Microsoft Outlook 2002 HTML形式邮件脚本执行漏洞(MS02-021)

漏洞信息详情

Microsoft Outlook 2002 HTML形式邮件脚本执行漏洞(MS02-021)

• CNNVD编号：CNNVD-200205-028
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2002-1056
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2002-03-31
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-05-02
  
• 厂        商：
  
  microsoft
• 漏洞来源：
  Georgi Guninski※ g…

Microsoft Outlook 2002是一款Office XP附带的邮件客户端程序，由Microsoft公司维护和开发。
Microsoft Outlook 2002在处理HTML形式邮件上存在漏洞，可导致嵌入到HTML邮件的脚本代码在没有警告用户的情况下执行。
攻击者可以通过建立由＜PARAM … ＞标记在\”Location\”参数中包含脚本代码的Web浏览器对象(web browser object)，并嵌入到HTML形式邮件中，当用户接收到此邮件并进行转发和回复操作的时候，可导致脚本代码被执行。
攻击者可利用此漏洞在目标用户系统上执行任意命令。
根据测试，此问题只存在于如果用WordMail编辑器编辑信件时才存在，而使用Outlook默认的编辑器不存在此漏洞。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 如果使用WordMail编辑器编辑信件的用户，请转换为使用Outlook默认编辑器编辑。
厂商补丁：
Microsoft
———
Microsoft已经为此发布了一个安全公告(MS02-021)以及相应补丁:

MS02-021：E-mail Editor Flaw Could Lead to Script Execution on Reply or Forward (Q321804)

链接：http://www.microsoft.com/technet/security/bulletin/MS02-021.asp” target=”_blank”>
http://www.microsoft.com/technet/security/bulletin/MS02-021.asp

来源: MS
名称: MS02-021
链接:http://www.microsoft.com/technet/security/bulletin/ms02-021.asp

来源: BID
名称: 4397
链接:http://www.securityfocus.com/bid/4397

来源: XF
名称: outlook-object-execute-script(8708)
链接:http://www.iss.net/security_center/static/8708.php

来源: BUGTRAQ
名称: 20020403 More Office XP problems (Version 2.0)
链接:http://online.securityfocus.com/archive/1/265621

来源: BUGTRAQ
名称: 20020331 More Office XP Problems
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=101760380418890&w=2

来源: US Government Resource: oval:org.mitre.oval:def:429
名称: oval:org.mitre.oval:def:429
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:429

来源: US Government Resource: oval:org.mitre.oval:def:205
名称: oval:org.mitre.oval:def:205
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:205