HTML-Mail: Microsoft warnt vor Lücke im IE

Microsoft warnt vor einer Sicherheitslücke im Internet Explorer 5.01 und 5.5. Durch eine Modifikation des MIME-Headers einer HTML-Mail führt der IE Attachements mit ausführbarem Code ungefragt aus.

Im MIME-Header ist definiert, welche Art von Datei einer HTML-E-Mail anhängt. Der IE rendert die Datei dann entsprechend dieser Information und nicht nach der Datei-Endung selbst. Wie Microsoft schreibt behandelt der Internet Explorer einige - nicht näher spezifizierte - "unübliche" Datei-Typen nicht korrekt und führt den Anhang aus, ohne nachzufragen.

Ein Angreifer könnte nun in einer HTML-Mail den MIME-Header so manipulieren, dass er einen solchen Datei-Typ vorgaukelt. Das Attachement mit Code würde dann ausgeführt - mit allen Benutzerrechten. Auch bei Microsoft Outlook rendert nicht das Mail-Programm selbst, sondern der Internet Explorer HTML-Mails. Es würde für das Gelingen des Angriffs also reichen, die Mail in Outlook zu öffnen. Die zweite Angriffsmöglichkeit wäre, eine Webseite nach demselben Prinzip zu manipulieren. Beim Besuch der Seite führt der IE dann auf nämliche Weise den scheinbar unbekannten Anhang aus.

Laut Microsoft-Bulletin ist der Internet Explorer 5.01 mit aufgespieltem Servicepack 2 erstaunlicherweise gegen die Gefahr gefeit. Beim Nachfolger IE 5.5 klafft die Lücke erneut. Für frühere Versionen des IE übernimmt Microsoft keinen Support mehr und hat nicht getestet, ob die Lücke dort existiert.

Als "Erste Hilfe" empfiehlt der Softwarekonzern das Deaktivieren der Download-Funktion in den Sicherheitseinstellungen im Internet Explorer. Außerdem bietet Microsoft einen Patch an, der die Lücke schließt. Das dazugehörige Security Bulletin trägt die Nummer MS-01-020. Über weitere Sicherheitslücken im Internet Explorer informiert dieser Report. (uba)