Wien - Die Versionen 98, 2000 und 2002 von
Microsoft Outlook enthalten erhebliche Sicherheitslücken, die die
Veränderung von Outlook-Daten über eine Webseite möglich machen. Dies
gesteht Microsoft in dem aktuellen Security Bulletin MS01-038
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-038.asp
ein. Ein Patch ist derzeit nicht verfügbar.
Durch ein ActiveX-Control können E-Mail-Verzeichnisse und
Kalendereinträge auch unterwegs über eine Webseite eingesehen werden.
Darüber sollte eigentlich nur das Lesen möglich sein. Durch ein
Sicherheitsloch können Outlook-Daten aber auch verändert werden. E-Mails
können so gelöscht oder versendet und Termine verändert werden.
Microsoft arbeitet derzeit an einem Patch, der aber noch nicht erhältlich
ist. Um die Lücke vorerst zu schließen, empfiehlt Microsoft, die Option
"ActiveX Steuerelemente und Plugins aktivieren" im Internet Explorer
abzuschalten und das Outlook E-Mail Security Update zu installieren, das
in Outlook 2002 bereits enthalten ist. Einen echten Patch soll es erst
mit dem Service Pack 1 von Office XP geben. Bis dahin müssen die Anwender
ohne ActiveX auskommen.
In dem veröffentlichten Security Newsletter greift Microsoft Georgi
Guninski http://www.guninski.com , den Entdecker der Sicherheitslücke an,
unverantwortlich gehandelt zu haben. Er hätte Microsoft vorab warnen
sollen, um einen größeren Schaden zu verhindern.
Microsoft hat die Sicherheitslücke nur für die Outlook-Versionen 98, 2000
und 2002 getestet, weil der Hersteller für frühere Versionen keinen
Support mehr anbietet. Es ist durchaus möglich, dass das Problem auch bei
früheren Versionen von Outlook auftritt.
