通过

安全公告

Microsoft 安全公告 MS00-045 - 严重

发布时间: 2000 年 6 月 20 日 |更新时间:2003 年 2 月 28 日

版本: 1.1

最初发布: 2000 年 7 月 20 日
更新时间: 2003 年 2 月 28 日

总结

Microsoft 发布了一个修补程序,可消除影响 Microsoft® Outlook Express 的安全漏洞。 该漏洞可能允许恶意用户发送一封电子邮件,该电子邮件将在 Outlook Express 中预览后续电子邮件时“翻阅”收件人的肩膀。

可以使用修补程序来消除此漏洞以及 Microsoft 安全公告 MS00-043MS00-046 中讨论的漏洞。 已采取上述任一公告中讨论的纠正措施的客户无需采取任何其他操作。

受影响的软件:

  • Microsoft Outlook Express 4.x
  • Microsoft Outlook Express 5.x

漏洞标识符:CAN-2000-0653

常规信息

技术详细信息

技术说明:

根据设计,HTML 邮件可以包含脚本,此类脚本可以执行的操作之一是打开链接到 Outlook Express 窗口的浏览器窗口。 此外,通过设计,浏览器窗口中的脚本可以读取 Outlook Express 中显示的 HTML 邮件。 但是,由于链接可能持久化,因此会导致漏洞。 这可能允许浏览器窗口检索随后显示在预览窗格中的邮件文本,并将其中继到恶意用户。

此漏洞存在几个重大限制:

  • 只有收件人才能打开建立链接的 HTML 邮件。
  • 攻击只会持续到用户关闭 HTML 邮件打开的浏览器窗口或关闭 Outlook Express 为止。
  • 恶意用户只能读取预览窗格中显示的邮件。 如果预览窗格功能已禁用,则他无法在任何条件下阅读邮件。

该漏洞在 Outlook Express 5.5 中被消除,已安装该漏洞的客户无需采取任何其他操作。 Outlook Express 5.5 作为 Internet Explorer 5.01 Service Pack 1 的一部分提供,除了在 Windows 2000 上安装 Internet Explorer 5.5 时除外。 修补程序适用于不想升级到 Outlook Express 5.5 的客户。

常见问题解答

此公告的内容是什么?
Microsoft 安全公告 MS00-045 宣布了修补程序的可用性,该修补程序可消除 Microsoft® Outlook Express 中的漏洞。 Microsoft 致力于保护客户的信息,并提供公告,告知客户漏洞及其可执行的操作。

漏洞的范围是什么?
此漏洞可能允许恶意用户在非常具体的条件下查看电子邮件的内容,但不会更改,因为所有者会预览电子邮件的内容。 具体而言,该漏洞可能允许在浏览器窗口中运行的脚本有权访问用户通过预览窗格读取的任何电子邮件,并允许脚本将内容转发给恶意用户。 该漏洞受到以下几个约束:

  • 攻击需要通过仅用户可以打开的 HTML 邮件启动。
  • 攻击只会持续到用户关闭 HTML 邮件打开的浏览器窗口或关闭 Outlook Express 为止。
  • 恶意用户只能读取预览窗格中显示的邮件。 如果预览窗格功能已禁用,则他无法在任何条件下阅读邮件。

导致漏洞的原因是什么?
漏洞结果的原因是,当打开 HTML 电子邮件时,可以创建浏览器窗口并将其永久链接到 Outlook Express 窗口。 这将允许在浏览器窗口中运行的脚本访问随后显示在 Outlook Express 预览窗格中的任何电子邮件的内容。

HTML 电子邮件是否是打开浏览器窗口的安全漏洞?
不,这是设计造成的。 浏览器窗口将在 Internet 区域中打开,并受 Internet Explorer 安全模型的约束。

HTML 电子邮件能否将浏览器窗口链接到 Outlook Express 窗口,这是否是安全漏洞?
不,这是设计造成的。 HTML 邮件可以启动浏览器窗口并将其链接回 Outlook Express 窗口,以便与其共享信息。

