Microsoft stuft Outlook-Loch als kritisch ein

Kurz nach der Herausgabe des Outlook-Updates hat Microsoft die Einschätzung zu dessen Bedeutung geändert: Dienstagabend hieß es noch, das Update sei "wichtig"; nun wurde es auf "kritisch" und damit die höchste Stufe angehoben.

Laut Microsoft habe man erst nachträglich erkannt, dass auch Outlook-Anwender betroffen seien, die nicht den Ordner "Outlook Heute" als Standardseite eingerichtet haben. Neue Erkenntnisse zu den möglichen Folgen des Sicherheitsproblems gibt es dagegen aber nicht. Bereits am Dienstag war bekannt, dass über speziell präparierte mailto-URLs in Web-Seiten oder E-Mails fremder Code auf dem System des Anwenders ausgeführt werden kann.

Microsoft bewertet die Wichtigkeit eines Updates offensichtlich nicht nur nach dem möglichen Schaden im Einzelfall, sondern auch nach der Zahl der potenziell anfälligen Benutzer. Dass ein Angreifer ohne Zutun eines Outlook-Benutzers beispielsweise Trojaner auf dessen Rechner installieren kann, reicht offensichtlich allein für eine Einstufung als "kritisch" nicht aus.

Neben der Neueinstufung gibt es weitere Informationen zur Geschichte des Outlook-Lochs. Der Entdecker des Problems behauptet in einem Advisory auf Bugtraq, er habe den Sachverhalt bereits am 21. Juli 2003 an Microsoft gemeldet. Böse Zungen spotten bereits, dass ein Zeitraum von acht Monaten auch etwas knapp bemessen sei, um die Bedeutung eines solchen Problems richtig einzuschätzen.

Siehe dazu auch: (ju)

• Microsofts März-Patches zu Outlook, Messenger und Media Services auf heise Security