Meldung Nr: RUS-CERT-798

[MS/Outlook,Word] Schwachstelle in Outlook im Zusammenspiel mit Word
(2002-04-26 07:02:12+00)

Quelle: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-021.asp

Beim Antworten bzw. Weiterleiten von HTML-E-Mails wird eingebetteter Script-Code ausgeführt, falls Microsoft Word als E-Mail-Editor für HTML-Nachrichten verwendet wird.

Betroffene Systeme

• Microsoft Outlook 2000
• Microsoft Outlook 2002
• möglicherweise sind ältere Outlook-Versionen ebenfalls betroffen

Frühere Versionen von Microsoft Outlook werden von Microsoft nicht mehr unterstützt und auch nicht mehr auf etwaige Schwachstellen überprüft.

Einfallstor
Arglistige HTML-E-Mail. Allerdings ist eine aktive Handlung des Anwenders notwendig, da die Schwachstelle nur beim Antworten/Weiterleiten von HTML-E-Mails auftritt.

Auswirkung
Ausführung beliebigen Programmcodes.

Typ der Verwundbarkeit
design flaw

Gefahrenpotential
mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Microsoft Outlook bietet die Möglichkeit, Nachrichten in bestimmten Formaten (HTML, Rich-Text, Nur-Text) mit Microsoft Word zu bearbeiten. Fungiert Microsoft Word als E-Mail-Editor und der Anwender antwortet auf eine HTML-E-Mail bzw. leitet diese E-Mail weiter (forwarding), so wird darin enthaltener Script-Code mit den Privilegien des Anwenders ausgeführt.

Gegenmaßnahmen
Microsoft stellt Patches für Microsoft Word (Office) zur Verfügung. Der Patch wird nach Angaben von Microsoft ebenfalls Bestandteil des nächsten Service-Packs für Microsoft Office sein.

• Microsoft Word 2002:
  • Client Installation: http://office.microsoft.com/downloads/2002/wrd1003.aspx
  • Administrative Installation: http://www.microsoft.com/office/ork/xp/journ/wrd1003a.htm
• Microsoft Word 2000:
  • Client Installation: http://office.microsoft.com/downloads/2002/wrd0901.aspx
  • Administrative Installation: http://www.microsoft.com/office/ork/xp/journ/wrd0901a.htm

Vulnerability ID

• CAN-2002-1056

Weitere Information zu diesem Thema

• Microsoft Security Bulletin MS02-021 E-mail Editor Flaw Could Lead to Script Execution on Reply or Forward

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2018 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

---

https://cert.uni-stuttgart.de/ticker/article.php?mid=798