IT-Sicherheit

Warnung: Professor identifiziert Outlook-Sicherheitslücke

| Redakteur: Robert Weber

Über Textmails können Hacker eine Sicherheitslücke in Outlook ausnutzen.
Über Textmails können Hacker eine Sicherheitslücke in Outlook ausnutzen. (Bild: Klicker/pixelio.de)

Das Unternehmen Softscheck hat in Microsoft Outlook 2007–2013 eine Denial of Service Sicherheitslücke identifiziert: Ein Angreifer kann mittels einer Text-Email mit speziellem Inhalt den Outlook-Client des Anwenders beim Öffnen der Email zum Einfrieren bringen, heißt es in einer Erklärung Prof. Dr. Hartmut Pohl, Geschäftsführender Gesellschafter.

Daraufhin ist der Anwender gezwungen, Outlook zu terminieren. In der Standardkonfiguration von Outlook, in der Inhalte von Emails in einem Lesebereich angezeigt werden, stürzt dieses beim Starten erneut ab, da die Email automatisch zum Anzeigen geöffnet wird. In diesem Fall muss Outlook im abgesicherten Modus gestartet und die betreffende Email gelöscht werden. Selbst mit der Sicherheitseinstellung „Standardnachrichten im Nur-Text-Format lesen“ friert Outlook ein.

Die Sicherheitslücke betrifft den XML-Parser von Microsoft Office und damit auch andere Microsoft Office Produkte. Seit Microsoft Office 2007 verwenden alle Office-Produkte auf XML basierende Dateiformate und sind damit in allen Versionen (inklusive Office für Mac) und Patch-Level für diese Lücke anfällig. Der XML-Parser kann mit einer XML-Bombe zum Abarbeiten einer exponentiell wachsenden Aufgabe gezwungen werden, was den Arbeitsspeicher zunehmend füllt und die Anwendung zum Einfrieren bringt. Das Problem ist seit mindestens 2003 bekannt und wurde von Microsoft selbst in 2009 in dem Artikel „XML Denial of Service Attacks and Defenses“ thematisiert.

Elektrotechnik verzichtet darauf den Textmail-Inhalt zu veröffentlichen. Darin werden mittels einer XML Dokumenttypdefinition (DTD) mehrere Entitäten definiert, die

jeweils rekursiv auf die Vorhergehenden verweisen. Ein XML-Parser ist darauf angewiesen, alle Verweise zu expandieren, was eine exponentiell wachsende Aufgabe ist während der Outlook einfriert. Zwar kehrt nach der Verarbeitung Outlook zu einem lauffähigen Status zurück, doch dies dauert Tage und kann durch Erweitern der XML-Bombe um wenige Zeichen auf Monate hochgeschraubt werden.

Andere Eingabeschnittstellen in Office-Produkten sind ebenfalls betroffen, beispielsweise das Einfügen einer XML-Bombe durch die Zwischenablage in Microsoft Word.

Microsoft stuft Lücke nicht als sicherheitsrelevant ein

Die Angriffsart ist öffentlich dokumentiert und von unbedarften Angreifern leicht ausnutzbar. Eine aktive Ausnutzung ist derzeit nicht bekannt. Softscheck hat die Denial of Service Lücke der Microsoft Corporation gemeldet. Microsoft hat die Lücke bestätigt, sieht sie aber nicht als sicherheitsrelevant an und will sie in einem zukünftigen Office-Update beheben. Trotzdem können sich Anwender schützen, in dem sie in ihrem Spam-Filter Emails mit Entitäten in XML-DTDs („<!ENTITY“) herausfiltern. Auch eine in Outlook definierte Email-Regel, die Nachrichten mit diesem Stichwort im Textinhalt löscht, ist eine wirkungsvolle Schutzmaßnahme.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42621631 / Security)