MS bietet "critical Patch" für Outlook an

Microsoft hat einen "critical Patch" fertig, der drei Sicherheitslücken in Outlook (Express) schließt. Darunter die schwer wiegende Lücke, die das Microsoft Mail-Programm durch einen ungeprüften Puffer für potenzielle Angreifer öffnet.

Die Lücke wird - wie berichtet - durch eine fehlerhafte Routine hervorgerufen, die für das Parsen von E-Mail-Headern beim Download mittels POP3- und IMAP4-Protokoll zuständig ist. Ein ungeprüfter Puffer erlaubt es, durch einen überlangen String in der Adresszeile Code auf dem Rechner des Empfängers auszuführen.

Gefährlich wird die Lücke dadurch, dass ein Hackerangriff bereits beim Download der manipulierten Mail ausgeführt wird. Microsoft hat als Sofortmaßnahme die Installation des Internet Explorer 5.01 SP1 oder des Internet Explorer 5.5 empfohlen. Wichtig ist, dass man entweder eine Standardinstallation vornimmt, oder bei benutzerdefinierten Installationen unbedingt die Outlook-Express-Dateien updatet.

Mit dem Patch kann man sich laut Microsoft das Update des Browsers sparen. Voraussetzung für den Patch ist der Internet Explorer 4.01 SP2.

Microsoft nutzt den Patch auch dazu, zwei weitere Sicherheitslücken in Outlook abzudichten. Eine davon erlaubt es einem Angreifer unter bestimmten Umständen, Mails im Vorschaufenster auszuspionieren. Standardmäßig können HTML-Mails Scripts enthalten. Mit einem entsprechenden Script könnte man ein Browserfenster öffnen, das die Mail an eine vordefinierte Adresse schickt. Ist die Vorschaufunktion deaktiviert, funktioniert der Spionageversuch nicht.

Die andere Lücke entseht ebenfalls durch das Ausführen von Scripts in Outlook und erlaubt es, unter gewissen Umständen Daten auszuspähen.

Details zu bekannten Sicherheitslücken im Internet Explorer nebst Links zu den verfügbaren Patches liefert der Report Internet-Explorer-Sicherheitslücken. (uba)