BUGTRAQ ID: 24392
CVE(CAN) ID: CVE-2007-2225
Outlook Express是Microsoft Windows操作系统捆绑的邮件和新闻组客户端。
Windows的MHTML协议处理器在返回MHTML内容时没有正确的解释HTTP头,这可能允许Internet Explorer绕过域限制。
攻击者可以通过构建特制的网页来利用该漏洞。如果用户使用Internet Explorer查看网页,该漏洞可能允许信息泄露。成功利用此漏洞的攻击者可以读取另一个Internet Explorer域中的数据。
Microsoft Outlook Express 6.0
Microsoft Windows Mail
临时解决方法:
禁用MHTML协议处理程序:
将Internet和本地intranet安全区设置为“高”以在运行活动脚本之前要求提示。
厂商补丁:
Microsoft已经为此发布了一个安全公告(MS07-034)以及相应补丁:
MS07-034:Cumulative Security Update for Outlook Express and Windows Mail (929123)
链接:<a href=“http://www.microsoft.com/technet/security/Bulletin/ms07-034.mspx?pf=true” target=“_blank”>http://www.microsoft.com/technet/security/Bulletin/ms07-034.mspx?pf=true</a>