Microsoft Outlook Express 6 存文本信息脚本可执行漏洞发布时间:2001-09-18 更新时间:2001-09-18 严重程度:高 威胁程度:普通用户访问权限 错误类型:设计错误 利用方式:客户机模式 受影响系统 Microsoft Outlook Express 6.0详细描述 Microsoft Outlook Express 只会在HTML邮件中[Content-Type: text/html] 才会解析HTML和脚本代码,不过在OUTLOOK EXPRESS 6中其邮件是[Content-Type: text/plain]也可以执行脚本代码。 不过OUTLOOK EXPRESS 6默认禁止脚本执行,因此默认用户不受此问题影响。 测试代码 发送下列的纯文本邮件也会导致执行脚本: MIME-Version: 1.0 Content-Type: text/plain; charset="Windows-1252" Content-Transfer-Encoding: 7bit X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MIMEOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 X-Source: 11.09.01 http://www.malware.com <script>alert("freak");alert("show")</script> http-equiv@excite.com也提供了一个演示程序: http://www.malware.com/malware.zip 解决方案 尚无 相关信息 |
