Microsoft schließt Outlook-Lücke

Dass Bugjäger Georgi Guninski im Juli eine Lücke in Outlook veröffentlichte, anscheinend ohne Microsoft ausreichend Zeit zum Reagieren zu geben, hat die Redmonder verärgert. Allerdings kann Microsoft erst jetzt, einen Monat später, mit einem Patch aufwarten.

Guninski hat Mitte Juli auf die Sicherheitsprobleme der "Microsoft Outlook View Control" aufmerksam gemacht. Das ActiveX-Control ermöglicht den Zugriff auf Outlook (Mails und Kalender) via Web. Statt wie im Sinne des Erfinders nur passive Zugriffe zu erlauben, kann das Control ausgenutzt werden, um aktiv einzugreifen, also um Daten zu ändern und zu löschen. Da gleichzeitig ein Zugriff auf das Outlook Applikations-Modell möglich ist, kann ein Angreifer Scripts mit allen Benutzerrechten ausführen. Für einen Angreifer nahezu perfekt wird das Schlupfloch in den Rechner dadurch, dass es reicht, eine präparierte HTML-Mail im Vorschaufenster von Outlook zu betrachten, um den gewünschten Effekt zu erreichen. In einer früheren Meldung ist die Funktionsweise demonstriert.

Microsoft hat das Deaktivieren von ActiveX bislang als Workaround empfohlen. Jetzt steht ein Patch zur Abhilfe bereit. Im zugehörigen Bulletin MS01-038 ist die Lücke beschrieben. Dort finden Sie auch Links zu den Patches. Betroffen sind laut Microsoft die Outlook-Versionen 98, 2000 und 2002 (OfficeXP). Patches gibt es aber nur für die Versionen 2000 und 2002. Frühere Versionen werden nicht mehr unterstützt, heißt es lapidar. (uba)