Microsoft hat zwei neue Bugfix-Pakete für den Internet Explorer und für Outlook Express zum Download bereit gestellt. Darin enthalten sind die bis heute bekannten Sicherheitskorrekturen, außerdem wurden auch neu entdeckte Sicherheitslücken gestopft.
Das aktuellen Sicherheitsloch in Outlook Express 5.5 und 6.0 betrifft die Anzeige
von MHTML-Inhalten, womit HTML-Inhalte in einer MIME-Kodierung versendet werden.
MHTML-URLs lassen sich bei Bedarf über die Kommandozeile, den Windows Explorer
oder mit dem Internet Explorer ausführen. Auch wenn MHTML-URLs mit dem
Internet Explorer angezeigt werden können, befindet sich die entsprechende
Routine nur in Outlook Express, die vom Browser verwendet wird.
Die Sicherheitslücke im MHTML-URL-Handler sorgt dafür, dass eine
beliebige als Text anzeigbare Datei im Internet Explorer angezeigt werden kann.
Wenn eine entsprechend formatierte URL auf eine auf dem lokalen Rechner gespeicherte
Textdatei verweist, wird dieses als HTML gerendert. Besitzt diese Datei Script-Befehle,
werden diese in der lokalen Sicherheitszone des Rechners ausgeführt. Ein
Angreifer kann die betreffende URL auf einer Webseite ablegen oder per E-Mail
verbreiten und so Angriffe initiieren.
Liegt die URL auf einer Webseite, kann ein Angreifer Dateien auf dem lokalen
Rechner lesen und auch ausführen. Verwendet man Outlook Express 6.0 und
Outlook 2002 nicht in der Standard-Konfiguration sowie Outlook 98 oder 2000
ohne das rund zwei Jahre alte E-Mail-Security-Update, läuft ein Angriff
automatisch ab, ohne dass der Anwender auf eine URL in einer E-Mail klicken
muss. Wurde das E-Mail-Security-Update für Outlook 98 respektive 2000 installiert
und läuft Outlook Express 6.0 und Outlook 2002 mit der Standard-Konfiguration,
wird ein Angriff erst durch das manuelle Öffnen der URL ausgelöst.
In beiden Fällen beschränken die Rechte des Angegriffenen die Privilegien
des Angreifers.
Sofern der Sammel-Patch für den Internet Explorer vom Februar 2003 installiert
wurde, kann ein Angreifer keine lokale Datei auf den betreffenden Rechner übertragen.
Dieser Patch sorgt zudem dafür, dass ein Angreifer lediglich Anwendungen
auf dem angegriffenen System ausführen kann – und das auch nur ohne die
Übergabe von Parametern.
Details, Download-Anweisungen und Voraussetzungen zu den Patches veröffentlichte
Microsoft in den beiden Advisories MS03-015
(Internet Explorer) und MS03-014
(Outlook Express). Obwohl es sich um kumulative Patches handelt, betont der
Konzern, dass beispielsweise für den Internet Explorer zusätzlich
das Update des HTML-Help-Controls notwendig werden kann.
Microsoft bietet passende Patches für Outlook Express 5.5 mit Service
Pack 2 sowie Outlook Express 6 mit und ohne Service Pack 1 unter anderem in
deutscher Sprache zum Download
an.