Microsoft Outlook Express MHTML URL解析信息泄露漏洞(MS07-034)

漏洞信息详情

Microsoft Outlook Express MHTML URL解析信息泄露漏洞(MS07-034)

• CNNVD编号：CNNVD-200706-210
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2007-2225
  
• 漏洞类型：
  
  
  其他
  
• 发布时间：
  
  2007-06-12
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2009-09-19
  
• 厂        商：
  
  microsoft
• 漏洞来源：
  SANS ISC

Outlook Express是Microsoft Windows操作系统捆绑的邮件和新闻组客户端。

Windows的MHTML协议处理器在返回MHTML内容时没有正确的解释HTTP头，这可能允许Internet Explorer绕过域限制。

攻击者可以通过构建特制的网页来利用该漏洞。如果用户使用Internet Explorer查看网页，该漏洞可能允许信息泄露。成功利用此漏洞的攻击者可以读取另一个Internet Explorer域中的数据。

临时解决方法：

* 禁用MHTML协议处理程序：

1. 单击”开始”，然后单击”运行 “。在文本框中输入regedit.exe，然后单击”确定”。

2. 导航到HKEY_CLASSES_ROOT\CLSID\{05300401-BCBC-11d0-85E3-00C04FD85AB4}。

3. 右键单击{05300401-BCBC-11d0-85E3-00C04FD85AB4}，然后选择”权限”。

4. 单击”高级”。

5. 取消选中”允许将来自父级的可继承权限传播给该对象

6. 单击”删除”，然后单击”确定”。 在后续屏幕上单击”是”和”确定”。

* 将Internet和本地intranet安全区设置为”高”以在运行活动脚本之前要求提示。

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

Microsoft

———

Microsoft已经为此发布了一个安全公告(MS07-034)以及相应补丁:

MS07-034：Cumulative Security Update for Outlook Express and Windows Mail (929123)

链接：

http://www.microsoft.com/technet/security/Bulletin/ms07-034.mspx?pf=true

来源: US-CERT

名称: TA07-163A

链接:http://www.us-cert.gov/cas/techalerts/TA07-163A.html

来源: US-CERT

名称: VU#682825

链接:http://www.kb.cert.org/vuls/id/682825

来源: MS

名称: MS07-034

链接:http://www.microsoft.com/technet/security/bulletin/ms07-034.mspx

来源: HP

名称: SSRT071438

链接:http://www.securityfocus.com/archive/1/archive/1/471947/100/0/threaded

来源: SECTRACK

名称: 1018232

链接:http://www.securitytracker.com/id?1018232

来源: SECTRACK

名称: 1018231

链接:http://www.securitytracker.com/id?1018231

来源: BID

名称: 24392

链接:http://www.securityfocus.com/bid/24392

来源: BUGTRAQ

名称: 20070622 MS07-034: Executing arbitrary script with mhtml: protocol handler

链接:http://www.securityfocus.com/archive/1/archive/1/472002/100/0/threaded

来源: HP

名称: SSRT071438

链接:http://www.securityfocus.com/archive/1/archive/1/471947/100/0/threaded

来源: VUPEN

名称: ADV-2007-2154

链接:http://www.frsirt.com/english/advisories/2007/2154

来源: SECUNIA

名称: 25639

链接:http://secunia.com/advisories/25639

来源: MISC

链接:http://openmya.hacker.jp/hasegawa/security/ms07-034.txt

来源: MISC

链接:http://archive.openmya.devnull.jp/2007.06/msg00060.html

来源: US Government Resource: oval:org.mitre.oval:def:2045

名称: oval:org.mitre.oval:def:2045

链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:2045