安全公告

Microsoft 安全公告 MS01-012 - 严重

Outlook、Outlook Express VCard 处理程序包含未检查缓冲区

发布时间： 2001 年 2 月 22 日 |更新时间：2003 年 6 月 23 日

版本： 2.2

最初发布： 2001 年 2 月 22 日
更新时间： 2003 年 6 月 23 日

总结

谁应该阅读此公告：
使用 Microsoft® Outlook 或 Outlook Express 的客户。

漏洞的影响：
运行攻击者选择的代码。

建议：
使用 Outlook 或 Outlook Express 的客户应应用修补程序。

受影响的软件：

• Microsoft Outlook 98
• Microsoft Outlook 2000
• Microsoft Outlook Express 5.x

常规信息

技术详细信息

技术说明：

Outlook Express 提供了多个组件，供它使用，如果安装在计算机上，则为 Outlook。 用于处理 vCard 的一个此类组件包含未检查缓冲区。

通过创建 vCard 并将其编辑为包含特别选择的数据，然后将其发送给另一个用户，如果收件人打开它，攻击者可能会导致以下两种效果之一发生。 在不太严重的情况下，攻击者可能会导致邮件客户端失败。 如果发生这种情况，收件人可以通过重启邮件客户端并删除冒犯邮件来恢复正常操作。 在更严重的情况下，攻击者可能导致邮件客户端在用户计算机上运行自己选择的代码。 此类代码可以采取任何所需操作，仅受计算机上的收件人权限限制。

由于包含缺陷的组件作为 OE 的一部分提供，而 OEM 本身作为 IE 的一部分提供，因此在 IE 版本而不是 OE 或 Outlook 中指定了修补程序。

缓解因素

• 无法自动打开 vCard，因此攻击者需要吸引收件人打开邮件，然后打开 vCard。 与往常一样，最佳做法建议不打开不受信任的电子邮件附件。

漏洞标识符：CAN-2001-0145

常见问题解答

此漏洞的范围是什么？
这是 缓冲区溢出 漏洞。 如果攻击者创建了包含特殊格式数据的 vCard，然后将它发送给使用受影响版本的 Outlook 或 Outlook Express 的用户，则 vCard 中的数据在打开后可能会导致攻击者选择的代码在收件人计算机上运行。 此类代码可以采取用户自己可以采取的任何操作，包括添加、更改或删除数据、与网站通信、重新格式化磁盘驱动器和其他操作。 无法通过此漏洞自动打开 vCard。 因此，攻击者需要说服收件人打开 vCard。

导致漏洞的原因是什么？
Outlook Express 组件中有一个处理 vCard 的未检查缓冲区。 通过发送包含其中一个字段中特别选择数据的 vCard，攻击者可能会溢出缓冲区，并导致她选择的代码在 vCard 打开时运行。

如果这是 Outlook Express 组件中的漏洞，为什么 Outlook 受到影响？
受影响的组件作为 Outlook Express 的一部分提供，但由 Outlook 共享。 因此，Outlook（如果已安装）也会受到此漏洞的影响。

Outlook 和 Outlook Express 之间的区别是什么？
Outlook Express（OE） 是作为 Internet Explorer 一部分提供的免费基本邮件客户端。 默认情况下，OE 安装在每个 Windows 系统上。 相比之下，Outlook 是一个功能齐全的邮件客户端，既作为独立产品提供，又作为办公室系列的一部分提供。 仅当用户专门安装了它时，它才会安装在计算机上。

什么是 vCard？
VCard 是虚拟业务卡 - 可通过电子邮件发送的业务卡，并添加到 Outlook 和 Outlook Express 中的“联系人”文件夹中。 VCard 通常以电子邮件附件的形式发送。

Outlook Express 和 Outlook 处理 vCard 的方式有什么问题？
打开 vCard 时处理 vCard 的组件包含未检查缓冲区。 因此，通过将 vCard 编辑为在某个卡字段中包含过长的数据，攻击者可能会导致在 vCard 随后打开时出现缓冲区溢出。

这会使攻击者能够做什么？
缓冲区溢出漏洞通常可通过以下两种方式之一进行利用。 如果缓冲区使用随机数据溢出，则应用程序往往会失败。 但是，如果过度使用特别选择的数据，则实际上，在运行应用程序时，可以更改应用程序的功能（在本例中为 OE 或 Outlook）。 在这种情况下，前一次攻击（使用随机数据溢出缓冲区）不会完成太多操作，只是导致邮件客户端失败。 如果发生这种情况，用户只需重新启动它，删除冒犯邮件并继续工作。 但是，后者的攻击将允许攻击者使 OE 或 Outlook 在打开 vCard 的人员的计算机上执行任何操作，仅受收件人对计算机上的权限限制。 如果收件人在计算机上拥有很少的权限，则代码可能无法执行。 另一方面，如果收件人在计算机上拥有管理权限，则代码几乎可以在计算机上执行任何操作。

攻击者是否可以自动打开 vCard？
否。 只有收件人才能打开 vCard。 这意味着攻击者需要说服或诱使收件人打开它。

当收件人阅读它附加到的邮件时，vCard 会打开吗？
否。 收件人需要先打开邮件，然后打开 vCard，以便利用漏洞。 值得重申的是，安全最佳做法建议不要打开不受信任的电子邮件附件。 这不仅意味着打开从你不知道的人发送给你的附件是一个坏主意，而且，如果电子邮件的情况似乎不同寻常，则打开您知道的附件是个坏主意。

