BUGTRAQ ID: 28147
CVE(CAN) ID: CVE-2008-0110
Microsoft Outlook是Office套件所捆绑的邮件客户端。
Outlook没有正确地验证传送给客户端的mailto URI,成功利用这个漏洞的攻击者可以访问敏感信息或完全控制受影响的系统。
如果用户受骗跟随了特制的mailto URI的话,就可能导致Web浏览器向Outlook传送额外的命令行开关,而这些开关可以修改Outlook的帐号配置。
Microsoft Outlook 2007
Microsoft Outlook 2003 SP3
Microsoft Outlook 2003 SP2
Microsoft Outlook 2002 SP3
Microsoft Outlook 2000 SP3
临时解决方法:
* 禁用Outlook mailto处理器
1. 点击“开始”,键入regedit然后点击“确定”
2. 展开HKEY_CLASSES_ROOT
3. 展开mailto
4. 右击然后选择“删除”
厂商补丁:
Microsoft
---------
Microsoft已经为此发布了一个安全公告(MS08-015)以及相应补丁:
MS08-015:Vulnerability in Microsoft Outlook Could Allow Remote Code Execution (949031)
链接:<a href=http://www.microsoft.com/technet/security/Bulletin/MS08-015.mspx?pf=true target=_blank>http://www.microsoft.com/technet/security/Bulletin/MS08-015.mspx?pf=true</a>
京公网安备 11010502034610号
暂无评论