Wer Outlook verwendet, sollte dringend den am 9. Juli veröffentlichten Patch einspielen. DER STANDARD/Pichler

Wer Microsofts E-Mail-Client Outlook verwendet, sollte hurtig den neuesten Sicherheitspatch dafür einstellen. Dieser steht seit dem Patchday am Dienstag (9. Juli) bereit und schließt eine schwere Sicherheitslücke (CVE-2024-38021). Diese wird von den Entdeckern beim IT-Security-Anbieter Morphisec als kritische "Zero Click"-Schwachstelle eingestuft. Das heißt in diesem Fall: Ein Angreifer kann sich ganz ohne Zutun des Nutzers Zugriff auf das System verschaffen – dafür reicht die Zusendung einer entsprechend präparierten E-Mail.

Die einzige Voraussetzung dafür ist, dass der Absender der Mail beim Empfänger als "vertrauenswürdiger Absender" hinterlegt ist. Andernfalls ist die Ausnutzung der Lücke erst möglich, wenn für die Mail die Anzeige "blockierter Inhalte" ermöglicht wird. Das ist auch der Grund, warum Morphisec und Microsoft bei der Einschätzung der Schwere des Lecks zu unterschiedlichen Ergebnissen kommen. Microsoft sieht nur eine "hohe", aber keine "kritische" Gefährdung.

"Bösartiger Link" hebelt Sicherheitsvorkehrungen aus

Entdeckt und von Microsoft bestätigt wurde die Schwachstelle, die eine Ausführung von Schadcode aus der Ferne erlaubt, bereits im April. Genauere technische Details sind noch nicht verfügbar, in der Beschreibung wird lediglich angegeben, dass es mit einem "bösartigen Link" möglich ist, das Protected View Protocol zu umgehen, das unter anderem dafür sorgen soll, das beim Ansehen einer E-Mail nicht einfach Code ausgeführt werden kann.

Mehr zur Lücke wird Morphisec im Rahmen der IT-Security-Konferenz Defcon 32 präsentieren, die von 8. bis 11. August im Las Vegas Convention Center stattfindet. Ergänzend dazu soll es am 15. August außerdem auch ein umfangreiches, virtuelles "Threat Briefing" geben. (gpi, 11.7.2024)