IE和Outlook 2002中发现新的安全漏洞

日经BP社
　　【日经BP社报道】日本微软于12月5日公布了Internet Explorer(IE)5.5/6和Outlook 2002中存在的新安全漏洞。如果用户使用IE浏览某个被人做了手脚的Web页，则有可能被人读取或者运行自己终端内的文件。另外，如果用户使用Outlook 2002浏览某个被做了手脚的邮件，则Outlook 2002可能会异常终止。对于上述安全漏洞，日本微软设定的危害等级为倒数第2级(正数第3级)――“警告”。可采取的对策为安装补丁。
　　IE中发现的安全漏洞登载在安全情报“MS02-068：Internet Explorer累积修正程序(324929)”中。不仅是在使用IE浏览Web页的情况下，在使用以IE浏览邮件的软件(Outlook或者Outlook Express)或预览HTML邮件时，也同样会受到该安全漏洞的影响。但是Outlook Express 6以及Outlook 2002、应用了“Outlook电子邮件安全更新”的Outlook 98及Outlook 2000不会受到此安全漏洞的影响。
　　如果用户浏览被人做了手脚的Web页或者HTML邮件，则该用户终端上的文件内容有可能被非法读取。另外，用户终端中存在的可执行文件有可能被非法运行。但是，攻击者需要知道文件的准确地点(路径)。另外，非法入侵者无法向可执行文件传送参数(Parameter)。而且非法入侵者也不能删除或者修改文件，不能上传任意的文件。
　　Outlook 2002中发现的安全漏洞为“MS02-067：由于电子邮件文件头处理问题，引起Outlook 2002异常终止(331866)”。如果用户使用Outlook 2002浏览某个被人做了手脚的邮件，则将导致Outlook 2002异常终止。即使用户想删除该邮件，也会由于Outlook 2002的异常终止而无法删除。因此，用户需要请求网络管理人员删除该邮件，或者使用其它的邮件软件、使用安装补丁的Outlook 2002来删除该邮件。
　　在该邮件被删除后，用户便可进行正常的操作。另外，除异常终止外，该邮件并不带来其它的影响。
　　另外，通过MAPI与邮件服务器连接的Outlook 2002不受该安全漏洞影响。只有通过POP3、IMAP及WebDAV连接时才会受到影响。另外，Outlook 2000及Outlook Express也不受影响。
　　此次发现的所有安全漏洞均被设定为按危害程度分的4个等级中的倒数第2级――“警告”。虽然对于“警告”级的安全漏洞，用户无需着急安装补丁，但还是希望IE及Outlook 2002的用户采取相应对策。可采取的对策为安装日本微软公布的补丁。上述漏洞的补丁都可以通过安全情报网页下载。另外，用户也可以通过“Windows Update”及“Office Update”安装补丁。另外，“MS02-068”是包括以前公开的与IE有关的所有安全补丁在内的累积补丁。