Microsoft maakt melding van een beveiligingsprobleem in haar e-mail clients Outlook 98, Outlook 2000, Outlook Express 5.01 en Outlook Express 5.5.
Het probleem zit 'm in een bug in de "Virtual Business Card" binnen Outlook. Hierin zit een component waarvan de maximale string-lengte niet gedefiniëerd is, en dit euvel zou misbruikt kunnen worden door bijvoorbeeld een buffer-overflow te creëren en daarmee Outlook te laten crashen, maar ook zou code kunnen worden uitgevoerd op de computer waarop de betreffende Outlook-client draait, en vooral dat laatste is natuurlijk een serieus probleem. Microsoft heeft inmiddels een patch gecomponeerd, en geeft daarbij verder het volgende commentaar:
This update resolves the "Malformed vCard" security vulnerability in Outlook and Outlook Express. This vulnerability exists because the component in Outlook and Outlook Express that processes the vCard (virtual business card) has an unchecked buffer (a temporary data storage area without a string length limit).
A malicious user can exploit this vulnerability by creating a vCard that contains specially malformed data, and sending it to another user. When the recipient opens the vCard, the data overruns the buffer. This causes the e-mail program to stop functioning until it is restarted. In a more serious case, a malicious user could exploit the unchecked buffer to run unauthorized on the other user's computer.
Download now to ensure that your e-mail service processes vCards correctly.
De (engelstalige) patch is hier te vinden en natuurlijk te downloaden (343kB). Het betreffende MS Security Bulletin vind je hier.