Der kürzlich von Sunbelt entdeckte Fehler kommt zum Tragen, wenn der Microsoft-Browser oder Outlook 2003 Web-basierenden, in VML (Vector Markup Language) geschriebenen Grafikcode verarbeiten. Zwar wurden bislang noch keine dahin gehenden E-Mail-Attacken gestartet, entsprechender Exploit-Code ist nach Angaben der Sicherheitsforscher jedoch bereits im Umlauf.
Zunächst waren die Security-Experten davon ausgegangen, dass lediglich der IE für Attacken auf Basis dieses Fehlers anfällig ist. Nach jüngsten Untersuchungen von Sunbelt sind Nutzer von Outlook 2003 jedoch ebenfalls gefährdet. Demnach ist es möglich, Schadprogramme auszuführen, ohne Skriptcode zu verwenden, den Outlook normalerweise blockiert. So sei es mit Hilfe eines in die VML-Tags eingebetteten "Shellcode"-Programms in Maschinensprache gelungen, unautorisierte Software auf Systemen mit der jüngsten Version von Outlook 2003 zu betreiben. Anders als bei einer Attacke auf den IE-Browser, bei dem das Opfer zunächst eine bösartige Webseite besuchen muss, soll sich auf diese Weise ein PC bereits mit geringem oder auch ohne Zutun des Nutzers angreifen lassen.
Mittlerweile haben auch iDefense-Experten von VeriSign bestätigt, dass einige Outlook-Konfigurationen den Code selbständig starten. Besonders gefährdet seien Nutzer, die die Outlook-Funktion "Reading Pane" aktiviert haben, um HTML-Nachrichten zu lesen, warnt Ken Dunham, Director des iDefense Rapid Response Teams. User von Outlook Express wiederum sind laut Sunbelt offenbar nicht betroffen.
Microsoft empfiehlt in seinem Advisory zu dem VML-Fehler unter anderem, Outlook so einzustellen, dass es E-Mails im reinen Text-Format liest - entsprechende Instruktionen finden sich hier.
Derzeit plant Microsoft, das VML-Problem mit seinen für Oktober angesetzten Security-Updates zu beheben. Laut Eric Sites, Vice President Research and Development bei Sunbelt, könnten Hacker-Aktivitäten den Softwarehersteller jedoch dazu zwingen, einen Vorab-Fix bereit zu stellen. So soll der VML-Exploit-Code mittlerweile fester Bestandteil der jüngsten Version des russischen Exploit-Kits "WebAttacker" sein. Nach Aussagen von Dan Hubbard, Leiter der Forschungseinheit bei Websense, hosten derzeit zwar nur rund 20 Web-Seiten den Exploit - dafür sind es bereits 10.000 Sites, die verschiedene Varianten des WebAttacker-Kits entweder hosten oder darauf verweisen. Mit dem Umstieg auf die aktuelle WebAttacker-Version dürfte die Zahl der mit dem VML-Bug behafteten Sites demnach sprunghaft ansteigen. (kf)
