Web

 

Microsoft: Outlook-Leck gefährlicher als angenommen

11.03.2004

MÜNCHEN (COMPUTERWOCHE) - Das Risiko eines Angriffs durch die gestern veröffentlichte Sicherheitslücke in Outlook 2002 ist höher als ursprünglich angenommen. Microsoft hat die Gefährdungsstufe von "Important" auf "Critical" gesetzt.

Mit Critical bezeichnet der Hersteller Lecks, die von Würmern ohne Zutun betroffener Anwender ausgenutzt werden können. Important sind dagegen Probleme, die das Ausspionieren und Löschen von Daten sowie die Ausführung von Schadroutinen zufolge haben können.

Durch das betreffende Leck in Outlook lässt sich beliebiger Code von Remote-Standorten ausführen. Betroffen ist Office XP mit der Outlook-Version 2002 inklusive Service Pack 2. Das Leck wird durch eine nicht ordnungsgemäße Syntaxanalyse speziell gestalteter Mailto-URLs Uniform Resource Locators) verursacht, heißt es im Security Bulletin MS04-009. Angreifer könne es ausnutzen, indem sie Anwender auf eine manipulierte Web-Seite einrichten. Abhilfe schafft neben einem Patch laut Microsoft Service Pack 3 (Computerwoche.de berichtete).

Während Microsoft bei der Veröffentlichung des Bulletins davon ausging, dass nur Anwender betroffen sind, die "Outlook Today" als Startseite eingerichtet haben, hat sich nun herausgestellt, dass der Fehler auch in anderen Fällen auftritt. Outlook Today ist in der Regel nur dann eingerichtet, wenn noch kein E-Mail-Account angelegt wurde.

Der zur Verfügung gestellte Patch und das Service Pack 3 für Office XP sind von der Statusänderung nicht betroffen. Der Hersteller rät dringend zum Bugfix. (lex)