绿盟安全月刊->第19期->业界动态 微软承认Outlook中存在严重安全漏洞

日期：2001-02-19

新浪科技

　　纽约当地时间二月二十三日，美国软件业巨头微软公司发布消息称，该公司广受欢迎的电子邮件服务软件Outlook和Outlook Express的确存在“缺陷”，它有可能被一些恶意病毒和“特洛伊木马”侵入。这是该公司近来首次承认其电子邮件程序存在安全漏洞，此前，该公司对这一问题一直持否认态度。

　　微软公司在一份声明中表示，其电子邮件程序处理电子名片(Vcard)的方式存在“瑕疵”，这一“瑕疵”有可能使用户的个人电脑被“特洛伊木马”和一些病毒侵入。微软公司称，一些恶意的攻击者可能会编写一段数据或者程序，然后将这段数据安置在电子名片的“生日栏”当中，从而避开电子邮件软件的病毒安全扫描程序，当这些含有病毒的电子名片以电子邮件的形式发送给其他人时，他们的电脑就有可能遭到侵害。

　　微软公司表示，在Outlook 2000 或者 97以及Outlook Express 5.01或者 5.5打开含有恶意代码的电子名片(Vcard)时，这些包含在电子名片(Vcard)中的恶意代码将使电子邮件软件崩溃。更为严重的是，这些恶意代码有可能使用户的个人电脑遭到严重破坏。由于这些恶意代码的内容不受控制，完全取决于编写者的意愿，因此它所造成的破坏将是难以估量的。微软公司的一位安全顾问表示，“这些恶意代码能够进行任何它想要的操作，只要被感染的用户电脑有这个权限。”

　　据悉，这个安全漏洞是网络安全公司@Stake首先发现的，它使得人们对电子邮件附件的内容又多了一层担心。微软公司安全项目经理斯科特-卡普(Scott Culp)表示，公司已与@Stake公司紧密合作了两个多月，争取早日解决这个问题。尽管@Stake公司认为安全漏洞是出在电子名片(Vcard)的“生日栏”中，微软公司却并未对此予以证实。卡普表示，“我们公布这个声明的目的是告诉用户我们的软件存在哪些问题，它们会在什么情况下受到影响，以及用户有可能面临哪些风险。我们可不想帮助那些恶意的攻击者制造这些恶意的攻击程序。”

　　@Stake公司总部侠于马萨诸塞州的剑桥市，该公司的研究员奥利-怀特豪斯(Ollie Whitehouse)首先发现了这一缺陷，但他拒绝对此发表评论。该公司另一位安全顾问则警告说，这个缺陷很容易被病毒和“特洛伊”木马利用，成为攻击用户电脑的基础。

　　值得庆幸的是，电子名片(Vcard)文件总是以附件的形式出现且本身并不会自动打开，因此只要用户在收到电子名片(Vcard)时不主动打开它，用户的电脑就不会有被侵害的危险。但一旦用户双击了含有攻击代码的电子名片(Vcard)附件，或者将名片拖到邮件程序的“联系人”文件夹里，那么用户的电脑将面临非常严重的危险了。

　　卡普同时表示，苹果公司Macintosh电脑上的Outlook电子邮件程序并没有这种缺陷。微软公司建议用户尽快安装公司研制的补丁软件。在微软公司推出的IE5.01、5.5以及Windows 2000的补丁程序Service Pack 2版本中，这一缺陷已经得到解决。(王　　羽中）