[MS/Outlook,IE,Office XP] Schwachstelle in ActiveX-Control - Patch verfügbar
(2001-08-17 16:01:11+00)
Quelle:
http://cert.uni-stuttgart.de/archive/bugtraq/2001/08/msg00236.html
Es existiert eine Schwachstelle in dem ActiveX-Control Microsoft Outlook View Control von Microsoft Outlook. Durch diese Schwachstelle kann mittels einer arglistigen Webseite oder HTML E-Mail beliebiger Programmcode ausgeführt werden. Nun ist ein Patch zur Behebung dieser Schwachstelle verfügbar.
Betroffene Systeme
- Microsoft Outlook 98
- Microsoft Outlook 2000
- Microsoft Outlook 2002
- Microsoft Internet Explorer
Einfallstor
arglistige Webseite oder HTML E-Mail
Auswirkung
Ausführung beliebigen Programmcodes mit den Privilegien des Benutzers der die arglistige Webseite oder HTML E-Mail betrachtet.
Typ der Verwundbarkeit
design flaw (unsafe function)
Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Wie bereits unter [MS/Outlook,IE,Office XP] Schwachstelle in ActiveX-Control beschrieben, besitzt die ActiveX Funktion Microsoft Outlook View Control eine Schwachstelle. Die Funktion ist als Safe for Scripting definiert ist, wodurch sich beliebiger Programmcode ausführen lässt. Dies könnte beispielsweise mittels einer arglistigen Webseite oder HTML E-Mail erfolgen. Der Programmcode würde mit den Privilegien des Benutzers, der die Webseite/E-Mail betrachtet, ausgeführt. Diese Schwachstelle kann bei den Standardeinstellungen von Microsoft Windows ausgenutzt werden, da die ActiveX-Controls aktiviert sind. Auf Systemen bei denen die ActiveX-Controls deaktiviert sind, kann diese Schwachstelle nicht ausgenutzt werden.
Gegenmaßnahmen
Microsoft stellt Patches zur Verfügung:
- Outlook 2002:
http://office.microsoft.com/downloads/2002/OLK1003.aspx. - Outlook 2000:
http://office.microsoft.com/downloads/2000/outlctlx.aspx.
Weitere Information zu diesem Thema
- Microsoft Security Bulletin MS01-038 Outlook View Control Exposes Unsafe Functionality
Weitere Artikel zu diesem Thema:
- [MS/Outlook,IE,Office XP] Schwachstelle in ActiveX-Control (2001-07-16)
Es existiert eine Schwachstelle in dem ActiveX-Control Microsoft Outlook View Control von Microsoft Outlook. Durch diese Schwachstelle kann mittels einer arglistigen Webseite oder HTML E-Mail beliebiger Programmcode ausgeführt werden.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=447