Neue Sicherheitslücken in Outlook und Internet Explorer entdeckt

Nicht einmal eine Woche nach seinem letzten Streich hat Sicherheitsexperte Georgi Guninski neue Sicherheitslöcher in Outlook und Internet Explorer entdeckt. Wie Guninski in seinem Bugtraq-Posting vom gestrigen Donnerstag detailliert beschreibt, können durch Ausführen der Java-Komponente com.ms.activeX.ActiveXComponent über den Applet-Tag beim Betrachten manipulierter Web-Pages oder E-Mails beliebige ActiveX-Objekte beziehungsweise -Skripts auf dem Rechner des Opfers erstellt und gestartet werden. Betroffen von dem Bug sind Internet Explorer 4.0 bis 5.5 sowie Outlook 97 bis 2000.

Guninski hat außerdem Demo-Exploits für den Internet Explorer und Outlook auf seiner Website bereitgestellt. Darüber können Anwender ihre Software testen. Das Microsoft Security Response Center ist über die Sicherheitslücke informiert und untersucht laut amerikanischen Berichten die Hinweise Guninskis.

Bis zur Bereitstellung eines Bugfixes empfiehlt es sich, Java und ActiveX in den Internetoptionen zu deaktivieren. Weitere Hinweise und eine Überprüfung der Sicherheitseinstellungen für Internet-Browser bietet der c't-Browser-Check. (vza)