News 10.10.2007, 11:51 Uhr

Nächstes Opfer der URI-Lücke: Outlook

Unter den Programmen, die von der URI-Lücke betroffen sind, befinden sich auch die Microsoft-Anwendungen Outlook 2000 und Outlook Express.
Erst gestern berichtete der PCtipp von Sicherheitsproblemen in Skype und Adobe Reader, die auf die URI-Lücke zurückzuführen sind. Jetzt vermeldet Secunia, auch Outlook Express und Outlook 2000 seien dem Problem ausgesetzt. Wer mit diesen Programmen unterwegs ist, muss momentan besonders vorsichtig mit dem Anklicken von Links sein.
In Fachkreisen wird schon länger gestritten, ob der Fehler bei Microsoft Windows liegt oder ob die Anwendungen falsch programmiert sind. Jetzt, wo Microsoft ein Problem in den eigenen Anwendungen hat, dürfte die Diskussion wieder neu entfachen.
Bei dem Fehler geht es um Hyperlinks, für die eine Software ein anderes Programm startet – beispielsweise startet ein Webbrowser die Mailsoftware, wenn ein Link mit "mailto:" beginnt. Unter bestimmten Voraussetzungen wird dabei nicht überprüft, ob es sich tatsächlich um einen gültigen Mail-Link handelt oder um etwas völlig anderes, beispielsweise eine ausführbare Datei. Zum Beispiel kann man unter Start > Ausführen den Link
mailto:test%../../../../windows/system32/calc.exe".cmd
eingeben, und der Taschenrechner wird gestartet. Diesen Umstand könnte ein Krimineller dazu nutzen, einen Schädling zu starten, wenn der Anwender denkt, er klicke auf einen harmlosen Link.

Autor(in) David Lee



Kommentare
Es sind keine Kommentare vorhanden.