Microsoft Outlook IFrame嵌入媒体播放文件漏洞

漏洞信息详情

Microsoft Outlook IFrame嵌入媒体播放文件漏洞

• CNNVD编号：CNNVD-200208-054
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-0481
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2002-03-21
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  microsoft
• 漏洞来源：
  Richard M. Smith※ …

Microsoft Outlook是流行的Windows平台下的邮件客户端。
Microsoft Outlook存在漏洞可以导致嵌入到媒体播放器文件中的Javascript代码，在用户读取HTML形式邮件时被执行。
在HTML形式邮件中，如果在IFRAME标记中引用Windows媒体播放文件，嵌入到媒体播放文件中的Javascript命令就会在邮件被查看时自动被执行。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 1、Outlook2002不能从HTML IFRAME标记中下载可执行文件，如果使用了IFRAME，所有除了HTML、TEXT、IMAGE文件以外的所有文件类型必须被Outlook丢弃。

* 2、所有WMP文件类型(.ASX、.WMS、.WMZ、.WMD、.WMA等)必须标识为不安全文件类型。

* 3、”about”和”javascript”协议在player.LauchURL()模式中必须关闭。
厂商补丁：
Microsoft
———
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.microsoft.com/technet/security” target=”_blank”>
http://www.microsoft.com/technet/security

来源: BID
名称: 4340
链接:http://www.securityfocus.com/bid/4340

来源: XF
名称: outlook-iframe-javascript(8604)
链接:http://www.iss.net/security_center/static/8604.php

来源: BUGTRAQ
名称: 20020321 How Outlook 2002 can still execute JavaScript in an HTML email message
链接:http://online.securityfocus.com/archive/1/263429