Microsoft: Zehn Lücken weniger
MS07-003: Code-Ausführung via Outlook
Drei Lücken in Microsoft Outlook erlauben es einem Angreifer beliebigen Code auszuführen oder einen DoS hervorzurufen. Die erste betrifft das Parsen von iCal-Anfragen, bei denen ein speziell gestalteter VEVENT-Eintrag die Lücke offenbart. Ein Angreifer kann diese Lücke ausnutzen, indem er dem Opfer eine entsprechende Besprechungsanfrage schickt.
Bei der zweiten Lücke führt ein speziell gestalteter Email-Header zum Absturz von Outlook während des Abrufens der Mail vom Server. Um weitere Abstürze zu vermeiden, muss die Mail auf anderem Wege vom Server gelöscht werden - beispielsweise per Web-Zugriff.
Office kann vorherige Suchergebnisse in .oss-Dateien speichern. Beim Parsen einer fehlerhaften .oss-Datei kann Outlook abstürzen und möglicherweise beliebigen Code ausführen. Ein Angreifer muss dem Opfer lediglich eine speziell aufgebaute .oss-Datei schicken, um die Lücke auszunutzen.
Datum |
10.01.2007 |
---|---|
Warnstufe |
Kritisch |
Betrifft |
Outlook 2000, Outlook 2002, Outlook 2003 |
Auswirkung |
Ausführen beliebigen Codes, Denial of Service |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |