-Adressen zu validieren. Unter Outlook 2003 ist es eigentlich möglich, diese Verbindungsaufnahme zu unterdrücken. Der von http-equiv in seinem Advisory vorgestellte Demo-Code lädt dann zwar keine Objekte nach, schafft es aber trotz höchster Sicherheitseinstellungen unter Outlook, Kontakt mit der angegebenen Seite aufzunehmen.
Siehe dazu auch: (dab)
- Security Advisory von http-equiv
