安全公告
Microsoft 安全公告 MS03-014 - 严重
Outlook Express 累积修补程序(330994)
发布时间: 2003 年 4 月 23 日 |更新时间:2003 年 8 月 22 日
版本: 1.1
最初发布: 2003 年 4 月 23 日
更新时间: 2003 年 8 月 22 日
总结
谁应阅读此公告: 安装了 Outlook Express 的客户。
漏洞的影响: 此公告解决了一个漏洞,该漏洞可让攻击者在用户计算机上运行攻击者选择的代码。 为了利用漏洞,攻击者必须能够导致 Windows 打开专门构造的 MHTML URL,无论是在网站上还是在 HTML 电子邮件中包括。
最大严重性分级: 严重
建议: 客户应尽早安装修补程序。
受影响的软件:
- Microsoft Outlook Express 5.5
- Microsoft Outlook Express 6.0
常规信息
技术详细信息
技术说明:
MHTML 表示 聚合 HTML 的 MIME 封装。 MHTML 是一种 Internet 标准,用于定义 MIME (多用途 Internet 邮件扩展)结构,用于在电子邮件正文中发送 HTML 内容。 Windows 中的 MHTML URL 处理程序是 Outlook Express 的一部分,提供可在本地计算机上使用的 URL 类型。 此 URL 类型(MHTML://)允许从命令行、从“开始/运行”、“使用 Windows 资源管理器”或从 Internet Explorer 中启动 MHTML 文档。
MHTML URL 处理程序中存在一个漏洞,该处理程序允许以文本形式呈现的任何文件在 Internet Explorer 中作为页面的一部分打开和呈现。 因此,可以构造一个 URL,该 URL 引用存储在本地计算机上的文本文件,并将该文件呈现为 HTML。 如果文本文件包含脚本,则当访问该文件时,该脚本将执行。 由于该文件将驻留在本地计算机上,因此该文件将呈现在本地计算机安全区域中。 在本地计算机区域中打开的文件的限制比在其他安全区域中打开的文件要少。
使用此方法,攻击者可能会尝试构造 URL,并在网站上托管 URL,或者通过电子邮件发送。 在基于 Web 的方案中,用户随后单击网站上托管的 URL,攻击者可以读取或启动本地计算机上已存在的文件。 如果电子邮件受到攻击,如果用户在其默认配置中使用 Outlook Express 6.0 或 Outlook 2002,或者 Outlook 98 或 2000 与 Outlook 电子邮件安全更新结合使用,则无法自动执行攻击,并且用户仍需要单击电子邮件中发送的 URL。 但是,如果用户未在其默认配置中使用 Outlook Express 6.0 或 Outlook 2002,或者 Outlook 98 或 2000 与 Outlook 电子邮件安全更新结合使用,攻击者可能会导致攻击自动触发,而无需用户单击电子邮件中包含的 URL。 在基于 Web 的案例和基于电子邮件的情况下,用户权限的任何限制也会限制攻击者脚本的功能。
应用 Microsoft 安全公告 MS03-004 中列出的更新 - Internet Explorer 累积修补程序有助于阻止攻击者将文件加载到用户的计算机上,并阻止将参数传递给可执行文件。 这意味着攻击者只能启动计算机中已存在的程序,前提是攻击者知道程序的位置,并且无法将参数传递给程序来执行。
MHTML 是电子邮件中交换 HTML 内容的标准,因此 MHTML URL 处理程序函数已在 Outlook Express 中实现。 Internet Explorer 还可以呈现 MHTML 内容,但是 MHTML 函数尚未在 Internet Explorer 中单独实现 - 它只是使用 Outlook Express 来呈现 MHTML 内容。
缓解因素:
- 对于基于 Web 的方案,攻击者必须托管包含用于利用此漏洞的网页的网站,并吸引用户访问它。 攻击者无法强制用户访问该网站。 相反,攻击者需要吸引用户,通常是通过让用户单击指向攻击者站点的链接。
- 基于 HTML 邮件的攻击方案将被 Outlook Express 6.0 和 Outlook 2002 在其默认配置中阻止,如果与 Outlook 电子邮件安全更新结合使用,则由 Outlook 98 和 2000 阻止。
- 利用漏洞只会允许攻击者拥有与用户相同的权限。 其帐户配置为在系统上拥有较少权限的用户的风险将低于使用管理权限的用户。
- 如果已安装 Internet Explorer MS03-004 的累积修补程序,则已知方式是攻击者可能会将文件放置到用户计算机上的阻止。
- 若要调用本地系统上已存在的可执行文件,攻击者必须知道该可执行文件的路径。
严重性分级:
| Outlook Express 5.5 | 严重 |
| Outlook Express 6.0 | 严重 |
上述 评估 基于受漏洞影响的系统类型、其典型部署模式以及利用漏洞对它们的影响。
漏洞标识符:CAN-2002-0980
测试的版本:
Microsoft 针对此漏洞测试了 Internet Explorer 版本 5.01 SP3、5.5 SP2、6.0 Gold 和 6.0 SP1 以及 Outlook Express 版本 5.5 SP2、6.0 Gold 和 6.0 SP1。 5.01 Service Pack 3 之前的 IE 版本不再有资格获得修补程序支持。 Windows 操作系统组件生命周期网站中提供了 详细信息
常见问题解答
漏洞的范围是什么?
