微软Outlook Express漏洞

中国杀毒网

受影响的系统:　
　　Microsoft Outlook Express 5.01
　　Microsoft Outlook Express 5.0
　　Microsoft Outlook Express 4.01
　　Microsoft Outlook Express 4.0
　　　 - Microsoft Windows 98
　　　 - Microsoft Windows 95
　　　 - Microsoft Windows NT 4.0
　　　 - Microsoft Windows NT 2000



不受影响系统:　
　　Microsoft Outlook Express 5.5
　　　 - Microsoft Windows 98se
　　　 - Microsoft Windows 98
　　　 - Microsoft Windows 95
　　　 - Microsoft Windows NT 4.0

　　Microsoft Internet Explorer 5.0.1 SP1
描述:
--------------------------------------------------------------------------------


设计之初，HTML格式的电子邮件可以包含脚本，该脚本可以打开一个浏览器窗口，并
链接回Outlook Express窗口，于是浏览器窗口可以读取显示在Outlook Express中的
HTML格式的电子邮件。然而，这里存在一个问题。由脚本导致的链接可能成为永久性
的，于是允许浏览器窗口获得后续邮件预览窗口的内容，进‘而可能转发给恶意用户。
关于这个漏洞有几个重要限制，1) 邮件接收者必须能够打开HTML格式的电子邮件并
建立这种链接 2) 如果用户关闭了Outlook Express或者由脚本打开的浏览器窗口，
攻击不再成立 3) 恶意用户只能获得预览窗口的内容，如果预览特性被禁止，他/她
得不到任何信息。

<* 来源：Microsoft Security Bulletin MS0-045 *>



--------------------------------------------------------------------------------
建议:

在非Win2K系统上安装IE 5.01 SP1或者IE 5.5:

　 http://www.microsoft.com/Windows/ie/download/ie501sp1.htm.
　 http://www.microsoft.com/windows/ie/download/ie55.htm

如果不想升级，微软提供了如下补丁：
http://www.microsoft.com/windows/ie/download/critical/patch9.htm