发布日期：2003-01-22
更新日期：2003-01-30

受影响系统：

Microsoft Outlook 2002
    - Microsoft Windows XP Professional
    - Microsoft Windows XP Home
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0
    - Microsoft Windows ME
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000 Professional SP2
    - Microsoft Windows 2000 Professional SP1
    - Microsoft Windows 2000 Professional
Microsoft Outlook 2002 SP1
    - Microsoft Windows XP Professional
    - Microsoft Windows XP Home
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0
    - Microsoft Windows ME
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000 Professional SP2
    - Microsoft Windows 2000 Professional SP1
    - Microsoft Windows 2000 Professional
Microsoft Outlook 2002 SP2
    - Microsoft Windows XP Professional
    - Microsoft Windows XP Home
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0
    - Microsoft Windows ME
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000 Professional SP2
    - Microsoft Windows 2000 Professional SP1
    - Microsoft Windows 2000 Professional

描述：

---

BUGTRAQ  ID: 6667
CVE(CAN) ID: CVE-2003-0007

Microsoft Outlook 2002是微软开发和维护的邮件代理客户端。

Microsoft Outlook 2002在使用V1 Exchange服务器安全证书加密消息实现存在问题，远程攻击者可以利用这个漏洞获得邮件的明文消息。

Microsoft Outlook 2002提供一种机制可以对邮件进行加密发送，加密用于防止接收者之外的第三方读取EMAIL内容。Outlook提供多个不同选项可选择使用证书的类型，S/MIME证书是最常用的(不受此漏洞影响)，而另外一个证书选项就是V1 Exchange服务器安全证书。

Outlook 2002当使用V1 Exchange服务器安全证书进行EMAIL加密的时候存在一个漏洞，这个缺陷结构可导致Outlook加密邮件失败，并且邮件消息以明文方式发送，因此攻击者可以通过窃听，嗅探在用户自认为加密的情况下获得邮件敏感信息。

<*来源：Microsoft Security bulletins
  
  链接：http://www.microsoft.com/technet/security/bulletin/MS03-003.asp
*>

建议：

---

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS03-003）以及相应补丁:
MS03-003：Flaw in how Outlook 2002 handles V1 Exchange Server Security Certificates could lead to Information Disclosure (812262)
链接：http://www.microsoft.com/technet/security/bulletin/MS03-003.asp

补丁下载：

Microsoft Outlook 2002:
http://microsoft.com/downloads/details.aspx?FamilyId=F20A2E4B-E458-48F0-B0CB-7E73C0BB4884&displaylang=en

http://www.microsoft.com/office/ork/xp/journ/olk1006a.htm
(以上只适合与管理升级)

注：其他office升级可以从如下地址获得：

http://office.microsoft.com/productupdates

浏览次数：5657
严重程度：0（网友投票）