Утечка информации через Microsoft Outlook (information leak)
[B]Утечка информации через Microsoft Outlook (information leak)[/B]
Опубликовано: 26 апреля 2006 г.
Источник: BUGTRAQ
Тип: клиент
Опасность: 6/10
[B]Описание:[/B] Обработчик команды mailto: позволяет модифицировать аргументы mailto таким образом, что будет модифицирвоана коммандная строка для запуска Outlook, что позволяет, например, вложить какой-либо файл.
[B]Затронутые продукты:[/B] MICROSOFT:Outlook 2003
Оригинальный текст inge.henriksen_(at)_booleansoft.com, [url=http://www.security.nnov.ru/Mdocument429.html]Multiple browsers Windows mailto protocol Office 2003 file attachment exploit[/url] (26.04.2006)
Источник: [url=http://www.security.nnov.ru/Gnews56.html]security.nnov.ru[/url]
Раскрытие данных в Microsoft Office 2003
[B]Раскрытие данных в Microsoft Office 2003[/B]
[B]Программа:[/B] Microsoft Office 2003
[B]Опасность:[/B] Низкая
[B]Наличие эксплоита:[/B] Да
[B]Описание:[/B]
Уязвимость позволяет удаленному пользователю получить доступ к важным данным на системе.
Уязвимость существует в механизме регистрации небезопасного URI обработчика "mailto". Злоумышленник может обманом заставить пользователя нажать на ссылку с URI обработчиком "mailto:" и автоматически прикрепить произвольные файлы к email сообщению. Пример:
mailto:[mail]""..\..\..\..\..\[file]
URL производителя: [url]www.microsoft.com[/url]
[B]Решение:[/B] Способов устранения уязвимости не существует в настоящее время.
Источник: [url=http://www.securitylab.ru/vulnerability/266357.php]securitylab.ru[/url]
