Millionen Anwender durch schwere, kritische Sicherheitslücke in Microsofts Outlook in Gefahr

Allgemeines, IT News, NewMedia und Nachrichten zu Software Entwicklung

Angriffsrisiko durch XML-Bombe seit 2009 Microsoft-intern bekannt

Microsoft wartet mit einem Patch

Angreifer können PCs, auf denen Outlook 2007–2013 installiert ist, regelrecht zum Einfrieren bringen. Nichts geht dann mehr mit Outlook. Die dafür notwendige XML-Bombe besteht aus nur wenigen Zeilen einer E-Mail (HTML- oder Nur-Text) und nutzt eine Sicherheitslücke im Zusammenhang mit der Seitenbeschreibungssprache XML aus. „Explodiert die XML-Bombe in einem PC, friert Outlook ein. Je nach Konfigurierung ist ein Neustart von Outlook gar nicht möglich“, erläutert softScheck-Geschäftsführer Professor Dr. Hartmut Pohl. Selbst Sicherheitseinstellungen schützen nicht gegen das Einfrieren von Outlook.

Der PC-Anwender muss zunächst die betreffende Mail mit der XML-Bombe löschen. Um das tun zu können, muss Outlook im abgesicherten Modus gestartet werden. Viele PC-Anwender sind damit überfordert und der XML-Bombe deshalb mehr oder weniger hilflos ausgeliefert.

Mitarbeiter der IT-Sicherheitsberatung softScheck in Sankt Augustin bei Bonn hatten die kritische Denial of Service Sicherheitslücke in Outlook bei einem Standardtest entdeckt und Microsoft bereits im Februar 2014 darüber informiert. Das Microsoft Security Response Center hat die Sicherheitslücke bestätigt, bis heute allerding nicht geschlossen. „Unsere weiteren Recherchen haben dann ergeben, dass dieses Sicherheitsproblem Microsoft-intern bereits seit dem Jahr 2009 bekannt ist“, berichtet softScheck-Chef Pohl.

Um das Problem zu beheben und die Sicherheitslücke zu schließen, muss Microsoft beim sogenannten XML-Parser nachbessern. Das ist ein Computerprogramm, das in der Seitenbeschreibungssprache XML erstellte Dokumente analysiert und für die weitere Bearbeitung aufbereitet.

Als Soforthilfe empfiehlt softScheck Outlook-Anwendern, Mails mit der Dokumententyp-Definition („<!ENTITY“) vom Spam-Filter herausfischen zu lassen.

Die Sicherheitslücke ist geeignet für Gegenangriffe. Angegriffene amerikanische Sicherheitsbehörden wie die NSA verteidigen sich bei Angriffen mit Gegenangriffen (Counter Attack by Sabotage).

Für weitere technische Informationen klicken Sie hier.

http://softscheck.de/press/140507_Pohl_softScheck_PM_Kritische_Sichehreitsluecke_in_MS_Outlook_Technicher_Hintergrund.pdf

Über softScheck

Die IT-Sicherheitsberatung softScheck GmbH hat sich in den letzten Jahren mit der Identifizierung von bisher nicht-erkannten Sicherheitslücken in Software (und auch Hardware) neue, attraktive Wachstumsfelder erschlossen.

softScheck führt regelmäßig Sicherheitsprüfungen von Software und Hardware durch. Daneben bietet softScheck selbstverständlich auch die klassische IT-Sicherheitsberatung an vom Grundschutz (ISO 27000-Familie) bis hin zur Hochsicherheit in der Informationsverarbeitung (Redundanz und Diversität) – auch mit Consulting, Coaching und Forensics.

Kontakt

Anja Wallikewitz                                 softScheck GmbH

Tel.: 02241 – 255 43 –  11                    Bonner Straße 108

Fax: 02241 – 255 43 –  29                    53757 Sankt Augustin

anja.wallikewitz@softScheck.com          www.softScheck.com