绿盟安全月刊->第24期->安全新闻 微软最新公布Outlook的安全漏洞

日期：2001-08-13

日经BP社

　　微软于7月14日公布了Microsoft Outlook98/2000/2001的安全漏洞。该安全漏洞为用户在浏览Web页及HTML邮件时，有可能会被人利用，并在用户的计算机上执行任意代码。其原因是被称为“Outlook视图控制器”的ActiveX控件中存在问题。作为其对策，可以使在Internet Explorer(IE)安全级别设定中的“因特网区域”中关闭ActiveX控件，或者是应用以前公布过的“电子邮件安全更新”。其补丁(修改程序)正在准备当中。


　　“Outlook视图控制器”是由Outlook安装的ActiveX控件，用户可以用来使用Web浏览器浏览邮件文件夹及日历等Outlook的信息。这个ActiveX控件可以提供比单纯显示信息更多的功能。而这正是本次公布的安全漏洞之所在。如果有人恶用这种控件，就可以在用户的计算机上执行攻击者想执行的代码。

　　具体来说，它是通过在Web页中装入操作此控件的Script来实现的。如果用户打开该Web页，就会遭受侵害。另外，攻击者还有可能向用户发送链接该Web页的HTML邮件来引诱用户。

　　在补丁程序未公布以前的对策为在IE及Outlook中关闭ActiveX控件。关于IE，可以选择“因特网选项”中的“安全”选项，在“因特网区域”中选择“特定”。然后在“安全设定”中将“执行ActiveX控件和插件”选为禁用。

　　由于Outlook98以及2000是在“因特网区域”中打开HTML邮件，可以进行上述的设定来避免通过邮件进行的攻击(由于Outlook2002是在“受限的站点区域”打开邮件，因此在默认状态下就可以避免攻击)。但是，关于Outlook微软推荐用户不应仅仅改变设置，还应采用“安全升级”。如果采用“安全升级”，不仅可以不运行AciveX控件，而且有益于防止通过邮件感染的病毒。

　　另外，美国微软的FAQ(常见问题解答)中，还公开了关闭LAN内部的计算机上的ActiveX控件的方法。系统管理员应予以参考。

　　同时由于Outlook98之前的版本不在支持对象之列，因此是否会受影响尚不得而知。 (IT Pro)