发布日期：2010-07-13
更新日期：2010-07-14

受影响系统：

Microsoft Outlook 2007 SP2
Microsoft Outlook 2007 SP1
Microsoft Outlook 2003 SP2
Microsoft Outlook 2002 SP3

描述：

---

BUGTRAQ  ID: 41446
CVE ID: CVE-2010-0266

Microsoft Outlook是Office套件所捆绑的邮件客户端。

Outlook客户端没有正确地验证邮件消息中使用PR_ATTACH_METHOD属性的ATTACH_BY_REFERENCE值所附加的邮件附件，恶意邮件可以伪装为没有安全威胁，诱骗用户错误的打开。

<*来源：Yorick Koster
  
  链接：http://secunia.com/advisories/40566/
        http://marc.info/?l=full-disclosure&m=127913049910033&w=2
        http://www.microsoft.com/technet/security/Bulletin/MS10-045.mspx?pf=true
        http://www.us-cert.gov/cas/techalerts/TA10-194A.html
*>

建议：

---

临时解决方法：

* 不要打开来自不受信任来源的电子邮件附件。

* 禁用Web客户端服务，请按照以下步骤操作：
    
    1. 单击“开始”，单击“运行”，键入“Services.msc”，然后单击“确定”。
    2. 右键单击“Web客户端”服务，然后选择“属性”。
    3. 将启动类型更改为“已禁用”。如果服务正在运行，请单击“停止”。
    4. 单击“确定”，退出管理应用程序。

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS10-045）以及相应补丁:
MS10-045：Vulnerability in Microsoft Office Outlook Could Allow Remote Code Execution (978212)
链接：http://www.microsoft.com/technet/security/Bulletin/MS10-045.mspx?pf=true

浏览次数：3043
严重程度：0（网友投票）