此漏洞可能允许攻击者读取文件或在本地计算机区域中的用户计算机上启动程序。
如果攻击者托管包含 MHTML 文档的恶意网站,并可以说服用户访问该网站,他们可能会利用此漏洞并读取文件或启动用户计算机上已存在的可执行文件。
Microsoft 安全公告 MS03-004 描述了攻击者可以通过该漏洞将文件加载到用户的本地系统。 如果 Microsoft 安全公告 MS03-004 中讨论的修补程序已应用,则此公告中讨论的新漏洞范围会显著减少。 在这种情况下,攻击者无法将自己选择的程序传递到本地系统 - 调用的程序必须已存在于系统上,攻击者才能调用它,攻击者也不能将任何参数传递给可执行程序。
什么是 MHTML?
MHTML 代表聚合 HTML 文档的 MIME 封装,是一种 Internet 标准,用于定义用于在邮件正文中发送 HTML 内容的 MIME(多用途 Internet 邮件扩展)结构。 MHTML URL 处理程序用于打包电子邮件的 HTML 内容。 它是一种通用格式,用于封装与 HTML 文档关联的多个文件。
MHTML 获取当前 HTML 页面的“快照”,并将其存档以通过电子邮件发送给某人,或在 Internet Explorer 中脱机查看页面。 例如,在 Internet Explorer 中,可以使用“文件|”将网页另存为单个文件以供脱机查看“另存为”选项,然后从“另存为”下拉列表中选择“Web 存档,单个文件”选项。 网页将以 MHTL 格式保存为单个文件。 Microsoft 知识库文章 221787更详细地介绍了此功能。
什么是 HTML?
HTML 代表超文本标记语言,用于创建在不同平台之间可移植的文档。 其关键功能之一是能够呈现由单独的资源(如图像、声音文件等)组成的文档,并嵌入文本。
MHTML 格式的实现有什么问题?
MHTML URL 处理程序能够像处理 HTML 文件一样对待任何文件类型。 例如,如果.txt文件是使用 MHTML 协议打开的,则它可能会呈现为.HTML文件。 这会带来安全漏洞,因为某些文件(如文本文件)通常被视为“安全文件类型”,网页可能会导致它们在本地计算机区域中打开。 如果此类文件包含可执行脚本和脚本可能导致执行,则会使用与本地计算机区域(而不是网站)关联的特权执行此操作。
你已经提及了 Internet 安全区域 - 它们是什么?
IE 安全区域 是基于其可信度将联机内容划分为类别或区域的系统。 可以将特定的 Web 域分配给区域,具体取决于每个域的内容中放置了多少信任。 然后,区域会根据区域的设置限制 Web 内容的功能。
默认情况下,大多数 Internet 域被视为 Internet 区域的一部分。 Internet 区域具有设置和限制,可配置这些设置和限制,以防止脚本和其他活动代码访问本地计算机上的资源。
什么是本地计算机区域?
本地计算机区域是一个隐式区域,用于用户计算机上存在的内容。 它受到的限制要少得多,并且允许脚本和活动代码访问和操作本地系统上的内容。 默认情况下,本地计算机上存储的文件在“本地计算机”区域中运行。
什么是 URL 处理程序?
URL 处理程序允许应用程序注册新的 URL 类型,该类型由网页调用时,会自动启动应用程序。 例如,当 Outlook 2002 安装在系统上时,它将“outlook://”注册为自定义 URL 处理程序。 然后,可以通过在 IE 中键入此 URL、在“运行”框中或通过单击超链接来调用 Outlook。 对于 MHTML,使用的 URL 为“mhtml://”
导致漏洞的原因是什么?
漏洞结果是因为显示以 MHTML 格式编码的页面的 Outlook Express 组件包含一个缺陷,它允许它呈现非 MHTML 文件,就像它们是 HTML 页面一样。 该缺陷允许呈现其内容为文本的任何文件,例如.txt文件或包含脚本的文件。
此漏洞使攻击者能够执行哪些操作?
