Tetter igjen nye hull i Outlook og Exchange

Lappetirsdag igjen i går: nye alvorlige feil kan ramme alle brukere av verdens mest populære epostsystem.

Rettelsene gjelder et problem i Windows og en programfeil i Outlook og Exchange. Begge feil kan i teorien utnyttes til å ta kontroll over pc-er som ikke er oppdatert med de nye rettelsene.

Programfeilen i selve Windows gjelder hvordan operativsytemet prosesserer såkalt "embedded" web-fonter. Slike fonter brukes av webutviklere for å sikre at sidene de lager blir seende ut slik som de er ment å se ut.

Ved å lure brukere til å besøke websider med spesielt utformede webfonter, kan en angriper i teeorien ta "full kontroll over berørte maskiner" advarer Microsoft.

Epost i fare

Det andre sikkerhetshullet relaterer til hvordan kodeformatet TNEF (Transport Neutral Encapsulation Format) brukes av Outlook og Exchange.

I teorien skal det være mulig å sende spesielt utformede epostmeldinger til ikke-oppdaterte Exchange-servere eller Outlook-klienter som så kan benyttes til å ta kontroll over maskiner som bruker den nevnte programvaren.

Ettersom ingen kodepøbler hittil har publisert kode som vitterlig viser hvordan hullene kan utnyttes, anses dise hullene for langt mindre alvorlige enn den mye omtalte feilen i Windows' metaformat fir bilder og grafikk (WMF - Windows Metafile Format) som Microsoft sendte ut en rettelse for sent i forrige uke.

Tidsspørsmål

De nye hullene regnes likevel som alvorlige, og flere sikkerhetseksperter har antydet at det bare er et tidsspørsmål for noen med uedle hensikter utytter dem.

- Webfont-feilen ser ut til å være den enkleste å hacke av de to sikkerhetshullene, sier Alain Sergile, teknisk produktsjef hos Internet Security Systems til IDG News.

TNEF-feilen er spesielt interessant fordi den gjelder programvare for både servere og brukermaskiner, og den bør tas ekstra alvorlig med tanke på utbredelsen av Exchange, mener han.

Microsoft anser webfont-feilen som kritisk for alle brukere av Windows 98, 2000 og XP. TNEF regnes som kritisk for Outlook 2000, 2002 and 2003 samt Exchange Server 5.0 og 5.5 og Exchange 2000. Den sistnevnte feilen berører også dem som bruker den flerspråklige Office-paken, Office Multilingual User Interface Pack.