Outlook Connector fĂĽr Domino ignoriert Gruppenrichtlinie
Microsofts Outlook Connector für Lotus Domino speichert Passwörter auch dann auf dem Client, wenn eine Gruppenrichtlinie dies explizit verbietet. Angreifer könnten bei Zugriff auf den Rechner ohne Wissen des Kennwortes an vertrauenswürdige Daten gelangen.
Microsofts Outlook Connector für IBM Lotus Domino speichert Passwörter auch dann auf dem Client, wenn eine Gruppenrichtlinie das Password-Caching explizit verbietet. Ursache ist ein Fehler in den Bibliotheken MSOC32.dll (MAPI-Connector) und MSOCep.dll, die die Policy ignorieren und dem Anwender das Setzen der "An Passwort erinnnern"-Option erlauben. Zudem speichert der Connector dem Fehlerbericht zufolge auch ältere Passwörter bei einem Wechsel.
Der Fehler gefährdet zwar die Sicherheit eines Systems nicht unmittelbar, allerdings ist damit etwa die Verletzung einer unternehmensweiten Sicherheitsrichtlinie möglich. Angreifer könnten bei Zugriff auf den Rechner ohne Wissen des Kennwortes an vertrauenswürdige Daten gelangen. Betroffen sind Outlook 2002 und 2003 in Verbindung mit IBM Lotus Notes Server Release 5 (R5) 5.0.1, 5.0.6, 5.0.8, 5.0.9, 5.0.10 und 5.0.11. Microsoft hat einen Knowledgebase-Artikel zu dem Problem veröffentlicht und stellt einen Hotfix über Product Support Services bereit.
Siehe dazu auch: (dab)
- Microsoft Outlook Connector for IBM Lotus Domino Lets Users Bypass Password Storage Policy, Fehlerreport auf Securitytracker
