[转贴]Microsoft Outlook VEVENT记录远程代码执行漏洞(MS07-003)
信息来源:绿盟科技Microsoft Outlook VEVENT记录远程代码执行漏洞(MS07-003)
发布日期:2007-01-09
更新日期:2007-01-10
受影响系统:
Microsoft Outlook 2003
Microsoft Outlook 2002
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 21931
CVE(CAN) ID: CVE-2007-0033
Microsoft Outlook是Office套件所捆绑的邮件客户端。
Microsoft Outlook在处理畸形VEVENT记录时存在漏洞,远程攻击者可能利用此漏洞控制用户机器。
攻击可以通过处理包含畸形VEVENT记录的.ics(iCal)文件来利用此漏洞,如果用户使用管理用户权限登录,成功利用此漏洞的攻击者便可完全控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
<*来源:Lurene Grenie
链接:[url]http://secunia.com/advisories/23674/[/url]
[url]http://www.microsoft.com/technet/security/Bulletin/MS07-003.mspx[/url]
[url]http://www.us-cert.gov/cas/techalerts/TA07-009A.html[/url]
*>
建议:
--------------------------------------------------------------------------------
临时解决方法:
* 修改“MapiCvt Class”注册表项上的访问控制列表。
对于Windows 2000
1. 单击“开始”,单击“运行”,键入“regedt32”(不带双引号),然后单击“确定”。
2. 依次展开HKEY_CLASSES_ROOT、CLSID,然后单击{0006F085-0000-0000-C000-000000000046}。
3. 单击“安全”,然后单击“权限”。
注意:记下此对话框中列出的权限,以便以后可以将其还原为初始值。
1. 单击以清除“允许将来自父级的可继承权限传播给该对象”复选框。系统将提示
您单击“复制”、“删除”或“取消”。单击“删除”,然后单击“确定”。
2. 您会收到一则消息,说明没有人能够访问此注册表项。当系统提示您执行操作
时,请单击“是”。
对于Windows XP Service Pack 2
1. 单击“开始”,单击“运行”,键入“regedit”(不带双引号),然后单击“确定”。
2. 依次展开HKEY_CLASSES_ROOT、CLSID,然后单击{0006F085-0000-0000-C000-000000000046}。
3. 单击“编辑”,然后单击“权限”。
注意:记下此对话框中列出的权限,以便以后可以将其还原为初始值。
1. 单击“高级”。
2. 单击以清除“从父项继承那些可以应用到子对象的权限项目,包括那些在此明
确定义的项目”复选框。系统将提示您单击“复制”、“删除”或“取消”。单击“删除”,
然后单击“确定”。
3. 您会收到一则消息,说明没有人能够访问此注册表项。单击“是”,然后单击“确
定”关闭“{0006F085-0000-0000-C000-000000000046}的权限”对话框。
* 备份和删除MIMEDIR.DLL{0006F085-0000-0000-C000-000000000046}“MapiCvt Class”注册表项。
1. 单击“开始”,单击“运行”,键入“regedit”(不带双引号),然后单击“确定”。
2. 依次展开HKEY_CLASSES_ROOT、CLSID,然后单击{0006F085-0000-0000-C000-000000000046}。
3. 单击“文件”,然后单击“导出”。
4. 在“导出注册表文件”对话框中,在“文件名”框中输入文件名,然后单击“保存”。
5. 单击“编辑”,然后单击“删除”以删除该注册表项。
6. 在“确认项删除”对话框中,您会收到“确定要删除这个项和所有其子项吗”消息。
单击“是”。
命令行指令
要使用命令行命令备份和删除此注册表项,请按照下列步骤执行操作:
1.
reg.exe export "HKEY_CLASSES_ROOT\CLSID\{0006F085-0000-0000-C000-000000000046}" c:\MapiCvt_Class.reg
2.
reg.exe delete "HKEY_CLASSES_ROOT\CLSID\{0006F085-0000-0000-C000-000000000046}" c:\MapiCvt_Class.reg
厂商补丁:
Microsoft
---------
Microsoft已经为此发布了一个安全公告(MS07-003)以及相应补丁:
MS07-003:Vulnerabilities in Microsoft Outlook Could Allow Remote Code Execution (925938)
链接:[url]http://www.microsoft.com/technet/security/Bulletin/MS07-003.mspx[/url]
补丁下载:
[url]http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=97CE0B32-C6AF-4C6C-ABF1-838ED89062EB[/url]
[url]http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=1D1991C5-3DE3-4258-9120-058FFD62B4F5[/url]
[url]http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=9E4DD8AE-2564-4176-AC2E-E3760058CB56[/url]
页:
[1]