Microsoft Outlook mailto URL kezelési sérülékenység

CH azonosító

CH-4

Felfedezés dátuma

2004.03.09.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Office XP
Outlook

Érintett verziók

Microsoft Outlook 2002 SP2
Microsoft Office XP SP2

Összefoglaló

Egy hiba miatt a Microsoft Outlook 2002 bizonyos URL-ek kezelése során lehetővé teszi a tetszőleges kódok futtatását távolról.

Leírás

Az Outlook 2002 nem ellenőrzi megfelelően az Outlook e-mail kliensnek adott paramétereket. A hiba a “mailto:” URL-ek feldolgozásában van. A támadó egy rosszindulatú “mailto:” URL segítségével scripteket futtathat a sérülékeny rendszeren. Ez akár tetszőleges kódok futtatását is lehetővé teszi. A rosszindulatú kód HTML formátumú e-mailben vagy egy támadó által irányított weboldalon keresztül juttatható célba.

A Microsoft eredetileg azt állította, hogy csak azok a felhasználók érintettek ahol az Outlook 2002 az alapértelmezett e-mail kliens és az “Outlook Today” az alapértelmezett kezdőoldal. Azóta újabb információ látott napvilágot, miszerint egyéb helyzetekben is támadhatók az érintett rendszerek.

Egy támadó tetszőleges kódot futtathat az érintett rendszeren. A hiba sikeres kihasználása esetén a rosszindulatú kódot a támadó a “Local Machine” (Helyi számítógép) biztonsági zónában, a felhasználó jogosultságaival futtathatja.

Megoldás

Telepítse a javítócsomagokat

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2014-3931 – Multi-Router Looking Glass (MRLG) Buffer Overflow sérülékenysége
CVE-2016-10033 – PHPMailer Command Injection sérülékenysége
CVE-2019-5418 – Rails Ruby on Rails Path Traversal sérülékenysége
CVE-2019-9621 – Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2016-4484 – Linux sérülékenység
CVE-2025-32463 – Linux sérülékenység
CVE-2025-32462 – Linux sérülékenység
CVE-2025-6463 – Wordpress sérülékenység
CVE-2024-51978 – Brother sérülékenység
Tovább a sérülékenységekhez »