攻击者可能尝试使用 MHTML URL 处理程序将用户计算机上已存在的文件呈现为 HTML 页面。 如果攻击者能够将包含恶意脚本的.txt文件放置到用户的计算机上,则他或她可能会尝试使用 MHTML URL 处理程序以 html 文件的形式打开该文件,从而导致脚本执行。 在本地计算机区域中运行的脚本通常比 Internet 区域中运行的脚本受信任,该脚本通常已从网站下载和调用。
但是,应注意的是,如果应用了 Microsoft 安全公告 MS03-004 中讨论的修补程序,攻击者将无法将文件放置到用户的本地系统上。 这会限制攻击者只能够执行本地系统上已存在的文件 - 攻击者也无法将参数传递给可执行文件。
攻击者如何利用此漏洞?
攻击者可以通过使用 MHTML 格式创建 URL 并引诱用户访问托管此漏洞的网站来利用此漏洞,这很可能是通过在电子邮件中发送 URL。 如果攻击者能够猜出包含恶意脚本的文件的用户本地系统上的位置,或者能够将恶意脚本放置在用户计算机上的已知位置,他或她可能会导致该脚本在 HTML 页面中执行。
此修补程序似乎正在解决网页显示方式问题。 为什么公告标题为“Outlook Express 累积修补程序”?
MHTML 设计为 Internet 标准版,用于在电子邮件正文中发送 HTML 内容,以及从 HTML 内容本身中引用的资源。 因此,MHTML 函数已在 Outlook Express 中实现,每当 Internet Explorer 需要呈现 MHTML 页面时,它实际上在 Outlook Express 中使用 MHTML 功能 - MHTML URL 处理程序尚未在 Internet Explorer 中单独实现。
由于此漏洞位于 Outlook Express 中,因此此修补程序包含针对所描述漏洞的修补程序,以及以前发布的所有 Outlook Express 修补程序。
因此,尽管此漏洞与显示某些网页的方式相关,但它不会影响 Internet Explorer?
是 - Internet Explorer 不会呈现 MHTML 文件本身。 MHTML 设计为电子邮件中交换 HTML 的标准,因此 MHTML URL 处理程序已在 Outlook Express 中实现,而不是 Internet Explorer。
我不使用 Outlook Express 来阅读电子邮件。 我是否需要此修补程序?
是 - 由于处理 MHTML 文件的 URL 处理程序实际上是在 Outlook Express 中,因此无论是否使用 Outlook Express 读取电子邮件,都应安装此修补程序。
修补程序的作用是什么?
此修补程序禁止 MHTML 格式读取除其他任何文件类型之外的任何文件类型来消除漏洞。MHT 或 .MHTML-与 MHTML 格式化文件关联的文件类型。
修补程序可用性
下载此修补程序的位置
Microsoft Outlook Express
有关此修补程序的其他信息
安装平台:
此修补程序可以安装在正在运行的系统上:
- OEM 5.5 SP2 修补程序可以安装在运行 Internet Explorer 5.5 Service Pack 2 Windows 98 标准版、Windows Millenium、Windows NT 4.0 Service Pack 6a、Windows 2000 Service Pack 2 和 Windows 2000 Service Pack 3 的系统上。
- OE 6.0 修补程序可以安装在运行 Windows XP Gold 的系统上。
- 可以在 Windows 98 标准版、Windows Millenium、Windows NT 4.0 Service Pack 6a、Windows 2000 Service Pack 2、Windows 2000 Service Pack 3 和 Windows XP Service Pack 1 上运行的系统上安装 OE 6.0 SP1 修补程序
包含在将来的 Service Pack 中:
此问题的修补程序将包含在 Internet Explorer 6.0 Service Pack 2 中。
需要重新启动: 否
可以卸载修补程序: 是
取代的修补程序: 这是 Outlook Express 的累积修补程序,包括 Microsoft 安全公告 MS02-058 中所述的修补程序。
验证修补程序安装:
- 若要验证是否已在计算机上安装修补程序,请打开 IE,选择“帮助”,然后选择“关于 Internet Explorer”,并确认“更新版本”字段中列出了Q330994。
- 若要验证各个文件,请使用知识库文章330994中提供的修补程序清单。
注意:
无
本地化:
此修补程序的本地化版本在“修补程序可用性”中讨论的位置可用。
获取其他安全修补程序:
可从以下位置获取其他安全问题的修补程序:
- 安全修补程序可从 Microsoft 下载中心获取,可通过执行关键字 (keyword)搜索“security_patch”来轻松找到。
- WindowsUpdate 网站提供了使用者平台的修补程序
其他信息:
支持:
- Microsoft 知识库文章 330994 讨论此问题。 可以在 Microsoft Online 支持网站上找到知识库文章。
- Microsoft 产品支持服务提供技术支持。 与安全修补程序关联的支持调用不收取任何费用。
安全资源:Microsoft TechNet 安全网站提供有关 Microsoft 产品安全性的其他信息。
免责声明:
Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修改:
- V1.0 2003 年 4 月 23 日:已创建公告。
- V1.1 2003 年 8 月 22 日:更新了“谁应该阅读此公告”措辞
构建于 2014-04-18T13:49:36Z-07:00</https:>