发布日期：2003-01-24
更新日期：2003-01-31

受影响系统：

Macromedia Shockwave 5.0
Macromedia Shockwave 4.0
Macromedia Shockwave 3.0
Macromedia Shockwave 2.0
Macromedia Shockwave 1.0

不受影响系统：

Macromedia Shockwave 6.0

描述：

---

BUGTRAQ  ID: 6680
CVE(CAN) ID: CVE-1999-1525

Macromedia Shockwave是一款多媒体重放应用程序，允许用户从WEB浏览器中查看交互WEB内容。

Macromedia Shockwave不正确处理"GETNETTEXT"命令参数，远程攻击者可以利用这个漏洞查看用户邮件内容。

恶意WEB页开发者可以使用Shockwave访问用户的Netscape邮件文件夹，在知道目标用户邮件文件夹路径和名称的情况下，如名字为Inbox、Outbox、Sent和Trash，默认路径为"C:/Program Files/Netscape/Navigator/Mail/Inbox"。可使用Shockwave命令"GETNETTEXT"调用浏览器查询邮件文件夹中的信息，并可以把这些信息返回给变量发送给服务器，造成信息泄露。

<*来源：David de Vitry
  
  链接：http://www.webcomics.com/shockwave/reademail.html
*>

建议：

---

厂商补丁：

Macromedia
----------
Macromedia shockwave version 6不存在此漏洞，建议用户下载使用：

http://www.macromedia.com/

浏览次数：2774
严重程度：0（网友投票）