[MS/Outlook,Word] Schwachstelle in Outlook im Zusammenspiel mit Word
(2002-04-26 07:02:12+00)
Quelle:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-021.asp
Beim Antworten bzw. Weiterleiten von HTML-E-Mails wird eingebetteter Script-Code ausgeführt, falls Microsoft Word als E-Mail-Editor für HTML-Nachrichten verwendet wird.
Betroffene Systeme
- Microsoft Outlook 2000
- Microsoft Outlook 2002
- möglicherweise sind ältere Outlook-Versionen ebenfalls betroffen
Einfallstor
Arglistige HTML-E-Mail. Allerdings ist eine aktive Handlung des
Anwenders notwendig, da die Schwachstelle nur beim
Antworten/Weiterleiten von HTML-E-Mails auftritt.
Auswirkung
Ausführung beliebigen Programmcodes.
Typ der Verwundbarkeit
design flaw
Gefahrenpotential
mittel
(Hinweise zur
Einstufung
des Gefahrenpotentials.)
Beschreibung
Microsoft Outlook bietet die Möglichkeit, Nachrichten in bestimmten
Formaten (HTML, Rich-Text, Nur-Text) mit Microsoft Word zu bearbeiten.
Fungiert Microsoft Word als E-Mail-Editor und der Anwender antwortet
auf eine HTML-E-Mail bzw. leitet diese E-Mail weiter (forwarding),
so wird darin enthaltener Script-Code mit den Privilegien des Anwenders
ausgeführt.
Gegenmaßnahmen
Microsoft stellt Patches für Microsoft Word (Office) zur Verfügung.
Der Patch wird nach Angaben von Microsoft ebenfalls Bestandteil des
nächsten Service-Packs für Microsoft Office sein.
- Microsoft Word 2002:
- Client Installation: http://office.microsoft.com/downloads/2002/wrd1003.aspx
- Administrative Installation: http://www.microsoft.com/office/ork/xp/journ/wrd1003a.htm
- Microsoft Word 2000:
- Client Installation: http://office.microsoft.com/downloads/2002/wrd0901.aspx
- Administrative Installation: http://www.microsoft.com/office/ork/xp/journ/wrd0901a.htm
Vulnerability ID
Weitere Information zu diesem Thema
- Microsoft Security Bulletin MS02-021 E-mail Editor Flaw Could Lead to Script Execution on Reply or Forward
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die Universität
Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel
darf ausschließlich in unveränderter Form und nur zusammen mit diesem
Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine
Veröffentlichung unter diesen Bedingungen an anderer Stelle ist
ausdrücklich gestattet.
Copyright © 2019 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=798