假设收件人将 vCard 拖动到他的“联系人”文件夹中，而无需打开它。 这是否会构成风险？
是的。 将 vCard 复制到“联系人”文件夹时，将执行包含缺陷的组件。

有人是否可以意外创建利用此漏洞的 vCard？
否。 只能通过使用十六进制编辑器仔细修改合法 vCard 来创建此类型的 vCard。

为什么在计算机上的 IE 版本（而不是 OE 或 Outlook 版本）中指定了修补程序？
首先，在计算机上的 Outlook 版本中未指定修补程序的原因。 如上所述，负责漏洞的组件作为 OE 的一部分提供，并由 Outlook 共享。 因此，计算机上的 Outlook 版本与所需的修补程序版本没有任何影响 - 这是 OE 的版本非常重要。 现在，让我们解决在 OE 版本方面未指定修补程序的原因。 如果保证 OE 存在于每个用户的系统上，则执行此操作是有意义的。 但 OE 并不总是存在。 OE 在默认情况下作为 IE 的一部分安装，因此它位于绝大多数用户的系统上，但仍可以在安装时将其取消选择。 如果此类系统的所有者将 Outlook 安装到计算机上，Outlook 将发现计算机上不存在所需的组件，并将安装与计算机上的 IE 版本对应的 OE 组件版本。 （在某些情况下，Outlook 还会升级 IE 的版本）。 因此，它是 IE 版本，而不是 OE 或 Outlook 的版本，用于确定需要安装的修补程序的正确版本。

如何实现告诉我系统上的 IE 版本是什么？
启动 IE，然后从“帮助”菜单中选择“关于 Internet Explorer”以查看版本号。

谁应该应用修补程序？
任何使用 Outlook Express 或 Outlook 的客户都应应用修补程序。

我在安装时使用 Outlook，但我在安装时取消选择 OE。 是否需要修补程序？
是的。 安装 Outlook 后，它会检查查看是否存在所需的 OE 组件。 如果不是，Outlook 会安装它们。

修补程序的作用是什么？
修补程序会导致受影响的组件截断所有比用于保存它们的缓冲区更长的输入。

修补程序可用性

下载此修补程序的位置

• https：

注意： 如常见问题解答中所述，修补程序特定于计算机上的 IE 版本，而不是 Outlook 或 Outlook Express 的版本。

有关此修补程序的其他信息

安装平台：

修补程序可用于在运行 IE 5.01 Service Pack 1、 IE 5.01 Service Pack 2 或 IE 5.5 Service Pack 1 的系统上安装。

包含在将来的 Service Pack 中：

此问题的修补程序将包含在 IE 5.5 Service Pack 2 和 IE 6 中

验证修补程序安装：

• 若要验证是否已在计算机上安装修补程序，请打开 IE，选择“帮助”，然后选择“关于 Internet Explorer”，并确认“更新版本”字段中列出了Q283908。
• 若要验证单个文件，请使用知识库文章中提供的修补程序清单Q283908

注意：

• 如果修补程序安装在运行 IE 版本以外的其他版本的系统上，将显示一条错误消息，指出不需要该修补程序。 此消息不正确，看到此消息的用户应升级到 IE 5.01 SP1 或 IE 5.5 SP1 并安装修补程序。
• 在 Windows 2000 上安装时，IE 5.5 SP1 不会将 OE 版本升级到修补程序所需的版本。 但是，IE 5.01 SP1 或 Windows 2000 SP1 将安装正确的版本。 因此，直接升级到 IE 5.5 SP1 的 Windows 2000 用户必须在应用修补程序之前降级到 IE 5.01 SP1 或应用 Windows 2000 SP1。

本地化：

此修补程序的本地化版本正在开发中。 完成后，它们将出现在“获取其他安全修补程序”中讨论的位置。

获取其他安全修补程序：

可从以下位置获取其他安全问题的修补程序：

• 安全修补程序可从 Microsoft 下载中心获取，可通过执行关键字 (keyword)搜索“security_patch”轻松找到
• WindowsUpdate 网站也提供了修补程序

其他信息：

确认

Microsoft 感谢@Stake的 Ollie Whitehouse 向我们报告此问题，并与我们合作保护客户。

支持：

• Microsoft 知识库文章Q283908讨论此问题，此公告发布后大约 24 小时可用。 可以在 Microsoft Online 支持网站上找到知识库文章。
• Microsoft 产品支持服务提供技术支持。 与安全修补程序关联的支持调用不收取任何费用。

安全资源：Microsoft TechNet 安全网站提供有关 Microsoft 产品安全性的其他信息。

免责声明：

Microsoft 知识库中提供的信息“按原样”提供，不提供任何形式的担保。 Microsoft 不明确或暗示所有保证，包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下，Microsoft Corporation 或其供应商都应对任何损害负责，包括直接、间接、附带、后果性、业务利润损失或特殊损害，即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任，因此上述限制可能不适用。

修改：

• V1.0 （2001 年 2 月 22 日）：公告已创建
• V1.1（2001 年 2 月 27 日）：添加了有关 Windows 2000 直接升级到 IE 5.5 SP1 的情况的警告。
• V2.1（2001 年 3 月 23 日）：更新的安装平台部分指示修补程序可应用于 IE 5.01 SP2。
• V2.2（2003 年 6 月 23 日）：更新了Windows 更新下载链接。

构建于 2014-04-18T13：49：36Z-07：00</https：>