发布日期：2002-07-19
更新日期：2002-07-26

受影响系统：

Microsoft Outlook Express 4.0
    - Microsoft Windows NT 4.0
    - Microsoft Windows 98 SE
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000 SP3
Microsoft Outlook Express 4.27.3110
    - Microsoft Windows NT 4.0
    - Microsoft Windows 98 SE
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000 SP3
Microsoft Outlook Express 4.72.2106
    - Microsoft Windows NT 4.0
    - Microsoft Windows 98 SE
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000 SP3
Microsoft Outlook Express 4.72.3120
    - Microsoft Windows NT 4.0
    - Microsoft Windows 98 SE
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000 SP3
Microsoft Outlook Express 4.72.3612
    - Microsoft Windows NT 4.0
    - Microsoft Windows 98 SE
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000 SP3
Microsoft Outlook Express 5.0
    - Microsoft Windows NT 4.0
    - Microsoft Windows 98 SE
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000 SP3
Microsoft Outlook Express 5.5
    - Microsoft Windows NT 4.0
    - Microsoft Windows 98 SE
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000 SP3
Microsoft Outlook Express 6.0
    - Microsoft Windows NT 4.0
    - Microsoft Windows 98 SE
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000 SP3
Microsoft Outlook Express for MacOS 4.5
    - Apple MacOS 8.0
Microsoft Outlook Express for MacOS 5.0
    - Apple MacOS 9.0
    - Apple MacOS 8.6
    - Apple MacOS 8.5
    - Apple MacOS 8.1
    - Apple MacOS 8.0
Microsoft Outlook Express for MacOS 5.0.1
    - Apple MacOS 9.0
    - Apple MacOS 8.0
    - Apple MacOS 7.0
    - Apple MacOS 10.1
    - Apple MacOS 10.0
Microsoft Outlook Express for MacOS 5.0.2
    - Apple MacOS 9.0
    - Apple MacOS 8.0
    - Apple MacOS 7.0
    - Apple MacOS 10.1
    - Apple MacOS 10.0
Microsoft Outlook Express for MacOS 5.0.3
    - Apple MacOS 9.0
    - Apple MacOS 8.0
    - Apple MacOS 7.0
    - Apple MacOS 10.1
    - Apple MacOS 10.0

描述：

---

BUGTRAQ  ID: 5274

Microsoft Outlook Express是一款Microsoft公司开发的流行的EMAIL客户端，Microsoft Outlook Express支持RFC 2487定义的使用TLS进行安全SMTP通信。

Microsoft Outlook Express通过TLS进行通信时在对客户端和服务器端的身份鉴别处理上存在漏洞，远程攻击者可以利用这个漏洞获得客户端SMTP AUTH认证信息。

通过TLS进行通信时，客户端和服务器端可以无需验证成功进行加密连接通信，不过虽然传输的数据是加密的，但客户端和服务器端的身份识别缺少安全的定义。如果SMTP服务器支持STARTTLS命令，并有合法的证书，Outlook Express就自动的传送用户的SMTP AUTH认证信息给SMTP服务器，造成信息泄露。

其他SMTP邮件客户端也可能存在此漏洞。

<*来源：Owen, Greg （Greg_Owen_at_vibren.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-07/0219.html
        http://www.ietf.org/rfc/rfc2487.txt
*>

建议：

---

厂商补丁：

Microsoft
---------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.microsoft.com/technet/security/

浏览次数：3417
严重程度：0（网友投票）