Microsoft Outlook 2002 HTML形式邮件脚本执行漏洞(MS02-021)

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1204521 漏洞类型 设计错误
发布时间 2002-03-31 更新时间 2005-05-02
CVE编号 CVE-2002-1056 CNNVD-ID CNNVD-200205-028
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200205-028
|漏洞详情
MicrosoftOutlook2002是一款OfficeXP附带的邮件客户端程序,由Microsoft公司维护和开发。MicrosoftOutlook2002在处理HTML形式邮件上存在漏洞,可导致嵌入到HTML邮件的脚本代码在没有警告用户的情况下执行。攻击者可以通过建立由标记在"Location"参数中包含脚本代码的Web浏览器对象(webbrowserobject),并嵌入到HTML形式邮件中,当用户接收到此邮件并进行转发和回复操作的时候,可导致脚本代码被执行。攻击者可利用此漏洞在目标用户系统上执行任意命令。根据测试,此问题只存在于如果用WordMail编辑器编辑信件时才存在,而使用Outlook默认的编辑器不存在此漏洞。
|参考资料

来源:MS
名称:MS02-021
链接:http://www.microsoft.com/technet/security/bulletin/ms02-021.asp
来源:BID
名称:4397
链接:http://www.securityfocus.com/bid/4397
来源:XF
名称:outlook-object-execute-script(8708)
链接:http://www.iss.net/security_center/static/8708.php
来源:BUGTRAQ
名称:20020403MoreOfficeXPproblems(Version2.0)
链接:http://online.securityfocus.com/archive/1/265621
来源:BUGTRAQ
名称:20020331MoreOfficeXPProblems
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=101760380418890&w=2
来源:USGovernmentResource:oval:org.mitre.oval:def:429
名称:oval:org.mitre.oval:def:429
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:429
来源:USGovernmentResource:oval:org.mitre.oval:def:205
名称:oval:org.mitre.oval:def:205
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:205