Microsoft Security Bulletin MS04-009 - Sicherheitsanfälligkeit in Microsoft Outlook kann Codeausführung ermöglichen (828040)

[Newsbot]

Outlook 2002 weist eine Sicherheitsanfälligkeit auf, die die Ausführung von Skriptcode in der lokalen Computerzone auf dem betroffenen System durch Internet Explorer ermöglichen kann. Diese Sicherheitsanfälligkeit ergibt sich durch eine nicht ordnungsgemäße Syntaxanalyse besonders gestalteter mailto-URLs durch Outlook 2002. Um sie ausnutzen zu können, muss ein Angreifer eine Website mit einer Webseite einrichten, die diese Sicherheitslücke ausnutzt, und dann einen Benutzer zum Besuch dieser Webseite verleiten.

Der Angreifer kann auch eine HTML-E-Mail-Nachricht erstellen, die diese Sicherheitsanfälligkeit ausnutzt, und den Benutzer zum Lesen dieser HTML-E-Mail-Nachricht verleiten. Nachdem der Benutzer die Website besucht oder die schädliche HTML-E-Mail angezeigt hat, kann ein Angreifer, der diese Sicherheitsanfälligkeit ausnutzt, auf Dateien im Benutzersystem zugreifen und auf dem Benutzersystem beliebigen Code ausführen. Dieser Code wird im Sicherheitskontext des aktuell angemeldeten Benutzers ausgeführt. Outlook 2002 ist als separates Produkt verfügbar und außerdem im Lieferumfang von Office XP enthalten.

Schadensbegrenzende Faktoren:

• Wenn ein Outlook-Profil zum ersten Mal eingerichtet und während der ersten Konfiguration des Profils mindestens ein E-Mail-Konto eingerichtet wird, wird die Ordnerstandardhomepage automatisch von „Outlook Heute" in „Posteingang" geändert.
• Diese Sicherheitsanfälligkeit betrifft Benutzer nur, wenn die Homepage „Outlook Heute" die Ordnerstandardhomepage ist. Dies ist die Standardkonfiguration, wenn ein Outlook-Profil ohne E-Mail-Konten eingerichtet wird.
• Benutzer sind von dieser Sicherheitsanfälligkeit nur betroffen, wenn Outlook 2002 als Standardprogramm zum Lesen von E-Mails konfiguriert und die Homepage „Outlook Heute" die Ordnerstandardhomepage ist. Diese Konfiguration wird möglicherweise geändert, wenn andere E-Mail-Clients installiert werden, da diese sich selbst als Standardprogramm zum Lesen von E-Mail-Nachrichten auf dem System registrieren können.
• Wenn ein Angreifer diese Sicherheitsanfälligkeiten ausnutzt, erhält er die gleichen Berechtigungen wie der Benutzer. Für Benutzer, deren Konten mit geringen Systemrechten konfiguriert sind, besteht ein geringeres Risiko als für Benutzer, die mit Administratorberechtigungen arbeiten.

Microsoft Security Bulletin MS04-009 - Sicherheitsanfälligkeit in Microsoft Outlook kann Codeausführung ermöglichen (828040)