Sicherheitsloch selbst durch ungeöffnete EMail

Finnische Experten haben ein ernsthaftes Sicherheitsloch in den EMail-Clients von Microsoft und Netscape entdeckt: Sowohl Microsofts Outlook 98 und Outlook Express als auch der Messenger, der im Netscape Communicator 4.x steckt, können zum Absturz gebracht werden, indem man ihnen eine EMail-Nachricht schickt, die eine binäre Anlage mit einem überlangen Dateinamen enthält. Durch geschickte Manipulation kann man die EMail-Programme dazu bringen, nach dem Crash Code auszuführen, der direkt im Dateinamen steckt. Auf den Inhalt des Attachments kommt es dabei nicht an. Der Benutzer muß es nicht einmal öffnen; schon das Herunterladen der Nachricht von einem EMail-Server kann den Fehler auslösen.

Der Bug betrifft Microsoft Outlook 98 unter Windows 95, 98 und NT 4.0, Outlook Express 4.0 und 4.01 unter Windows 95, 98, NT 4.0, Solaris und MacOS sowie den EMail-Client im Netscape Communicator 4.x unter Windows 3.1, 95, 98 und NT. Für die englische Version von Outlook Express hält Microsoft mittlerweile einen Bugfix bereit; Updates für internationale Versionen sollen in wenigen Tagen folgen. Netscape will einen Patch innerhalb der nächsten zwei Wochen bereitstellen. (hos)