Microsoft Outlook Express/Windows Fehler in der Behandlung von MHTML-Ressourcen • scip AG VulDB

VulDB: Microsoft Outlook Express/Windows Fehler in der Behandlung von MHTML-Ressourcen

Allgemein

scipID: 3127
Betroffen: Microsoft Outlook Express and Windows Mail
Veröffentlicht: 12.06.2007 (Yosuke Hasegawa, WebAppSec.JP)
Risiko: problematisch

Beschreibung

Taxierung der Schwachstelle

Outlook Express (Abk. OE, in der Microsoft Support Knowledge Base auch OLEXP) ist ein E-Mail-Programm und Newsreader von Microsoft, der dem Betriebssystem Windows in den aktuellen Versionen beiliegt und deshalb auch von vielen Anwendern eingesetzt wird. Trotz der Namensähnlichkeit ist das mit dem Internet Explorer zusammenhängende Programm ein von der Groupware Outlook unabhängiges Programm. Abgelöst wurde es mit dem Erscheinen von Windows Vista durch Windows Mail. Windows Mail ist der Nachfolger von Outlook Express aus dem Hause Microsoft. Es beinhaltet ein E-Mail-Programm und Newsreader und wird mit Windows Vista mitgeliefert. Anders als Outlook Express ist Windows Mail nicht mehr Bestandteil des Internet Explorers und somit anders als dieser nicht mehr für Windows Versionen vor Vista erhältlich. Yosuke Hasegawa veröffentlichte unlängst eine Schwachstelle, bei der durch einen Fehler im MHTML-Protokollhandler der Download-Dialog des korrespondierenden Internet Explorers unterdrückt werden kann. Ausserdem ermöglicht die Schwachstelle das Auslesen von Daten aus einer anderen Instanz des Internet Explorers.

Auch Outlook Express resp. Windows Mail gehörte zu den verbreiteteren Applikationen, nachdem vor allem private Nutzer gerne auf mitgelieferte Software zurückgreifen. Die vorliegenden Schwachstellen sind insofern als relativ kritisch zu bewerten und sollten, sofern Outlook Express/Windows Mail verwendet wird, baldmöglichst durch die entsprechenden Patches adressiert werden.