Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-798

[MS/Outlook,Word] Schwachstelle in Outlook im Zusammenspiel mit Word
(2002-04-26 07:02:12+00) Druckversion

Quelle: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-021.asp

Beim Antworten bzw. Weiterleiten von HTML-E-Mails wird eingebetteter Script-Code ausgeführt, falls Microsoft Word als E-Mail-Editor für HTML-Nachrichten verwendet wird.

Betroffene Systeme

  • Microsoft Outlook 2000
  • Microsoft Outlook 2002
  • möglicherweise sind ältere Outlook-Versionen ebenfalls betroffen
Frühere Versionen von Microsoft Outlook werden von Microsoft nicht mehr unterstützt und auch nicht mehr auf etwaige Schwachstellen überprüft.

Einfallstor
Arglistige HTML-E-Mail. Allerdings ist eine aktive Handlung des Anwenders notwendig, da die Schwachstelle nur beim Antworten/Weiterleiten von HTML-E-Mails auftritt.

Auswirkung
Ausführung beliebigen Programmcodes.

Typ der Verwundbarkeit
design flaw

Gefahrenpotential
mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Microsoft Outlook bietet die Möglichkeit, Nachrichten in bestimmten Formaten (HTML, Rich-Text, Nur-Text) mit Microsoft Word zu bearbeiten. Fungiert Microsoft Word als E-Mail-Editor und der Anwender antwortet auf eine HTML-E-Mail bzw. leitet diese E-Mail weiter (forwarding), so wird darin enthaltener Script-Code mit den Privilegien des Anwenders ausgeführt.

Gegenmaßnahmen
Microsoft stellt Patches für Microsoft Word (Office) zur Verfügung. Der Patch wird nach Angaben von Microsoft ebenfalls Bestandteil des nächsten Service-Packs für Microsoft Office sein.

Vulnerability ID

Weitere Information zu diesem Thema

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.