丹麦某企业7月12日公开了在Outlook 2000/2003与Word 2000/2003配合使用时发现的安全漏洞。在Outlook 2000/2003的编辑器中使用Word 2000/2003时,如果转发已被做过手脚的HTML邮件,会运行任意代码(程序)。实际上,像这样被做过手脚的垃圾邮件已经大量出现。对策是不在Outlook中使用Word编辑文档。Outlook 2000/2003的编辑器中没有发现此次的漏洞。 Outlook 2000以后的版本中,默认状态下HTML邮件的“受限制的站点”为开启状态。因此,即使在HTML邮件中通过对象标签(OBJECT tag)指定ActiveX控件等,仅打开邮件也不会任意下载或运行程序。 然而,当(1)在Outlook 2000/2003的编辑器中使用Word 2000/2003;且(2)打算转发已被做过手脚的HTML邮件时,即使是设置为受限制的站点,也能够通过对象标签下载及运行指定程序。 做“手脚”并不困难。只要不关闭对象标签(不写</OBJECT>),就会发生这一问题。此次漏洞的发现人James C. Slora, Jr.在投稿(英文)表示:“即使垃圾邮件发送者无意(突破这一安全漏洞),事实上已经出现了大量突破这一漏洞的垃圾邮件”。 通过对象标签任意下载及运行指定程序,是在用Word打开转发的邮件时(按下Outlook的“转发”键时)。如果编辑器指定为Word,虽然回复时也与转发时一样用Word打开邮件,但回复时不会发生此次的问题。 对策是Outlook的编辑器不使用Word。另一个对策就是不转发垃圾邮件等,邮件中如果写有“将该邮件转发给××后,会得到礼物”内容,极有可能是引诱人转发(英文)的。由于Outlook 2000/2003的编辑器功能中没有此次发生的问题,因此最好使用Outlook 2000/2003的编辑器。 另据漏洞发现者称,已从美国微软得到答复,“认为这是Web Bug的一种变异。微软正在考虑修改‘转发\’及‘回复\’时Outlook的下载动作,今后推出的Office可能会解决这一问题”。 |