发布日期：2008-08-12
更新日期：2008-08-14

受影响系统：

Microsoft Internet Explorer 7.0
Microsoft Internet Explorer 6.0 SP1
Microsoft Internet Explorer 6.0
Microsoft Outlook Express 6.0 SP1
Microsoft Outlook Express 6.0
Microsoft Outlook Express 5.5 SP2
Microsoft Windows Mail

描述：

---

BUGTRAQ  ID: 30585
CVE(CAN) ID: CVE-2008-1448

Internet Explorer是微软操作系统中默认捆绑的WEB浏览器。

IE的MHTML协议处理器没有正确地解释MHTML URI重新定向。如果以UNC的形式指定了URI的话，则没有正确的应用安全策略：

\\MACHINE_NAME_OR_IP\PATH_TO_RESOURCE

在这种情况下当远程站点试图访问本地资源时，Internet Explorer会无法强制区提升限制；在浏览远程站点的时候Internet Explorer会无法应用正确地安全区权限，允许将属于较小权限区的站点处理为更高权限的区。

由于Outlook Express和Windows Mail提供了有漏洞的功能，因此Microsoft报告这些程序也受漏洞影响。

<*来源：Jorge Luis Alvarez Medina
  
  链接：http://secunia.com/advisories/31415/
        http://marc.info/?l=bugtraq&m=121866547522648&w=2
        http://www.microsoft.com/technet/security/Bulletin/MS08-048.mspx?pf=true
        http://www.us-cert.gov/cas/techalerts/TA08-225A.html
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://www.coresecurity.com/files/attachments/CORE-2008-0103-PoC.zip

建议：

---

临时解决方法：

* 锁定MHTML协议处理程序。将以下文本粘贴到记事本等文本编辑器中，然后使用.reg文件扩展名保存文件。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_PROTOCOL_LOCKDOWN]
"explorer.exe"=dword:00000001
"iexplore.exe"=dword:00000001
"*"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\RestrictedProtocols]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\RestrictedProtocols\1]
"mhtml"="mhtml"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\RestrictedProtocols\2]
"mhtml"="mhtml"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\RestrictedProtocols\3]
"mhtml"="mhtml"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\RestrictedProtocols\4]
"mhtml"="mhtml"

* 禁用MHTML协议处理程序。请按照下列步骤执行操作：
    
    1. 单击“开始”，然后单击“运行 ”。在文本框中输入regedit.exe，然后单击“确定”。
    2. 导航到HKEY_CLASSES_ROOT\CLSID\{05300401-BCBC-11d0-85E3-00C04FD85AB4}。
    3. 右键单击{05300401-BCBC-11d0-85E3-00C04FD85AB4}，然后选择“权限”。
    4. 单击“高级”。
    5. 清除选择“允许将来自父级的可继承权限传播给该对象…”
    6. 单击“删除”，然后单击“确定”。在后续屏幕上单击“是”和“确定”。

* 将Internet 和本地Intranet安全区域设置设为“高”，以便在这些区域中运行活动脚本之前进行提示。

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS08-048）以及相应补丁:
MS08-048：Security Update for Outlook Express and Windows Mail (951066)
链接：http://www.microsoft.com/technet/security/Bulletin/MS08-048.mspx?pf=true

浏览次数：3545
严重程度：0（网友投票）