Update: Patches für Outlook, MSN Messenger und Windows Server

Microsoft stopfte gestern mit dem Sicherheitsupdate für den Monat März Lücken in den Programmen Outlook 2002, MSN Messenger und den Media Services von Windows 2000 Server. So war es zumindest gedacht, nun musste der Software-Riese erneut den Patch patchen.

Betroffen vom Versäumnis im ersten Patch ist die Hintertür, die im Mail-Programm Outlook 2002 und damit auch bei installiertem Office XP offen steht. Sie ist nach Einschätzung des Software-Konzerns der schwerwiegendste Bug, der mit dem März-Update beseitigt wird. Über präparierte Mailto-URLs in HTML-E-Mails lässt Outlook 2002 zu, dass der Internet Explorer JavaScript im Rechtekontext des Benutzers ausführt. Bequemerweise braucht es dazu keine weitere Aktion des Benutzers, das Öffnen/Ansehen der Mail genügt. Das Ganze funktioniert auch über eine präparierte Webseite, die besucht wird, wie im zugehörigen und inzwischen überarbeiteten Bulletin beschrieben wird.

Laut Microsofts erstem Security Bulletin öffnet sich die Hintertür in Outlook nur, wenn die Seite "Outlook Heute" als Ordner Standard-Homepage eingerichtet ist. Dies hat der Konzern in einem Nachschlag zum Office-Update nun revidiert. Die "Outlook Heute"-Seite ist nicht allein Türöffner für Angreifer, die Code einschleußen wollen. Es steht nun ein überarbeiteter Patch zur Verfügung, den Sie hier finden.

Das Problem im MSN Messenger 6.0/6.1 entsteht durch den Versand von speziellen Dateianforderungen. Damit lassen sich Inhalte von Dateien anzeigen. Die Lücke setzt beim Angreifer die Kenntnis von Pfad- und Dateinamen nebst dem Anmeldenamen des Benutzers voraus, um sinnvoll genutzt zu werden. Microsoft sieht den Bug deshalb als weniger gravierend an. Bedenkt man die immer gleichen Pfade und Dateinamen, die bei der Standardinstallation von Windows angelegt werden, kann man darüber geteilter Meinung sein. Der Anmeldename erscheint in der Regel beim Echtzeit-Chat ohnehin. Auf der sicheren Seite sind nur die Messenger-User, die den Empfang von Nachrichten auf die persönliche Kontaktliste begrenzt haben - sofern dort keine falschen Freunde gespeichert sind. Das zugehörige Bulletin finden Sie hier.

Die Media Services in Windows 2000 Server lassen sich über speziell präparierte TCP/IP-Pakete zu einer DoS-Attacke nutzen. Ein Angreifer muss dazu eine spezielle Folge von TCP/IP-Paketen an den Überwachungs-Port der Dienste Media-Stationsdienst und/oder Media-Überwachungsdienst schicken. Das Bulletin finden Sie hier. Das Einspielen des Patches ist laut Microsoft mit einem Neustart verbunden. (uba)