发布日期：2002-03-28
更新日期：2002-04-03

受影响系统：

Microsoft Outlook 2002
Microsoft Internet Explorer 6.0
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows ME
    - Microsoft Windows 98 SE
    - Microsoft Windows 98
    - Microsoft Windows 2000 SP3
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
Microsoft Outlook 2000
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0
    - Microsoft Windows 2000 SP3
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
Microsoft Outlook Express 6.0
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows ME
    - Microsoft Windows 98 SE
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000 SP3
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1

描述：

---

BUGTRAQ  ID: 4387

Microsoft Internet Explorer是微软公司开发和维护的流行的WEB浏览器，可使用在多种系统平台下，其中临时Internet文件(Temporary Internet Files (TIFs))是格式化文件用来存储Internet通信的缓冲信息，TIF文件有由各种Microsoft应用程序建立，如Outlook\Outlook Express和Internet Explorer。

Microsoft Internet Explorer由于处理TIFS文件的方法存在缺陷，可导致TIF中的文件可执行。

当Internet Explorer 6.0 或者Outlook接收到外界文件时，IE或者OUTLOOK会把文件以扩展名为.tmp而无文件名的方式转移到TIF，IE或者OUTLOOK通过Content-ID协议(cid:malware)来判断这些*.TMP文件的内容是否为音乐文件、HTML文件、图象文件等。通过使用MIME Base64封装，IE或者邮件客户端当解码时会把文件打开在TIF中特定的文件夹中，因此我们就知道相关文件的路径，建立包含指向我们已知的文件位置媒体文件并关联使用Windows媒体播放器进行打开可导致相关文件强制和武断的被执行。

<*来源：http-equiv@excite.com （http-equiv@excite.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-03/0344.html
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http-equiv@excite.com提供了如下测试方法：

1，所有文件嵌入到邮件信息中，在Internet安全区域中在邮件客户端打开：

   包含无危害的*.exe:
  
   http://www.malware.com/oxpress.zip

2, 媒体文件嵌入到邮件信息中，所有其他文件远程获得，在本地网络(intranet)安全区域中被打开：

   包含无危害的*.exe:
  
   http://www.malware.com/outlook.zip

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时没有合适的临时解决方法。

厂商补丁：

Microsoft
---------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/itsolutions/security/default.asp

浏览次数：3249
严重程度：0（网友投票）