Alert! Microsoft schließt kritische Lücke in Outlook Express und Windows Mail

Wie angekündigt hat Microsoft zwei Updates veröffentlicht, die kritische Sicherheitslücken schließen. Ein Fehler in der Implementierung des POP3- und IMAP-Protokolls führt bei präparierten Antworten eines Mailservers zu einem Überlauf in Outlook Express und Windows (Live) Mail. Auf diesem Weg kann ein Angreifer seinen Code in ein verwundbares System schleusen und mit den Rechten des Anwenders starten.

Um Opfer eines Angriffs zu werden, muss man nicht zwangsläufig direkt mit einem manipulierten Server Kontakt aufnehmen. Es genügt auch, wenn sich ein Angreifer mit einem Server über eine Man-in-the-Middle-Attacke dazwischenhängt oder Clients über DNS-Manipulationen umleitet.

Betroffen sind Outlook Express 5.5 und 6 sowie Windows Mail und Live Mail unter Windows 7, Vista, XP, Server 2003 und Server 2008. Je nach Betriebssystemversion variiert, wie schwer Microsoft den Fehler einstuft: Unter Windows 7 sieht man das Problem weniger kritisch als unter XP und Vista – was aber nur daran liegt, dass man die Mail-Anwendungen unter Windows 7 erst manuell installieren muss, damit die Lücke zum Tragen kommt. Die eigentlich verwundbare Komponente inetcomm.dll ist in Windows 7 aber durchaus enthalten. MS10-030 korrigiert den Fehler.

Darüber hinaus beseitigt MS10-031 einen Fehler in Visual Basic for Applications (VBA) beim Umgang mit ActiveX-Controls. Manipulierte Office-Dokumente können einen Fehler provozieren, durch den ein Angreifer einen Rechner kompromittieren kann. Nähere Angaben macht Microsoft nicht. Betroffen sind Office XP, Office 2003, 2007 Office System wie auch die Entwicklertools Microsoft Visual Basic for Applications und das SDK.

Die Redmonder halten das Auftauchen zuverlässigen Exploit-Codes zwar bei beiden Lücken für unwahrscheinlich; Anwender sollten die Updates dennoch so bald wie möglich installieren.

Siehe dazu auch:

• Microsoft Security Bulletin Summary for May 2010

(dab)