微软Outlook Express永久性邮件浏览链接漏洞
发布日期:2000-07-27
更新日期:2000-07-27
受影响系统:
不受影响系统:
Microsoft Outlook Express 5.01
Microsoft Outlook Express 5.0
Microsoft Outlook Express 4.01
Microsoft Outlook Express 4.0
- Microsoft Windows 98
- Microsoft Windows 95
- Microsoft Windows NT 4.0
- Microsoft Windows NT 2000
描述:
Microsoft Outlook Express 5.5
- Microsoft Windows 98se
- Microsoft Windows 98
- Microsoft Windows 95
- Microsoft Windows NT 4.0
Microsoft Internet Explorer 5.0.1 SP1
设计之初,HTML格式的电子邮件可以包含脚本,该脚本可以打开一个浏览器窗口,并
链接回Outlook Express窗口,于是浏览器窗口可以读取显示在Outlook Express中的
HTML格式的电子邮件。然而,这里存在一个问题。由脚本导致的链接可能成为永久性
的,于是允许浏览器窗口获得后续邮件预览窗口的内容,进‘而可能转发给恶意用户。
关于这个漏洞有几个重要限制,1) 邮件接收者必须能够打开HTML格式的电子邮件并
建立这种链接 2) 如果用户关闭了Outlook Express或者由脚本打开的浏览器窗口,
攻击不再成立 3) 恶意用户只能获得预览窗口的内容,如果预览特性被禁止,他/她
得不到任何信息。
<* 来源:Microsoft Security Bulletin MS0-045 *>
建议:
在非Win2K系统上安装IE 5.01 SP1或者IE 5.5:
http://www.microsoft.com/Windows/ie/download/ie501sp1.htm.
http://www.microsoft.com/windows/ie/download/ie55.htm
如果不想升级,微软提供了如下补丁:
http://www.microsoft.com/windows/ie/download/critical/patch9.htm
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