此处的安全漏洞是什么?
浏览器窗口和 Outlook Express 窗口之间的链接不应持久。 也就是说,如果 HTML 邮件打开浏览器窗口并将其链接到 Outlook Express 窗口,则应在 HTML 邮件关闭后立即断开该链接。 此漏洞为 HTML 邮件提供了创建浏览器窗口、将其链接回 Outlook Express 窗口的方法,并导致链接在 HTML 邮件关闭后保持不变。

此漏洞允许恶意用户执行哪些操作?
恶意用户可以通过发送一封 HTML 邮件来利用此漏洞,该邮件打开浏览器窗口并具有指向 Outlook Express 窗口的持久链接。 当收件人预览邮件时,浏览器窗口可以检索其文本,并通过 HTTP 将其发送到恶意用户的网站。

你所说的“作为收件人预览邮件”意味着什么?
请务必了解链接仅在浏览器窗口和 Outlook Express 窗口之间存在。 如果用户通过双击它打开了一封新邮件,它将在新窗口中打开,即浏览器窗口无法链接到的邮件。 邮件文本在 Outlook Express 窗口中的唯一一次是预览时。 这意味着,如果用户禁用了预览窗格,则漏洞不会构成任何威胁。

如何选择是否启用预览窗格?
在 Outlook Express 窗口中,只需选择“视图”,然后选择或取消选择“显示预览窗格”。

此漏洞是否允许恶意用户以任何方式控制 Outlook Express?
否。 此漏洞仅允许被动窃听 - 它不允许恶意用户向 Outlook Express 窗口发出任何命令。 这将允许恶意用户在预览电子邮件时“查看肩膀”,但不允许他(例如,打开、删除、转发或回复这些邮件)。

如果我收到利用此漏洞的电子邮件,是否需要打开它才能受到攻击?
是的。 但是,请记住,如果在 Outlook Express 中启用了预览模式,只需前进到下一封邮件就会打开邮件并允许脚本执行。

我是否会在桌面上看到浏览器窗口?
你可能。 但是,可以调整浏览器窗口的大小,并且可能调整一个太小而无法查看的大小。 但是,无论窗口的大小如何,Internet Explorer 图标都将在任务栏上可见

假设我关闭了 Outlook Express,然后重新启动它。 然后,我的电子邮件可以阅读吗?
否。 关闭 Outlook Express 会中断浏览器窗口和浏览器窗口之间的链接。 即使重新启动 Outlook Express,浏览器窗口中的脚本也无法重新建立链接。 需要重新打开恶意用户的 HTML 邮件才能再次面临风险。

如果我访问了恶意用户的网站,他是否可以使用此漏洞来阅读我的电子邮件?
否。 如果访问了网站并打开了新的浏览器窗口,则无法将其链接到 Outlook Express 窗口。 该窗口必须从 Outlook Express 窗口中启动。 请注意,即使原始 HTML 邮件关闭,该窗口仍会继续链接到 Outlook Express 窗口,但电子邮件无法打开浏览器窗口,这是一个安全漏洞。

我不喜欢 HTML 邮件能够运行脚本的想法。 是否可以阻止它执行此操作?
是的。 Outlook Express 允许你向其中一个 IE 安全区域分配电子邮件。 不希望 HTML 邮件能够运行脚本的客户可以在受限区域中禁用活动脚本,然后分配要在该区域中打开的所有 HTML 邮件。 若要在受限区域中禁用活动脚本,请执行以下操作:

  • 打开 Internet Explorer。
  • 从菜单栏中选择“工具”条目,然后选择“Internet 选项”。 选择“常规”选项卡。
  • 单击“受限网站”图标,然后单击“自定义级别”。
  • 在“安全设置”对话框中,向下滚动设置列表,直到看到“脚本”。 紧随其后,它将是“活动脚本”。 单击“活动脚本”的“禁用”按钮。 当系统要求确认更改时,回答“是”。
  • 单击“确定”返回到 IE。

若要分配在受限区域中打开的所有 HTML 邮件,请执行以下操作:

  • 从菜单栏中选择“工具”选项,然后选择“选项”。 选择“安全性”选项卡。
  • 在窗口的“安全区域”部分中,单击“受限站点区域”。 单击“确定”。

我使用 Microsoft Outlook 作为电子邮件客户端。 是否受此漏洞影响?
否。 Outlook 不受此漏洞的影响。 但是,Outlook 用户仍应应用修补程序,因为它消除 的其他漏洞确实 会影响 Outlook。 有关这些其他漏洞的详细信息,请参阅 Microsoft 安全公告 MS00-043MS00-046

