Indhold
Firmaet Defcom Security i København gør opmærksom på et sikkerhedshul i Microsoft Outlook. Ved at bruge visitkort, vCard, kan man skaffe sig adgang til andres computere. Microsoft skriver, at man derigennem kan "run code of attackers choise" - det vil sige køre fjendtlig kode på modtagerens maskine.
Sikkerhedshullet findes i versionerne 97 og 2000 af Outlook samt Outlook Express versionerne 5.01 og 5.5. Outlook Express kommer blandt andet sammen med Internet Explorer i version 5 og 5.5.
Visitkort
Brugerne kan vedhæfte visitkort til emails. Microsoft kalder dem vCard (virtual business card), og de kan indeholde oplysninger fra adressekartoteket om kontaktpersoner. vCard formatet kan håndteres af mange programmer, blandt disse er Outlook email-klienten.
Afsendere af emails kan anvende virtuelle visitkort for at identificere sig over for modtagere. Samtidig kan visitkortene automatisk integreres i modtagerens adressekartotek, idet de virtuelle visitkort kan anvendes ligesom de klassiske visitkort.
Sikkerhedshul og rettelse
Sikkerhedshullet skyldes, at der er en ukontroleret buffer for midlertidig lagring af data i flere versioner af Outlook-programmet. Hackere kan overfylde bufferen med kode gennem data i et visitkort. Denne overfyldning af bufferen med data kan i første omgang provokere Outlook-programmet til at fejle eller blokere. I værste tilfælde kan en misbruger få email-programmet at køre programmer bagom systemet og brugeren. Dermed kan man gøre langt større skade på modtagerens computer.
Der findes fejlbeskrivelse og rettelser hos Microsoft på følgende adresse: http://www.microsoft.com/windows/ie/download/critical/q283908/default.asp . Rettelsen er hurtigt installeret. Men Defcom Security mener ikke, at brugerne er særlig opmærksom på problemet, og derfor har de ikke taget deres forholdsregler.