|
Outlook 使用Word作为邮件编辑器的漏洞
涉及程序:
Outlook 2000和Outlook 2002
描述:
Outlook 使用Word作为邮件编辑器的漏洞
详细:
Outlook 2000和Outlook 2002在建立和编辑RTF或HTML邮件时可以选择使用Word
作为其邮件编辑器。
但是如果这样的话,当用户在发送或回复攻击者的邮件时存在安全漏洞。
Outlook的安全漏洞的根本原因在于打开和编辑邮件时应用的安全设置不同。当
Outlook打开一个HTML邮件时,应用的是IE的安全域设置,此时是禁止脚本的运
行的;然而,如果用户发送或回复邮件信息,并且是选择Word作为邮件编辑器
时,脚本并没有被模块化,完全可以运行。
攻击者要成功利用此漏洞,必须发送一个专门的含有脚本的非法HTML邮件给使
用Word作为邮件编辑器的Outlook用户,而且必须要用户回复或发送了邮件,这
个恶意的脚本才会运行,这样攻击者才能在用户的机器上以用户的权限运行任
意代码。
为了控制此漏洞发生,您需要注意以下三点:
====================
- 此漏洞仅仅对使用Word 作为其编辑器的Outlook 用户有影响;
- 使用Office XP SP1的用户如果以普通文本的形式读取HTML 邮件就不会存在
此漏洞;
- 攻击者要想成功利用此漏洞的话,必须要用户回复或发送这个恶意的e-mail
。如果用户仅仅只是简单地读一读,恶意的脚本是不会被运行的。当然,如果
用户将这个邮件删除就一点风险也不会有。
Risk Rating:
============
- Internet systems: Low
- Intranet systems: Low
- Client systems: Moderate
解决方案:
- 下载补丁:
Microsoft Word 2002:
Client Installation:
http://office.microsoft.com/downloads/2002/wrd1003.aspx
Administrative Installation:
http://www.microsoft.com/office/ork/xp/journ/wrd1003a.htm
Microsoft Word 2000:
Client Installation:
http://office.microsoft.com/downloads/2002/wrd0901.aspx
Administrative Installation:
http://www.microsoft.com/office/ork/xp/journ/wrd0901a.htm
|