BSI-Warnungen vor Microsoft-Software teilweise unberechtigt

Bild 1: Eigentlich hat das BSI Recht. Findet man einen gut versteckten Dialog, kann man Outlook 2003 verwundbar machen. Dass Outlook 2003 deswegen „insbesondere betroffen“ sein soll, ist jedoch übertrieben. Andere Programme, etwa Winamp, sind stärker gefährdet.

Nach der Operation Aurora, bei der die chinesische Regierung Angriffe auf Google und andere Firmen gestartet hat, warnte das BSI vor dem Einsatz des Internet Explorers. Gestern legte die Bundesbehörde nach und warnt vor weiteren Microsoft-Programmen – teilweise zu Unrecht.

Unter anderem warnt das BSI vor Microsoft Outlook bis einschließlich Version 2003, da die Datei mshtml.dll die Lücke enthalte, die den Aurora-Angriff ermögliche. Das ist insofern interessant, da allgemein bekannt ist, dass Outlook nicht die HTML-Engine des Internet Explorers benutzt, sondern die von Microsoft Word. Die Word-Engine macht jedoch von der mshtml.dll keinen Gebrauch.

Jeder Verfasser von HTML-Newslettern weiß, dass er seinen HTML-Code so gestalten muss, dass er mit standardkonformen Browsern wie Firefox oder Safari, dem bei Konformitätstest regelmäßig schlecht abschneidenden Internet Explorer und der HTML-Engine von Word richtig angezeigt wird. Letztere interpretiert die Vorgaben des W3C zum Teil recht frei.

Auch Outlook 2003 nutzt die Word-Engine, zumindest dann, wenn man das nicht in einem recht versteckten Dialog explizit verbietet. Wer Outlook 2003 mit den Default-Einstellungen nutzt, hat nichts zu befürchten.

Ich mache dazu einen Kurztest: Auf einem Rechner mit Windows 7 wird die Datei mshtml.dll in mshtml.dll.old umbenannt. Da Outlook 2003 die Datei mshtml.dll nicht mehr finden kann, dürften keine HTML-Mails mehr dargestellt werden. Doch Outlook 2003 stört sich gar nicht an der fehlenden Datei und zeigt die Mails korrekt an. Internet Explorer 8 und Windows Live Mail hingegen melden Fehler.

Bild 2: Selbst, wenn es gar keine mshtml.dll mehr gibt, funktioniert Outlook 2003 in den Standard-Einstellungen noch korrekt.

Wer das selbst nachstellen möchte, sei an dieser Stelle kurz gewarnt, dass viele Windows-Komponenten nicht mehr funktionieren, wenn die mshtml.dll umbenannt wird. Das kann soweit gehen, dass Windows nicht mehr bootet.

Zwei Hinweise für diejenigen, die sich nicht abschrecken lassen: Um richtige Ergebnisse zu erhalten, muss sichergestellt sein, dass die Prozesse outlook.exe und winword.exe vor der Umbenennung nicht bereits laufen. Wer eine 64-Bit-Version von Windows einsetzt, muss den Namen der Datei mshtml.dll im Verzeichnis SysWow64 ändern und nicht in System32, da Outlook 2003 eine 32-Bit-Anwendung ist. Nach realsatirischer Microsoft-Logik gehören 32-Bit-DLLs ins Verzeichnis SysWow64 und 64-Bit-DLLs in den Ordner System32.

Verbietet man Outlook 2003 hingegen die Benutzung der Word-Engine unter „Tools – Options – Mail Format“, nutzt es natürlich die IE-Engine und die mshtml.dll. Dann ist man anfällig gegen eine Attacke nach Aurora-Vorbild. Allerdings dürften die wenigsten Outlook-2003-Nutzer wissen, dass es diese Einstellungsmöglichkeit überhaupt gibt.

Während die Gefährdung unbedarfter Anwender durch Outlook 2003 als eher gering einzustufen ist, darf man wohl davon ausgehen, dass User, die explizit die IE-Engine in einem nicht ganz einfach zu findenden Dialog auswählen, sich darüber im Klaren sind, dass dann auch alle IE-Exploits für Outlook ausgenutzt werden können.

Bild 3: Windows Live Mail und IE 8 leisten ohne die mshtml.dll keine sinnvolle Arbeit. Der IE 8 verhält sich sogar relativ pfiffig. Ohne die DLL will er jede HTML-Datei downloaden.

Das BSI schreibt in seiner Warnung „Zusätzlich zum Internet Explorer sind nach Erkenntnissen des BSI insbesondere folgende Produkte verwundbar“ und nennt dabei unter anderem Outlook bis Version 2003, das Hilfesystem und die Sidebar. Andere Produkte, deren Einsatz wesentlich gefährlicher ist, etwa der T-Online-Browser oder Winamp, finden keine Erwähnung.

Diese Produkte verwenden nämlich ebenfalls die IE-Engine für ihre Browser-Komponenten. Anders als bei Outlook 2003, das man erst absichtlich unsicher konfigurieren muss, oder das Hilfesystem, das vorwiegend auf lokale Dateien zugreift, lassen sich mit Programmen wie dem T-Online-Browser oder Winamp beliebige Webseiten aufrufen.

Es mag zwar sein, dass „nach Erkenntnissen des BSI“ die genannten Produkte besonders gefährdet sind, dann muss man dem BSI jedoch mangelnde Kompetenz oder zumindest mangelnde Bereitschaft zum Nachdenken unterstellen. Jedenfalls werden bei Bürgern teilweise unberechtigte Ängste geschürt, und vor wirklichen Gefahren warnt das BSI nicht. Die Gesamtnote für das BSI: leyenhaft.