Schwere Sicherheitslücke in Outlook 98 - 2002!

Georgi Guninski hat eine weitere schwerwiegende Sicherheitslücke in allen Outlook-Versionen seit Outlook 98 ausfindig gemacht. Verursacht wird sie durch das Active-X-Control namens "Microsoft Outlook View Control", mit welchem der Anwender im Normalfall auch unterwegs seine Outlook-Daten online einsehen können soll.

Schreibrechte sind dabei eigentlich ausgeschlossen, doch schon durch HTML-Code auf einer beliebigen Website hat man fast uneingeschränkten Zugriff auf das E-Mail Programm Outlook seines Opfers. So können zum Beispiel E-Mails gesendet und gelöscht und Kalenderdaten und Notizen verändert werden. Da auch sehr viele Mails heutzutage HTML-Code enthalten, kann sich ein Angreifer die Sicherheitslücke auch durch eine E-Mail zunutze machen. Dabei reicht es aus, dass diese im Vorschau-Fenster angezeigt wird. Es kann sogar beliebiger Code auf dem Computer des Opfers ausgeführt werden. Guninski hat Microsoft schon am Montag auf das Problem aufmerksam gemacht, einen entsprechenden Patch gibt es bisher jedoch noch nicht. Laut Microsoft ist es innerhalb einer so kurzen Zeitspanne nicht möglich, einen entsprechenden Patch bereitzustellen und bezeichnet das Vorgehen Guninskis daher als verantwortungslos. Bisher hatte dieser immer empfohlen, eine entsprechende Funktiom im Internet Explorer zu deaktivieren. Diesmal geht er jedoch mit den Worten „Uninstall Office XP and Windows“ deutlich weiter. Auf dieser Seite sieht man eine Demonstration des Problems!