微软Outlook Express永久性邮件浏览链接漏洞

发布日期：2000-07-27
更新日期：2000-07-27

受影响系统：

Microsoft Outlook Express 5.01
Microsoft Outlook Express 5.0
Microsoft Outlook Express 4.01
Microsoft Outlook Express 4.0
- Microsoft Windows 98
- Microsoft Windows 95
- Microsoft Windows NT 4.0
- Microsoft Windows NT 2000

不受影响系统：

Microsoft Outlook Express 5.5
- Microsoft Windows 98se
- Microsoft Windows 98
- Microsoft Windows 95
- Microsoft Windows NT 4.0

Microsoft Internet Explorer 5.0.1 SP1

描述：

---

设计之初，HTML格式的电子邮件可以包含脚本，该脚本可以打开一个浏览器窗口，并
链接回Outlook Express窗口，于是浏览器窗口可以读取显示在Outlook Express中的
HTML格式的电子邮件。然而，这里存在一个问题。由脚本导致的链接可能成为永久性
的，于是允许浏览器窗口获得后续邮件预览窗口的内容，进‘而可能转发给恶意用户。
关于这个漏洞有几个重要限制，1) 邮件接收者必须能够打开HTML格式的电子邮件并
建立这种链接 2) 如果用户关闭了Outlook Express或者由脚本打开的浏览器窗口，
攻击不再成立 3) 恶意用户只能获得预览窗口的内容，如果预览特性被禁止，他/她
得不到任何信息。

<* 来源：Microsoft Security Bulletin MS0-045 *>


建议：

---

在非Win2K系统上安装IE 5.01 SP1或者IE 5.5:

http://www.microsoft.com/Windows/ie/download/ie501sp1.htm.
http://www.microsoft.com/windows/ie/download/ie55.htm

如果不想升级，微软提供了如下补丁：
http://www.microsoft.com/windows/ie/download/critical/patch9.htm

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有