发布日期：2001-06-05
更新日期：2001-06-11

受影响系统：

Microsoft Outlook 97
Microsoft Outlook 98
Microsoft Outlook 2000
Microsoft Outlook Express 5.5
Microsoft Outlook Express 5.01
Microsoft Outlook Express 5.0
Microsoft Outlook Express 4.72.3612.1700
Microsoft Outlook Express 4.72.3120.0
Microsoft Outlook Express 4.72.2106.4
Microsoft Outlook Express 4.27.3110.1
Microsoft Outlook Express 4.01
Microsoft Outlook Express 4.0
Microsoft Outlook Express for MacOS 5.0
Microsoft Outlook Express for MacOS 4.5
   - Microsoft Windows 95
   - Microsoft Windows 98
   - Microsoft Windows 98se
   - Microsoft Windows NT 4.0
   - Microsoft Windows 2000

描述：

---

BUGTRAQ  ID: 2823
CVE(CAN) ID: CVE-2001-1088

Outlook Express是Microsoft Windows 9x/ME/NT的标准Email客户端配置，它的地址簿
一般配置为当用户回复信件时自动在地址簿增加一个名到地址的对应条目。

这样，攻击者发送一封伪造了信头的邮件，如果这封信被回复了，那么Outlook
Express的地址簿里就会增加一个新的条目，以后所有发送给那个被伪造的地址的信件
将被发送攻击者的信箱。



<*来源：3APA3A （3APA3A@SECURITY.NNOV.RU）
        主页：（http://www.security.nnov.ru/advisories/msoeab1.asp）
*>


测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

3APA3A （3APA3A@SECURITY.NNOV.RU）提供了如下测试代码：

场景：两个正常用户Target1和Target2，他们的邮件地址是target1@example.com和
target2@example.com，攻击者帐号是Attacker， 邮件地址是attacker@example.com。

假设Attacker想知道Target1发给Target2的信件内容，那么：

1． Attacker伪造了包含下列信头的邮件：

From: "target2@example.com" <attacker@example.com>
Reply-To: "target2@example.com" <attacker@example.com>
To: Target1 <target1@example.com>
Subject: how to catch you on Friday?

然后把这封信发给target1@example.com。

2． Target1收到了那封看起来绝对象是target2@example.com发来的信，然后回信，结
果Attacker收到了回信。同时，地址簿里增加了名target2@example.com到地址
attacker@example.com的条目。

3． 现在，如果Target1写信时输入的地址是target2@example而不是Target2，那么
OutLook就会把信件组织成”target2@example.com" <attacker@example.com>的格式，
这样Attacker收到了这封信。

建议：

---

禁止”Automatically put people I reply to in my address book" 选项.

厂商补丁：

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商
的主页以获取最新版本：
http://www.microsoft.com/technet/security/


浏览次数：4081
严重程度：0（网友投票）