BUGTRAQ ID: 30585
CVE(CAN) ID: CVE-2008-1448
Internet Explorer是微软操作系统中默认捆绑的WEB浏览器。
IE的MHTML协议处理器没有正确地解释MHTML URI重新定向。如果以UNC的形式指定了URI的话,则没有正确的应用安全策略:
\MACHINE_NAME_OR_IP\PATH_TO_RESOURCE
在这种情况下当远程站点试图访问本地资源时,Internet Explorer会无法强制区提升限制;在浏览远程站点的时候Internet Explorer会无法应用正确地安全区权限,允许将属于较小权限区的站点处理为更高权限的区。
由于Outlook Express和Windows Mail提供了有漏洞的功能,因此Microsoft报告这些程序也受漏洞影响。
Microsoft Internet Explorer 7.0
Microsoft Internet Explorer 6.0 SP1
Microsoft Internet Explorer 6.0
Microsoft Outlook Express 6.0 SP1
Microsoft Outlook Express 6.0
Microsoft Outlook Express 5.5 SP2
Microsoft Windows Mail
临时解决方法:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_PROTOCOL_LOCKDOWN]
"explorer.exe"=dword:00000001
"iexplore.exe"=dword:00000001
"*"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\RestrictedProtocols]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\RestrictedProtocols\1]
"mhtml"="mhtml"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\RestrictedProtocols\2]
"mhtml"="mhtml"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\RestrictedProtocols\3]
"mhtml"="mhtml"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\RestrictedProtocols\4]
"mhtml"="mhtml"
禁用MHTML协议处理程序。请按照下列步骤执行操作:
将Internet 和本地Intranet安全区域设置设为“高”,以便在这些区域中运行活动脚本之前进行提示。
厂商补丁:
Microsoft已经为此发布了一个安全公告(MS08-048)以及相应补丁:
MS08-048:Security Update for Outlook Express and Windows Mail (951066)
链接:<a href=“http://www.microsoft.com/technet/security/Bulletin/MS08-048.mspx?pf=true” target=“_blank”>http://www.microsoft.com/technet/security/Bulletin/MS08-048.mspx?pf=true</a>
http://www.coresecurity.com/files/attachments/CORE-2008-0103-PoC.zip