漏洞信息详情
Microsoft Outlook Web Access远程脚本注入漏洞
- CNNVD编号:CNNVD-200705-106
- 危害等级: 中危
![图片[1]-Microsoft Outlook Web Access远程脚本注入漏洞-一一网](https://www.proyy.com/skycj/data/images/2021-09-08/30f462579bec41fc25e0b1d57503e6d6.png)
- CVE编号:
CVE-2007-0220
- 漏洞类型:
跨站脚本
- 发布时间:
2007-05-08
- 威胁类型:
远程
- 更新时间:
2020-04-10
- 厂 商:
microsoft - 漏洞来源:
Martijn Brinkers o… -
漏洞简介
Outlook Web Access是Microsoft Exchange中用于通过Web浏览器读取和发送邮件的工具。
Outlook Web Access在处理特定的数据编码时存在漏洞,远程攻击者可能利用此漏洞控制用户机器。
Outlook Web Access没有正确地处理某些UTF字符集标签,因此可能未经正确地过滤便显示了基于脚本的附件。如果攻击者发送了带有特制UTF编码邮件附件的话,就可能导致在用户浏览器环境中执行任意代码或读取敏感信息。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
临时解决方法:
* 在运行Exchange Server的计算机上禁用Outlook Web Access(OWA):
1. 单击”开始”,依次指向”所有程序”、”Microsoft Exchange”,然后单击”系统
管理器”。
2. 依次展开”服务器”、”服务器”、”协议”,然后展开”HTTP”。
3. 右键单击”Exchange 虚拟服务器”,然后单击”停止”。
* 禁止在OWA中作为Level2类型打开HTML附件:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMSExchangeWEBOWA
更新”Level2MIMETypes”以包括”text/html”
更新”Level2FileTypes”以包括”htm,html”
* 禁止在OWA中作为Level1类型打开HTML附件:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMSExchangeWEBOWA
更新”Level1MIMETypes”以包括”text/html”
更新”Level1FileTypes”以包括”htm,html”
厂商补丁:
Microsoft
———
Microsoft已经为此发布了一个安全公告(MS07-026)以及相应补丁:
MS07-026:Vulnerabilities in Microsoft Exchange Could Allow Remote Code Execution (931832)
链接:
http://www.microsoft.com/technet/security/bulletin/ms07-026.mspx?pf=true
参考网址
来源:MS
链接:https://docs.microsoft.com/en-us/security-updates/securitybulletins/2007/ms07-026
来源:HP
链接:http://www.securityfocus.com/archive/1/468871/100/200/threaded
来源:www.kb.cert.org
链接:http://www.kb.cert.org/vuls/id/124113
来源:www.microsoft.com
链接:http://www.microsoft.com/technet/security/Bulletin/MS07-026.mspx
来源:support.avaya.com
链接:http://support.avaya.com/elmodocs2/security/ASA-2007-191.htm
来源:products.office.com
链接:https://products.office.com/en-US/exchange/
来源:XF
链接:https://exchange.xforce.ibmcloud.com/vulnerabilities/33887
来源:CERT
链接:http://www.us-cert.gov/cas/techalerts/TA07-128A.html
来源:SECTRACK
链接:http://www.securitytracker.com/id?1018015
来源:VUPEN
链接:http://www.vupen.com/english/advisories/2007/1711
来源:OSVDB
来源:BID
链接:https://www.securityfocus.com/bid/23806
来源:OVAL
链接:https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A1371
来源:SECUNIA
链接:http://secunia.com/advisories/25183
来源:www.securityfocus.com
![[桜井宁宁]COS和泉纱雾超可爱写真福利集-一一网](https://www.proyy.com/skycj/data/images/2020-12-13/4d3cf227a85d7e79f5d6b4efb6bde3e8.jpg)
![[桜井宁宁] 爆乳奶牛少女cos写真-一一网](https://www.proyy.com/skycj/data/images/2020-12-13/d40483e126fcf567894e89c65eaca655.jpg)
