Критическая уязвимость обнаружена в Microsoft Outlook Express

Обнаружению новой уязвимости в программном обеспечении Microsoft Outlook Express посвящен выпуск бюллетеня компании MS03-014 от 23 апреля 2003 г. В виду чрезвычайной опасности уязвимости, устранить которую призван публикуемый в рамках данного бюллетеня кумулятивный патч, ей присвоен статус "критической".

Уязвимыми являются Microsoft Outlook Express версиий 5.5 и 6.0. Пользователи Outlook Express 6.0 и Outlook 2002, а также Outlook 98 и 2000 в сочетании с Outlook Email Security Update не затронуты данными уязвимостями в случае осуществления атаки на их системы посредством почтового сообщения в HTML-формате, т.к. их установки по умолчанию позволяют открывать сообщения в формате HTML только в зоне ограниченных узлов.

MHTML является стандартом, определяющим структуру многоцелевых расширений почтовой службы в интернет (MIME), используемым для отправки HTML контента в текстах почтовых сообщений. Обработчик ссылок MHTML в ОС Windows является частью почтового клиента Outlook Express и обеспечивает воспроизведение того типа ссылки, который может быть обработан локальной машиной. Этот тип ссылки (MHTML://) позволяет запускать документы в формате MHTML из командной строки, через кнопки Пуск/Выполнить, через Проводник или в рамках программы Internet Explorer.

Уязвимость существует в обработчике ссылок MHTML, который позволяет открывать файл любого формата как HTML файл. Некоторые типы файлов, например, с расширением .txt, считаются безопасными типами, и веб-страница может открывать их в рамках локальной зоны безопасности с минимальным числом ограничений. В случае присутствия специальным образом сконструированной ссылки, указывающей на файл, находящийся на локальном компьютере, он может быть воспроизведена, как HTML файл. Если внутри текстового файла находится скрипт, этот скрипт будет запущен при открытии такого файла.

Используя этот метод, нападающий может сконструировать ссылку и либо разместить ее на веб-сайте, либо отослать по электронной почте. В первом случае, при нажатии пользователем на такую ссылку, у нападающего появляется возможность запускать программы или читать файлы, находящиеся на дисках жертвы, но только в границах зоны безопасности локального компьютера, однако для этого ему необходимо знать точное имя такого файла и путь к нему. Воспользоваться уязвимостью можно только в рамках привилегий, предоставленных пользователю локального компьютера.

ЗАО "ДиалогНаука" настоятельно рекомендует пользователям MS Internet Explorer загрузить и установить на своих компьютерах кумулятивный патч для вышеуказанных версий программы.