Böses Loch in Outlook via WWW
Ein böses Sicherheitsloch im Exchange 2000 Server meldet Microsofts Security Bulletin MS01-030. Es betrifft vor allem Business-User, die ihre Firmen-Mail von auswärts mit dem Internet Explorer über den Service Outlook Web Access [OWA] via Web ansehen.
Bei einem Mail-Attachment, das an sich ungefährlichen HTML Code enthält, tritt ein möglicherweise fataler Automatismus in Kraft. Internet Explorer und OWA sind sich nämlich einig, jedes in HTML eingebettete Script unverzüglich auszuführen.
Da sich der Vorgang nicht auf dem Home-PC, sondern auf dem Webserver abspielt, kann ein Script - wie etwa das durch ILOVEYOU auch ¿Normalusern¿ bekannt gewordene Visual Basic Script [VBS] - dort alle möglichen Befehle ausführen.
Was passieren kann
Das heißt, sich wie der Loveletter und seine Klons an alle
Adressen in MS-Outlook weiterschicken, die Ordner in der Mailbox
manipulieren, Einstellungen ändern oder alle Mails einfach löschen
und anschließend den Papierkorb leeren.
Gemeine Tarnung möglich
Das heißt, sich wie der Loveletter und seine Klons an alle Adressen in MS-Outlook weiterschicken, die Ordner in der Mailbox manipulieren, Einstellungen ändern oder alle Mails einfach löschen und anschließend den Papierkorb leeren.
Das zusätzlich Gefährliche an diesem Sicherheitsloch dürfte nach Aussage von Microsoft allerdings der Umstand sein, dass eine Datei beliebigen Typs als Träger für ein Script der bösen Art in Frage kommt.
Das heißt, neben HTML können auch bisher generell unverdächtige Datei-Attachments [wie GIF oder JPEG oder auch Adobe Acrobat] gefährlich sein, wenn sie der User via Outlook Web Access öffnet..
Outlook selbst nicht betroffen
Wie Microsoft meldet, ist Outlook selbst von dem Bug nicht betroffen, da in HTML eingebettete Scripts nicht automatisch ausgeführt werden. Als "best praktice" empfiehlt MS, Attachments von unbekannten Absendern nicht aufzumachen. Der Flicken für die Lücke im Internet Exchange Server wurde gleichzeitig mit der Nachricht von der Existenz des Sicherheitslochs im Netz von Microsoft verfügbar gemacht.
Informationspolitik
Zur Politik Microsofts ist anzumerken, dass in den letzten
Monaten immer öfter MS selbst zuerst vor Lücken warnt. Davor erfuhr
man über gravierende Sicherheitslöcher meist erst etwas, wenn schon
ein Virus oder Wurm in Umlauf war, der sie zum bösen Zwecke nützte.