Microsoft hat im Rahmen seiner monatlichen Update-Zyklen jeweils einen
Sammel-Patch für den Internet Explorer und Outlook Express
veröffentlicht. Beide Download-Pakete sollen neben allen bislang
verfügbaren Aktualisierungen für die Software auch neue Updates
enthalten, mit denen in jüngerer Vergangenheit bekannt gewordene
Sicherheitslöcher geschlossen werden sollen.
Anwender beider Programme empfiehlt der Hersteller die unverzügliche Installation der Updates.
Mit diesem Patch schließt Microsoft nun ein im November 2004
von iDefense entdecktes und an Microsoft gemeldetes Sicherheitsloch im
Newsreader-Teil von Outlook Express. Die Sicherheitslücke macht sich
bei der Verarbeitung von NNTP-Antworten bemerkbar, um darüber
Newsgroup-Server abzufragen, wodurch ein Buffer Overflow auftritt und
ein Angreifer beliebigen Programmcode ausführen kann. Ein Angreifer
muss also einen entsprechend präparierten Newsgroup-Server betreiben,
um das Sicherheitsleck ausnutzen zu können.
Microsoft bietet ab sofort einen Patch
an, der das in Outlook Express 5.5 sowie 6.0 steckende Sicherheitsleck
schließen soll. Systeme mit Windows XP Service Pack 2, XP x64 Edition
sowie Windows Server 2003 betrifft das Problem nicht.
Durch ein Sicherheitsloch in der Komponente Outlook Web Access vom
Exchange Server 5.5 werden HTML-Inhalte nicht ordnungsgemäß geprüft,
wie das Sicherheitsunternehmen iDefense ebenfalls herausgefunden und im
April 2005 an Microsoft gemeldet hat. Über das Sicherheitsleck kann ein
Angreifer über eine Cross-Site-Scripting-Lücke beliebigen HTML- oder
Script-Code ausführen, sofern E-Mails über Outlook Web Access angezeigt
werden und der verwendete E-Mail-Client die Rendering Engine des
Internet Explorer verwendet. Microsoft stuft die Gefährdung als hoch
ein, zumal sich darüber auch vertrauliche Daten ausspähen lassen.
Ein Patch
für den Exchange Server 5.5 mit installiertem Service Pack 4 steht ab
sofort kostenlos zum Download bereit. Andere Versionen vom Exchange
Server sind nach Herstellerangaben nicht betroffen.
Für alle aus der Ferne ausnutzbaren Sicherheitslecks gilt, dass im
Falle einer Ausführung von Programmcode diese mit den Rechten des
angemeldeten Nutzers erfolgt und sich ein Angreifer darüber eine
umfassende Kontrolle über ein fremdes System verschaffen kann. Da
zahlreiche E-Mail-Clients die Rendering Engine des Internet Explorer
für die Anzeige von HTML-Inhalten verwenden, können Angriffe auch via
E-Mail-Client erfolgen, so dass man durch Öffnen einer HTML-E-Mail
Opfer eines Angriffs werden kann.
Alle genannten Sicherheits-Patches stehen unter den genannten Links als
Download zur Verfügung oder können via Update-Funktion installiert werden.