Outlook-Bug - Antworte keinem Hacker

Microsoft warnt vor einer Lücke in Outlook in Verbindung mit Word als E-Mail-Editor. Ein Angreifer kann dadurch Code seiner Wahl ausführen. Ein neuer Patch soll das verhindern.

Voraussetzung ist, dass ein Benutzer Word als E-Mail-Editor eingestellt hat. Landet eine HTML-Mail im Posteingang dieses Benutzers, verhindern die Sicherheitseinstellungen das Ausführen von Code. Outlook verwendet dabei die Einstellungen für die Sicherheitszonen im Internet Explorer. Entschließt sich der Benutzer aber, die Mail zu beantworten (Reply) oder weiterzuleiten (Forward), sieht die Sache anders aus. Outlook öffnet dann die Mail und versetzt Word in Bereitschaft, die Mail zu editieren. Das Ausführen von Scripts ist dann nicht länger blockiert, es gelten Benutzerrechte. Die Lücke wurde vom Bulgaren Georgi Guninski entdeckt.

Microsoft nennt Outlook 2000 und 2002 als verwundbar. Ältere Versionen dürften den Bug ebenfalls enthalten, werden aber von Microsoft nicht mehr gepflegt. Benutzer von Office XP, die bei aufgespieltem Service Pack 1 die Funktion "Mail als Plain Text anzeigen" aktiviert haben, sind nicht betroffen. Das zugehörige Security Bulletin MS02-021 und Links zu den Patches finden Sie hier. Zusätzliche Informationen finden Sie im Office XP-Bugreport. (uba)