Zwei neue Lücken in Office XP

Bugjäger Georgi Guninski hat zwei Sicherheitslücken in Office XP entdeckt und publik gemacht.

Microsoft hat eine der Lücken verifiziert und ärgert sich über die Veröffentlichung.

Outlook und Mails mit "aktivem Inhalt"
Der Bulgare Guninski ist darauf spezialisiert, Microsoft-Produkte auf Lücken und Fehler abzuklopfen. Bei Office XP hat er herausgefunden, dass Outlook unter Umständen missbraucht werden kann, um über eine präparierte Mail mit aktivem Inhalt den Benutzer auf bestimmte Webseiten zu leiten.

Neue Sicherheitslücke in Outlook

"Richtige Mail-Clients statt Outlook" nutzen

Dafür genüge es, die Mail zu beantworten oder weiterzuleiten. Guninski bietet ein Beispielskript zum Testen dieses Fehlverhaltens an.

Microsoft hat die Lücke bestätigt. Das Software-Unternehmen rät dem Benutzer, HTML-E-Mails in Outlook abzuschalten.

Außerdem sollte Word nicht als Mail-Editor eingetragen sein. Guninskis "Lösung" ist radikaler, die Benutzer sollen sich richtige Mail-Clients und Office-Anwendungen besorgen.

Alles deaktivieren, was den Zusatz "active" trägt
Der Work-around des Bulgaren lautet, im Internet Explorer alles zu deaktivieren, was den Zusatz "active" trägt. Der zweite bedenkliche Fehler steckt in der Tabellenkomponente von Office XP und soll einem Angreifer erlauben, den Rechner zu übernehmen.

Guninski-Homepage

Microsoft: "Experte ohne Verantwortungsbewusstsein"

Einen Work-around bieten weder Guninski noch Microsoft an.

Microsoft hat empfindlich auf die Veröffentlichung Guninskis reagiert.

Man habe keine faire Chance zur Erforschung der Lücken bekommen. Verantwortungsbewusste Sicherheitsexperten seien bereit, mit Herstellern zusammenzuarbeiten.