heise PlusAbo
Anzeige

Microsoft

vorlesen Druckansicht
Lesezeit: 2 Min.
iX Magazin
Von
  • Christian Segor

„Nach dem Service Pack ist vor dem Service Pack“, diese Binsenweistheit der Administratoren wird zumindest die verantwortlich handelnden unter ihnen nicht davon abhalten, unmittelbar nach dem Einspielen des SP2 für XP gleich wieder auf den einschlägigen Websites nach neuen Löchern und ihren Stöpseln zu suchen.

Outlook Web Access (OWA) ist eine Web-Anwendung, die den Zugriff auf Exchange-Mailboxen mittels Browser ermöglicht. Während die aktuelle OWA-Version in puncto Bedienung und Funktionsumfang einem „echten“ Outlook-Client recht nahe kommt, war OWA in der Version 5.5 langsam, hässlich und außerdem ein „Usability-Alptraum“.

Trotzdem gibt es noch die ein oder andere produktive Implementierung von OWA 5.5, und diese sind von einem neu entdecktem Sicherheitsleck betroffen, das ein Angreifer ausnutzen kann, um so genannte „Cross site scripting attacks“ (s. iX 8/04, S. 48) zu fahren. Dazu muss er eine E-Mail mit entsprechend präpariertem Link verschicken; falls der Anwender diese nun in OWA öffnet und auf den Link klickt, kann der Angreifer zum Beispiel freien Zugriff auf die Mailbox des betroffenen Benutzers erhalten.

Microsoft stellt einen Patch zur Verfügung, der das Problem behebt, indem er eine ganze Reihe von ASP-Seiten austauscht. Leider haben viele Administratoren ihr OWA verändert, etwa durch Einfügen von Logos oder Ähnlichem. Diese Änderungen gehen natürlich beim Einspielen des Patches verloren. Vielleicht nimmt der ein oder andere dies ja zum Anlass, sein OWA auf die aktuelle Version upzudaten. Seine Anwender werden es ihm danken (824436).

Eine interessante (und bisher nicht behobene) Sicherheitslücke im IE ermöglichte es einem Angreifer, beliebige Programme im Autostart-Ordner des Benutzers abzulegen, sollte dieser eine als Grafik getarnte Datei per Drag&Drop in einen lokalen Ordner speichern. Angeblich stuft Microsoft die Gefahr, die von dieser Sicherheitslücke ausgeht, als „gering“ ein, was nicht nachvollziehbar ist. Weder die Verwendung von Drag & Drop noch das lokale Speichern von Webinhalten ist eine derartig ausgefallene Tätigkeit, dass ein breit angelegter Angriff keinen großen Schaden anrichten könnte. Es kursieren Gerüchte, dass dieses Sicherheitsproblem bereits ausgenutzt wird.

Über die iX-Webseite sind alle bisherigen Ausgaben von „Windows Security“ zu erreichen. (wm)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten