Microsoft Outlook Guvenlik Aciklari

Etkilenen Sistemler
Microsoft Outlook 2000 0.0
– Microsoft Windows 2000 Workstation 0.0
– Microsoft Windows 2000 Workstation 0.0SP1
– Microsoft Windows 2000 Workstation 0.0SP2
– Microsoft Windows NT 4.0
– Microsoft Windows NT 4.0SP1
– Microsoft Windows NT 4.0SP2
– Microsoft Windows NT 4.0SP3
– Microsoft Windows NT 4.0SP4
– Microsoft Windows NT 4.0SP5
– Microsoft Windows NT 4.0SP6
– Microsoft Windows NT 4.0SP6a
Microsoft Outlook 2002 0.0
Microsoft Outlook Express 6.0
– Microsoft Windows 2000 Workstation 0.0
– Microsoft Windows 2000 Workstation 0.0SP1
– Microsoft Windows 2000 Workstation 0.0SP2
– Microsoft Windows 95 0.0
– Microsoft Windows 98 0.0
– Microsoft Windows 98SE 0.0
– Microsoft Windows ME 0.0
– Microsoft Windows NT 4.0SP4
– Microsoft Windows NT 4.0SP5
– Microsoft Windows NT 4.0SP6a

Açıklama
Microsoft Outlook Javascript çalıştırma açığı
Bir kullanıcının bilmeyerek HTML eposta mesajına gömülü Javascript`i çalıştırmasına yol açan bir açık olduğu rapor edildi.
Bu açık bir HREF değerine ‘about:’ veya ‘javascript:’ ile bir Javascript kullanıldığında exploit edilebiliyor. Alıcı bağlantıya erişmek istediğinde IE`de scripting kapalı olsa da gömülü Javascript çalışıyor.

Microsoft Outlook IFrame gömülü URL açığı
Kullanıcı siteye erişmeyi denemese de Outlook`un bir web sitesinden dosya indirme işlemi başlatacak bir güvenlik açığından etkilendiği rapor edildi.
Bu, eğer kullanıcı IFrame tag`ine gömülü bir URL içeren HTML mesajını okursa gerçekleşebiliyor. Eğer URL bir dosyaya işaret ediyorsa, kullanıcı eposta mesajını açtığında Outlook kullanıcıya bir dosya indirme diyalog kutusu görüntülüyor.
Bu açık kullanılarak kötü amaçlı dosyaların indirilmesi veya diğer bilinen IE açıklarını exploit etmek mümkün olabilir.

Microsoft Outlook çerez (cookie) kullanımı ayarlarını aşma açığı
HTML eposta mesajları ile uzaktaki web sitelerine çerez bilgilerinin görüntülenmesine izin veren bir açığın olduğu rapor edildi.
Eğer Outlook kullanıcısına gönderilen bir HTML eposta uzaktaki bir sunucuda bulunan bir resim kullanıyorsa alıcı epostayı açtığında çerezler uzaktaki sunucuya gönderiliyor. Bu işlem eğer Outlook ta cookie kullanımı kapatılmışsa gerçekleşiyor. Bu problem IE ve Outlook güvenlik ayarlarının birlikte çalışmada başarısızlığa uğramasından kaynaklanıyor.


Kaynak: olympos.org
belgesi-468

Belgeci , 2422 belge yazmış

Cevap Gönderin