发布日期：2000-07-27
更新日期：2000-07-27

受影响系统：

    Microsoft Outlook Express 5.01
    Microsoft Outlook Express 5.0
    Microsoft Outlook Express 4.01
    Microsoft Outlook Express 4.0
       - Microsoft Windows 98
       - Microsoft Windows 95
       - Microsoft Windows NT 4.0
       - Microsoft Windows NT 2000

不受影响系统：

    Microsoft Outlook Express 5.5
       - Microsoft Windows 98se
       - Microsoft Windows 98
       - Microsoft Windows 95
       - Microsoft Windows NT 4.0

    Microsoft Internet Explorer 5.0.1 SP1

描述：

---

设计之初，HTML格式的电子邮件可以包含脚本，该脚本可以打开一个浏览器窗口，并
链接回Outlook Express窗口，于是浏览器窗口可以读取显示在Outlook Express中的
HTML格式的电子邮件。然而，这里存在一个问题。由脚本导致的链接可能成为永久性
的，于是允许浏览器窗口获得后续邮件预览窗口的内容，进‘而可能转发给恶意用户。
关于这个漏洞有几个重要限制，1) 邮件接收者必须能够打开HTML格式的电子邮件并
建立这种链接 2) 如果用户关闭了Outlook Express或者由脚本打开的浏览器窗口，
攻击不再成立 3) 恶意用户只能获得预览窗口的内容，如果预览特性被禁止，他/她
得不到任何信息。

<* 来源：Microsoft Security Bulletin MS0-045 *>


建议：

---

在非Win2K系统上安装IE 5.01 SP1或者IE 5.5:

   http://www.microsoft.com/Windows/ie/download/ie501sp1.htm.
   http://www.microsoft.com/windows/ie/download/ie55.htm

如果不想升级，微软提供了如下补丁：
http://www.microsoft.com/windows/ie/download/critical/patch9.htm


浏览次数：6267
严重程度：0（网友投票）