Georgi Guninski har fundet et sikkerhedshul i et ActiceX-komponent under Office XP. "Microsoft Outlook View Control" giver adgang til mails og kalenderinformationer i Outlook over web. Guninski har fundet ud af, at det uden problemer er muligt for uvedkommende at læse, ændre og slette data ved at udnytte en fejl i denne komponent.
Det er også muligt at få adgang til Outlook-applikationsobjektet, som betyder at angriberen kan udføre vilkårlige scripts med alle programmets rettigheder, hvilket reelt svarer til en fuldstændig overtagelse af maskinen.
Fejlen kan udnyttes gennem en manipuleret webside eller en e-mail. Guninski har tilmed opdaget, at det ikke er nødvendigt at åbne mailen; scriptet bliver aktiveret så snart mailen vises i "Preview Pane".
På Guninskis hjemmeside kan man afprøve en demonstrationsversion, som kræver Internet Explorer 5.5 (SP1), Outlook XP og Windows 2000. Guninskis script viser alle mails i Outlook-postboksen og åbner Windows Command Shell (cmd.exe).
Normalt bliver annonceringen af nye sikkerhedshuller ledsaget af en patch, der straks løser problemet, men denne gang er Microsoft ikke klar med en rettelse endnu. Guninski fortæller at han informerede Microsoft om problemet den 9. juli, men endnu ikke har modtaget et svar.
Den bulgarske programmør anbefaler normalt, at man deaktiverer Active-Scripting i Internet Explorer, men denne gang har han et mere håndfast råd; "afinstaller Office XP og Windows".
(Kilde: tecchannel)