如何判断我是否受漏洞影响?
如果存在以下任一情况,则不会受到漏洞的影响:

  • 已在系统上执行默认安装 Internet Explorer 5.01 Service Pack 1。
  • 已在系统上 执行默认安装 Internet Explorer 5.5, 并且系统不是 Windows 2000。
  • 已安装 Microsoft 安全公告 MS00-043MS00-046 中讨论的修补程序。

如果 上述任何内容都不适用于 你,则应安装修补程序。

执行 IE5.01 SP1 或 IE 5.5 的默认安装的重要性是什么?
这些产品的默认安装也会安装 Outlook Express 5.5,这不受此漏洞的影响。

为什么 IE 5.5 无法消除 Windows 2000 上的问题?
在 Windows 2000 上安装 IE 5.5 的特定情况下,没有安装 Outlook Express 5.5 的预配。 Windows 2000 用户可以通过安装 IE 5.01 SP1 或应用修补程序来消除漏洞。

修补程序的作用是什么?
修补程序可防止浏览器窗口创建到 Outlook Express 窗口的持久链接。

如何实现使用修补程序?
知识库文章包含将修补程序应用到站点的详细说明。

在哪里可以获取修补程序?
安全公告的“修补程序可用性”部分提供了修补程序的下载位置。

如何判断是否正确安装了修补程序?
知识库文章提供修补程序包中文件的清单。验证是否已正确安装修补程序的最简单方法是验证计算机上是否存在这些文件,并具有相同的大小和创建日期,如知识库(KB)文章中所示

Microsoft 对此有何操作?

  • Microsoft 提供了一个可消除漏洞的修补程序。
  • Microsoft 提供了一份 安全公告 和本常见问题解答,可让客户详细了解漏洞和消除漏洞的过程。
  • Microsoft 已将安全公告的副本发送给所有订阅者到 Microsoft 产品安全通知服务,这是一项免费的电子邮件服务,客户可以使用该服务随时了解 Microsoft 安全公告。
  • Microsoft 发布了一 篇知识库文章 ,其中更详细地介绍了漏洞和过程。

在哪里可以找到有关安全性的最佳做法的详细信息?
Microsoft TechNet 安全 网站是获取有关 Microsoft 安全性的信息的最佳位置。

如何实现获得此问题的技术支持?
Microsoft 技术支持可以协助解决此问题或任何其他产品支持问题。

修补程序可用性

可以通过执行以下任一操作来消除此修补程序 的下载位置:

  • 联系 Microsoft 产品支持人员

  • 执行 Internet Explorer 5.01 Service Pack 1 的默认安装

  • 在任何系统(Windows 2000 除外)上执行 Internet Explorer 5.5 的默认安装

    注意: 修补程序需要 安装 IE 5.01IE 4.01 SP2 。 在其他版本上安装此修补程序的客户可能会收到一条消息,指出“此系统不需要安装此更新”。 此消息不正确。 有关详细信息,请参阅知识库(KB)文章Q261255。

    注意: 除了在此处消除漏洞外,上述步骤还消除了 Microsoft 安全公告 MS00-043MS00-046 中讨论的所有漏洞。 已采取上述任一公告中讨论的纠正措施的客户无需采取任何其他操作。

有关此修补程序的其他信息

安装平台:有关此问题的详细信息, 请参阅以下参考。

  • Microsoft 知识库(知识库(KB))一文Q261255 https

其他信息:

支持: 这是完全支持的修补程序。 有关联系 Microsoft 技术支持的信息,请参阅 </https:>https:

安全资源:Microsoft TechNet 安全网站提供有关 Microsoft 产品安全性的其他信息。

免责声明

Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。

修改:

  • V1.0(2000 年 6 月 20 日):公告已创建。
  • V1.1(2003 年 2 月 28 日):更新了常见问题解答部分中的链接

构建于 2014-04-18T13:49:36Z-07:00</https:>