Netscape Email客户端删除消息不完全漏洞

漏洞信息详情

Netscape Email客户端删除消息不完全漏洞

• CNNVD编号：CNNVD-200312-478
• 危害等级： 低危
  
  
• CVE编号：
  CVE-2003-1265
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2003-01-01
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2006-01-19
  
• 厂        商：
  
  netscape
• 漏洞来源：
  Michael Puchol※ mp…

Netscape 7.0浏览器默认包含可处理POP3和IMAP帐户的邮件客户端。
Netscape的邮件客户端在删除邮件消息时处理不正确，本地攻击者可以利用这个漏洞查看用户以为删除了的邮件信息。
用户往往通过在文件夹中点鼠标右键，在弹出的对话框中选择\’\’Empty trash\’\’来删除邮件，但是实际实现中Netscape的邮件客户端并没有真正删除邮件消息，只不过在状态文件中标记此邮件以被删除而已，只有当用户选择压缩包含删除邮件消息的文件夹(也不是废件箱文件夹)后才能真正删除。任意本地用户可以通过简单的文件解析VBScript，从邮箱文件中dump出独立的.eml文件，造成攻击者阅读其他用户邮件信息。

厂商补丁：
Netscape
——–
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.netscape.com” target=”_blank”>
http://www.netscape.com

来源: BID
名称: 6499
链接:http://www.securityfocus.com/bid/6499

来源: XF
名称: netscape-email-deletion-failure(10963)
链接:http://www.iss.net/security_center/static/10963.php

来源: BUGTRAQ
名称: 20030101 Potential disclosure of sensitive information in Netscape 7.0 email client
链接:http://archives.neohapsis.com/archives/bugtraq/2002-12/0277.html

来源: SECTRACK
名称: 1005871
链接:http://www.securitytracker.com/id?1005871

来源：NSFOCUS
名称：4142
链接：http://www.nsfocus.net/vulndb/4142