Thema: Phishing- und Spoofing-Schwachstelle in Outlook Express und Internet Explorer

[SiLæncer]

Der Sicherheitsexperte namens "winter bitlance" warnt erneut vor einem Sicherheitsproblem, dieses Mal in Microsofts E-Mail-Programm und dem Internet Explorer. Die Schwachstelle ermöglicht es einem Angreifer, einem Opfer einen falschen Link in einer HTML-E-Mail vorzutäuschen; die Statusbar von OE oder IE zeigt dabei an, dass der Link angeblich auf eine vertrauenswürdige Adresse führt. Folgt ein Anwender dem Link, könnte er dann aber auf eine betrügerische Webseite gelangen, die seinen Rechner mit Spyware, Trojanern und anderen ungewünschten Dingen traktiert. Die Schwachstelle kann von einem Angreifer auch zu Phishing-Zwecken verwendet werden.

Das Spoofing funktioniert ganz ohne Javascript, über das man die Statusbar standardmäßig manipulieren kann. Es nützt also hier nichts, in den Sicherheitseinstellungen des Internet-Explorers das Ausführen von Scripten zu unterbinden; auch dass Outlook Express HTML-Mails normalerweise in der Restricted Zone mit ausgeschalteten JavaScript öffnet, bietet in diesem Fall keinen Schutz. Ein Angreifer muss dem Outlook-Anwender nur eine HTML-Mail unterjubeln, die ein speziell für den Angriff erzeugtes Formular in einer URL enthält.

heise Security konnte das Problem beim Internet Explorer 6 auf einem aktualisierten Windows XP-System mit installiertem Service-Pack 2 nachvollziehen. Wer sich schützen will, sollte entweder in Outlook Express nicht mehr auf Links in E-Mails klicken oder auf einen anderen Mail-Client wechseln. Alternativ kann man auch die HTML-Ansicht deaktivieren (siehe c't-Emailcheck).

Mit dem c't-Emailcheck / Falsche Links kann man sich eine E-Mail zusenden lassen, um zu überprüfen, ob ein Mail-Programm anfällig für diese Schwachstelle ist.

Quelle und Links : http://www.heise.de/newsticker/meldung/56552

[Jürgen]

MEINUNG:

Die Sicherheitslücke heisst Internet Explorer, Outlook und Outlook Express sind letztlich nur Erweiterungen davon.

MEINUNG OFF

Letzteres kommt ja auch mit ihm, das Outlook aus den Office-Paketen wiederum setzt auf Outlook Express auf, installiert dieses sogar nach, wenn vorher nicht vorhanden, wie auch den IE.

Aber MS Office läuft auch mit anderen Browsern und E-Mail-Clients zusammen.

Allerdings beruht ebenso die Hilfe-Funktion von Windows auf dem IE, da sind ja auch schon Lücken ausgenutzt worden. Besser also, für Fragen Bücher zu Rate zu ziehen...

[SiLæncer]

´as usual....´

[Warpi]

Und das soll mit dem Ie 7 aufhören ?  
Das glauben wohl nur Uncle Bill und seine Freunde.
Es gibt leider gibt kein perfektes Os aber eines ist nahe dran.