09.04.2002
Der Bulgare Georgi Guninski ist darauf spezialisiert, Microsoft-Produkte auf Lücken und Fehler abzuklopfen. Jetzt hat er herausgefunden, dass das in Office XP integrierte Outlook missbraucht werden kann, um über eine präparierte Mail mit aktivem Inhalt den Benutzer auf bestimmte Webseiten zu leiten. Dafür genüge es, die Mail zu beantworten oder weiterzuleiten. Guninski bietet ein Beispielskript zum Testen dieses Fehlverhaltens an.
Microsoft hat die Lücke bestätigt. Der Benutzer soll HTML-E-Mail in Outlook abschalten, rät Microsoft. Außerdem sollte Word nicht als Mail-Editor eingetragen sein. Guninskis 'Lösung' ist radikaler, die Benutzer sollen sich richtige Mail-Clients und Office-Anwendungen besorgen. Der Workaround des Bulgaren lautet, im Internet Explorer alles zu deaktivieren, was den Zusatz 'active' trägt.
Der zweite bedenkliche Fehler steckt in der Tabellen-Komponente von Office XP. Guninski vergleicht die 'Office Spreadsheet Component' mit einem Mini-Excel. Die Komponente kann etwa dazu benutzt werden, um einfache Tabellen in Webseiten einzubinden, aber auch in Office-Dokumente. Laut Guninski lässt sich der Fehler in der Host()-Funktion der Spreadsheet Component nutzen, um ausführbare Dateien zu erzeugen und im Autostart-Verzeichnis des Rechners zu platzieren. Letztlich könne der Rechner so von einem Angreifer übernommen werden. Microsoft widerspricht, die Datei könne vielleicht erzeugt, jedoch nicht ausgeführt werden. Einen Workaround bieten weder Guninski noch Microsoft an.
Microsoft hat empfindlich auf die Veröffentlichung Guninskis reagiert. Man habe keine faire Chance zur Erforschung der Lücken bekommen. Verantwortungsbewusste Sicherheits-Experten seien bereit, mit Herstellern zusammenarbeiten. So könne man Gegenmittel vor Veröffentlichung fertigstellen, zum Wohl der Benutzer. Guninski erwidert auf seinen Webseiten, dass er Microsoft vor zwei Wochen informiert habe.
Weiter in der Web-Version mit Fotos, Videos, Links und mehr...