MÜNCHEN (COMPUTERWOCHE) - Microsoft warnt vor einer als "critical" eingestuften Sicherheitslücke in der Windows-Version "ME". Über einen ungeprüften Speicherbereich im so genannten URL-Handler des Betriebssystems lassen sich beliebige Programme auf betroffenen Systemen ausführen. Der Fehler steckt im Hilfesystem, das Seiten über "hcp://" statt "http://" aufruft. Die Lücke lässt sich ausnutzen, indem ein per hcp verlinkter URL (Uniform Resource Locator) in eine Website oder HTML-Mail eingefügt wird. Ruft der Locator die verknüpfte Website von einem ME-Rechner aus auf, erhält der Angreifer die Möglichkeit, auf lokal abgespeicherte Dateien zuzugreifen und Programme auszuführen, so Microsoft. Ein Patch ist mittlerweile verfügbar.

Besondere Gefahren birgt das Leck im Zusammenspiel mit den Mail-Programmen Outlook Express 6.0 sowie Outlook 98 und 2000, sofern diese noch nicht mit den neuesten Sicherheits-Updates versehen sind. Dann verlinken die Programme in HTML-Mails integrierte URLs automatisch. So lassen sich Angriffe starten, die nicht darauf angewiesen sind, dass ein Anwender manipulierte Links anklickt. Microsoft empfiehlt, für Outlook 98/2000 Security-Updates und für Outlook Express das Service Pack 1 für den Internet Explorer 6 einzuspielen. (lex)