Microsoft Outlook Express MHTML URL解析信息泄露漏洞（MS07-034）

BUGTRAQ ID: 24392
CVE(CAN) ID: CVE-2007-2225

Outlook Express是Microsoft Windows操作系统捆绑的邮件和新闻组客户端。

Windows的MHTML协议处理器在返回MHTML内容时没有正确的解释HTTP头，这可能允许Internet Explorer绕过域限制。

攻击者可以通过构建特制的网页来利用该漏洞。如果用户使用Internet Explorer查看网页，该漏洞可能允许信息泄露。成功利用此漏洞的攻击者可以读取另一个Internet Explorer域中的数据。

Microsoft Outlook Express 6.0
Microsoft Windows Mail
临时解决方法：

• 禁用MHTML协议处理程序：

  1. 单击“开始”，然后单击“运行 ”。在文本框中输入regedit.exe，然后单击“确定”。
  2. 导航到HKEY_CLASSES_ROOT\CLSID{05300401-BCBC-11d0-85E3-00C04FD85AB4}。
  3. 右键单击{05300401-BCBC-11d0-85E3-00C04FD85AB4}，然后选择“权限”。
  4. 单击“高级”。
  5. 取消选中“允许将来自父级的可继承权限传播给该对象
  6. 单击“删除”，然后单击“确定”。 在后续屏幕上单击“是”和“确定”。

• 将Internet和本地intranet安全区设置为“高”以在运行活动脚本之前要求提示。

厂商补丁：

Microsoft

Microsoft已经为此发布了一个安全公告（MS07-034）以及相应补丁:
MS07-034：Cumulative Security Update for Outlook Express and Windows Mail (929123)
链接：<a href=“http://www.microsoft.com/technet/security/Bulletin/ms07-034.mspx?pf=true” target=“_blank”>http://www.microsoft.com/technet/security/Bulletin/ms07-034.mspx?pf=true</a>