[MS/Outlook,IE,Office XP] Schwachstelle in ActiveX-Control
(2001-07-16 09:00:53+02) Druckversion
Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/07/msg00208.html
Es existiert eine Schwachstelle in dem ActiveX-Control Microsoft Outlook View Control von Microsoft Outlook. Durch diese Schwachstelle kann mittels einer arglistigen Webseite oder HTML E-Mail beliebiger Programmcode ausgeführt werden.
Betroffene Systeme
- Microsoft Outlook 98
- Microsoft Outlook 2000
- Microsoft Outlook 2002
- Microsoft Internet Explorer
Einfallstor
arglistige Webseite oder HTML E-Mail
Auswirkung
Ausführung beliebigen Programmcodes mit den Privilegien des
Benutzers der die arglistige Webseite oder HTML E-Mail betrachtet.
Typ der Verwundbarkeit
design flaw (unsafe function)
Gefahrenpotential
hoch
(Hinweise zur
Einstufung
des Gefahrenpotentials.)
Beschreibung
Die ActiveX Funktion
Microsoft Outlook View Control weist eine Schwachstelle auf. Da
diese Funktion als Safe for Scripting definiert ist, lässt
sich darüber beliebiger Programmcode ausführen. Dies könnte beispielsweise
mittels einer arglistigen Webseite oder HTML E-Mail erfolgen. Der Programmcode würde mit den Privilegien des
Benutzers, der die Webseite/E-Mail betrachtet, ausgeführt.
Diese Schwachstelle kann bei den Standardeinstellungen von Microsoft
Windows ausgenutzt werden, da die ActiveX-Controls aktiviert sind.
Auf Systemen bei denen die ActiveX-Controls deaktiviert sind
(siehe Workaround), kann diese Schwachstelle nicht ausgenutzt werden.
Gegenmaßnahmen
Bisher liegt noch kein Patch vor. Microsoft hat einen Patch zur
Behebung dieser Schwachstelle angekündigt.
Workaround
Deaktivieren Sie ActiveX
- ActiveX in der Internet Zone (besser aber auch für alle anderen) des Internet Explorers deaktivieren
Tools | Internet Options | Security | Internet -> Custom Level und deaktivieren Sie dort "Run ActiveX controls and plugins"
Weitere Information zu diesem Thema
- Georgi Guninski security advisory #49, 2001
- Microsoft Security Bulletin MS01-038 Outlook View Control Exposes Unsafe Functionality
- Windows NTBugtraq Mailing List Vulnerability in IE/Outlook ActiveX control
Weitere Artikel zu diesem Thema:
- [MS/Outlook,IE,Office XP] Schwachstelle in ActiveX-Control - Patch verfügbar (2001-08-17)
Es existiert eine Schwachstelle in dem ActiveX-Control Microsoft Outlook View Control von Microsoft Outlook. Durch diese Schwachstelle kann mittels einer arglistigen Webseite oder HTML E-Mail beliebiger Programmcode ausgeführt werden. Nun ist ein Patch zur Behebung dieser Schwachstelle verfügbar.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die Universität
Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel
darf ausschließlich in unveränderter Form und nur zusammen mit diesem
Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine
Veröffentlichung unter diesen Bedingungen an anderer Stelle ist
ausdrücklich gestattet.
Copyright © 2013 RUS-CERT, Universität Stuttgart, http://cert.uni-stuttgart.de/
| Vorherige Meldung | Weitere Meldungen... | Nächste Meldung |
Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.