Patchday: Microsoft schließt Lecks in Outlook Express und Windows Mail

BetriebssystemDeveloperIT-ProjekteOffice-AnwendungenSicherheitSicherheitsmanagementSoftwareWorkspaceZusammenarbeit

Nach der Patch-Flut im April lässt es Microsoft ruhiger angehen und bestreitet den Mai-Patchday mit nur zwei Updates. Eines schließt ein Leck in Visual Basic for Applications (VBA), das andere ein Leck in den Mail-Clients Outlook Express, Windows Mail und Windows Live Mail.

Microsoft klassifiziert beide Lecks als kritisch, schränkt beim Mail-Leck aber ein, dass Nutzer von Windows 7 in der Standardinstallation nicht betroffen sind – schließlich bringt das neue Betriebssystem keinen Mail-Client mit. Wer Windows Live Mail nachgerüstet hat oder eine ältere Windows-Version nutzt, die Outlook Express oder Windows Mail an Bord hat, sollte das Update aber auf jeden Fall installieren. Denn beim Verbinden mit manipulierten Mail-Servern kann ein Integer Overflow ausgelöst werden, der sich ausnutzen lässt, um Code einzuschleusen. Das Problem tritt sowohl bei POP3 als auch IMAP auf und erfordert nicht unbedingt, dass der Nutzer einen neuen Mail-Server einrichtet. Microsoft zufolge kann sich ein Angreifer auch in POP3- und IMAP-Verbindungen zum bestehenden Mail-Server einklinken (Man-in-the-Middle-Attack).

Das VBA-Leck lauert in der Bibliothek VBE6.DLL und erlaubt es, beim Öffnen eines manipulierten Dokumentes einen Teil des Stacks zu überschreiben. Betroffen sind Office XP, 2003 und 2007 sowie die Entwicklertools Visual Basic for Applications nebst zugehörigem SDK. (Daniel Dubsky)