14.07.2001

ACTIVE X

Bildquelle:

Neue Sicherheitslücke in Outlook

Bug-Jäger Georgi Guninski hat sich Office XP gekauft und dort prompt ein gefährliches ActiveX-Control gefunden.

Wer Outlook XP und den Internet Explorer 5.5 nutzt, kann problemlos gehackt werden, schreibt der Bulgare. Microsoft muss zugeben, dass das auch mit Outlook 98 und 2000 funktioniert.

Guninski hat das ActiveX-Element "Microsoft Outlook View Control" als Übeltäter ausfindig gemacht. Microsoft hat den Fehler bestätigt, kann aber keinen Patch anbieten, der die Lücke komplett schließt und ist deshalb reichlich sauer auf die Veröffentlichung von Guninski.

Unerwünschte Fernwartung von Mail & Kalender

Das betroffene "View Control" bietet als Feature den Zugriff auf Outlook [Mails und Kalender] via Web. Der Zugriff sollte im Sinne der Erfinder nur passiv möglich sein. Das Control lässt sich fatalerweise aber auch zum aktiven Zugriff nutzen.

Beliebige Skripts ausführbar

Somit könnte ein Angreifer Mail- und Kalenderdaten lesen, ändern und löschen. Außerdem bietet das View Control Zugriff auf das Outlook-Applikations-Objekt. Über diesen Zugang lassen sich beliebige Scripts mit allen Rechten der Anwendung ausführen, was einer Übernahme des Rechners gleichkommt.

Ein Angreifer kann den Bug mittels einer manipulierten Webseite oder Mail ausnutzen. Guninski hat außerdem herausgefunden, dass es ausreicht, wenn die verseuchte Mail im Vorschaufenster erscheint, also nicht geöffnet wird.

Demonstration möglich
Wie üblich bietet Guninski eine Demonstration des Fehlers an. Die Lücke lässt sich im Selbstversuch - auf eigene Gefahr hin - nachvollziehen. Das Skript zeigt Mails im Outlook-Postfach und auch deren Inhalt an. Diverse Message-Fenster geben Informationen aus und zu guter Letzt öffnet das Script die Windows-Commando-Shell [cmd.exe].

Guninski warnt

Seit 9. Juli keine Rückmeldung

Den Fehler hat Guninski nach eigenen Angaben am 9. Juli an Microsoft gemeldet und will bislang keine Antwort bekommen haben. In Redmond nimmt man den Namen Guninski erst gar nicht in den Mund und bezeichnet "die Person, die den Fehler entdeckt hat" wegen der Veröffentlichung des Problems als "verantwortungslos".

Normalerweise empfiehlt Guninski als erste Hilfe das Abschalten der Active-Scripting-Funktion im Internet Explorer. Dieses Mal formuliert der Bulgare die Lösung des Problems drastischer: "Deinstallieren Sie Office XP und Windows."

Hilfe ist da
Die Outlook-Versionen 98, 2000 und 2002 sind laut Microsoft ohnehin geschützt, wenn das bereits früher veröffentlichte Security-Update eingespielt ist. Mit dem Update hatte Microsoft auf ziemlich brachiale Weise auf die Sicherheitsprobleme von Outlook reagiert. Das Update lässt Active-Controls nicht zu und unterbindet das Öffnen diverser Dateitypen.

Security-Updates