Kritische Sicherheitslücke in Internet Explorer 5.x
Die fehlerhafte Verarbeitung von HTML-Mails im Internet Explorer erlaubt die Ausführung beliebiger Programme auf dem lokalen PC.
Microsoft hat ein Sicherheitswarnung herausgegeben, nach der falsch definierte MIME-Typen (Multi Purpose Mail Extensions) den Internet Explorer 5.01 und 5.5 (Service Pack 2 für IE 5.01 ist nicht betroffen) dazu veranlassen können, etwaige MIME-kodierte Dateianhänge von HTML-Mails ohne Berücksichtigung der Sicherheitseinstellungen automatisch auszuführen. Dadurch wird eine kritische Sicherheitslücke geöffnet.
Konkret betrifft die Schwachstelle EML-Dateien, so genanntes "MIME Multipart". Diese entstehen, wenn Binärcode als Anhang per E-Mail verschickt wird. Internet Explorer 5.01 und 5.5 führen diese Dateianhänge ohne Nachfrage aus und eröffnen somit etwaigen Angreifern die Möglichkeit, beliebigen Code auf dem lokalen Rechner auszuführen. Um die Sicherheitslücke zu veranschaulichen, hat ihr Entdecker, Juan Carlos García Cuartango, auf der spanischen Security-Site Kriptopolis.com einige Demos bereitgestellt.
Da sowohl Microsoft Outlook als auch Outlook Express den Internet Explorer zur Darstellung von HTML-Mails verwenden, sind auch diese Mail-Programme von der Sicherheitslücke betroffen, falls eine der beiden IE-Versionen installiert ist.
Microsoft hat bereits einen Patch bereitgestellt, der inzwischen alle Sprachversionen des Internet Explorer abdeckt. (vza)
