(25.04.03 - pte) - Microsoft stopft mehrere Sicherheitslücken in seinem Internet Explorer und dem E-Mail-Programm Outlook Express. Wie der Softwarekonzern in den entsprechenden Sicherheits-Bulletins mitteilt, werden Lecks in beiden Programmen als kritisch eingestuft. Die Sicherheitslücken können von Angreifern dazu ausgenutzt werden, die Kontrolle über den PC des Opfers zu übernehmen und beliebige Codes auszuführen.

Die vier Sicherheitslücken im Internet Explorer (IE) betreffen die Versionen 5.01, 5.5 und 6.0. Frühere Versionen werden von Microsoft nicht länger unterstützt. Die schwerwiegendste Sicherheitslücke betrifft die Funktion URLMON.DLL. Dabei überprüft der IE nicht alle Parameter der Informationen, die von einem Webserver stammen. Der Benutzer muss dazu nur die entsprechend präparierte Webseite des Angreifers besuchen oder eine HTML-Mail lesen. Die zweite schwerwiegende Sicherheitslücke ist eine Möglichkeit für einen Buffer-Overrun-Angriff, da der IE Internetadressen aus Drittquellen überprüft. Die anderen beiden Lecks ermöglichen einem Angreifer Files vom PC des Opfers auszulesen oder herunterzuladen. Ein kumulativer Patch wird von Microsoft bereitgestellt. Der Softwarekonzern empfiehlt allen Benutzern, diesen einzuspielen.

Die Sicherheitslücke im Outlook Express erlaubt im schlechtesten Fall einem Angreifer ebenfalls einen vollständigen Zugriff auf den PC des Opfers. Der Bug liegt in einer fehlerhaften Bearbeitung von HTML-Mails im Programm. Auch bei dieser Sicherheitslücke rät der Softwaregigant allen Benutzern, den Patch möglichst schnell einzuspielen.