Qualcomm Eudora WebBrowser控制嵌入Media player文件漏洞

发布时间：2002-03-25
更新时间：2002-03-25
严重程度：中
威胁程度：用户敏感信息泄露
错误类型：访问验证错误
利用方式：客户机模式

BUGTRAQ ID：4343

受影响系统

Qualcomm Eudora 5.1
   - Microsoft Windows 2000 Workstation 0.0
   - Microsoft Windows 2000 Workstation 0.0SP1
   - Microsoft Windows 2000 Workstation 0.0SP2
   - Microsoft Windows 95 0.0
   - Microsoft Windows 98 0.0
   - Microsoft Windows NT 4.0
   - Microsoft Windows NT 4.0SP1
   - Microsoft Windows NT 4.0SP2
   - Microsoft Windows NT 4.0SP3
   - Microsoft Windows NT 4.0SP4
   - Microsoft Windows NT 4.0SP5
   - Microsoft Windows NT 4.0SP6
   - Microsoft Windows NT 4.0SP6a

详细描述
WebBrowser control用于在一些EMAIL客户端启动IE来显示HTML内容。

其中存在漏洞允许邮件信息自动在使用了WebBrowser control的客户端执行信息附件。如果Windows Media Player文件引用包含在<t:video>标签中，包含在文件中的JAVASCRIPT命令将在邮件查看时执行。

测试代码
尚无

解决方案
用户可以在Tools -> Options -> Viewing Mail不选择"Use Microsoft's viewer" 选项。

相关信息
GreyMagic Software <security@greymagic.com>.
参考：http://online.securityfocus.com/archive/1/263469
http://online.securityfocus.com/archive/1/263607

最近严重漏洞

Qualcomm Eudora WebBrowser控制嵌入Media player文件漏洞