Outlook Express 6.00 纯文本邮件脚本执行漏洞
发布日期:2001-09-12
更新日期:2001-09-14
受影响系统:
Outlook Express 6.00
- Microsoft Windows 9x
- Microsoft Windows NT 4.0
- Microsoft Windows 2000
描述:
Outlook Express是微软公司开发的集邮件收发和新闻组等多种功能于一体的软件。
正常情况下,只有html邮件[Content-Type: text/html]才会解析html和脚本代码。但是
在最新推出的Outlook Express 6.00中,纯文本邮件中如果加入了脚本代码,它们也会被
解释执行。
缺省情况下,Outlook Express 6.00禁止脚本执行,因此缺省情况下用户不会受此问题
影响。
<*来源:http-equiv (
http-equiv@excite.com)
链接:
http://archives.neohapsis.com/archives/bugtraq/2001-09/0108.html
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
发送下列的纯文本邮件也会导致执行脚本:
MIME-Version: 1.0
Content-Type: text/plain;
charset="Windows-1252"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MIMEOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-Source: 11.09.01 http://www.malware.com
<script>alert("freak");alert("show")</script>
http-equiv@excite.com也提供了一个演示程序:
http://www.malware.com/malware.zip
建议:
厂商补丁:
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商
的主页以获取最新版本。
http://www.microsoft.com
浏览次数:4271
严重程度:0(网友投票)