چندين آسيب پذيري در Microsoft Outlook Express و Windows Mail
شماره :	25639
زمان انتشار:	1386-03-23
درجه خطر :	( 5 / 4 )
دسته بندي :
	از راه دور بروزرسانی ضعف افشا اطلاعات دور زدن سيستم هاي امنيتي
از راه دور	بله
برورساني :	بله
سخت افزاري :	خیر
سيستم عامل :	خیر
برنامه آسيب پذير :
	محصولات   مایکروسافت ویندوز ایکس پی ویرایش خانگی (Microsoft Windows XP Home Edition) مایکروسافت ویندوز ایکس پی ویرایش حرفه ای (Microsoft Windows XP Professional) Microsoft Outlook Express 6 مایکروسافت ویندوز 2003 ویرایش استاندارد (Microsoft Windows Server 2003 Standard Edition) مایکروسافت ویندوز 2003 ویرایش اقتصادی (Microsoft Windows Server 2003 Enterprise Edition) مایکروسافت ویندوز 2003 ویرایش دیتاسنتر (Microsoft Windows Server 2003 Datacenter Edition) مایکروسافت ویندوز 2003 ویرایش وب (Microsoft Windows Server 2003 Web Edition) Microsoft Windows Storage Server 2003 Microsoft Windows Vista
عنوان انگليسي :	Microsoft Outlook Express and Windows Mail Multiple Vulnerabilities
توضيحات كوتاه :
	چندين حفره امنیتی در Microsoft Outlook Express و Windows Mail گزارش شده است . چنین آسیب پذیری میتوانند خطر بالقوه ای برای سیستمهای کاربران و همچنين راهي براي دريافت اطلاعات حساس باشد. 1- يك خطا در Windows Mail هنگام مديريت درخواست هاي UNC navigation مي تواند مورد سو استفاده جهت اجرا كد از طريق local file يا UNC path هنگام كليك بر روي لينك خاص در ايميل طراحي شده شود . 2- يك خطاي در پروتكل مديريت MHTML هنگام بازگشت محتواي MHTML ميتواند براي خواندن اطلاعات از security zone يا domain در اينترنت اكسپلورر Internet Explorer هنگامي كه كاربر صفحه وب خاصي را مشاهده مي كند شود . 3- يك خطا در پروتكل مديريت MHTML هنگام گذراندن Content-Disposition notifications به اينترنت اكسپلورر Internet Explorer وجود دارد . اين خطاي امنيتي امكان دور زدن جعبه محاوره اي dialog box مربوط به دانلود فايل file download و خواندن اطلاعات از يك Internet Explorer domain هنگامي كه يك كاربر صفحه وب خاص را مشاهده مي كند ، مي دهد
راه چاره :
	استفاده از مكمل امنيتي : Windows XP SP2: http://www.microsoft.com/downloads/details.aspx?FamilyId=[..] Windows XP Professional x64 Edition (optionally with SP2): http://www.microsoft.com/downloads/details.aspx?FamilyId=[..] Windows Server 2003 SP1/SP2: http://www.microsoft.com/downloads/details.aspx?FamilyId=[..] Windows Server 2003 x64 Edition (optionally with SP2): http://www.microsoft.com/downloads/details.aspx?FamilyId=[..] Windows Server 2003 SP1/SP2 for Itanium-based systems: http://www.microsoft.com/downloads/details.aspx?FamilyId=[..] Windows Vista: http://www.microsoft.com/downloads/details.aspx?FamilyId=[..] Windows Vista x64 Edition: http://www.microsoft.com/downloads/details.aspx?FamilyId=[..]
اعتبار كشف :	1) kingcope 2) شركت سازنده 3) The vendor credits Yosuke Hasegawa, WebAppSec.JP.
اطلاعات تكميلي :	MS07-034 (KB929123): http://www.microsoft.com/technet/security/bulletin/ms07-0[..]
منابع :	http://www.secunia.com/advisories/25639

منبع :
http://www.bugtraq.ir/advisory/25639/


لیست آسیب پذیری های مرتبط :

	آسيب پذيري
	چندین آسیب پذیری در Microsoft Jet Database Engine	1387-01-05
	آسیب پذیری جعل مشخصات در Object Manager مایکروسافت ویندوز	1385-07-18
	آسیب پذیری در Microsoft MDAC	1385-11-24
	تغییر در اطلاعات حافظه در Microsoft Agent	1386-01-21
	آسیب پذيری ارتقای سطح دسترسی در Microsoft Windows	1385-10-10
	آسیب پذیری افشای اطلاعات در Microsoft Windows CSRSS	1385-10-07
	سریزبافر در Microsoft Windows	1385-10-19
	ارتقا سطح دسترسی در Microsoft Windows	1385-11-25
	آسیب پذیری در Microsoft Windows	1385-11-24
	آسیب پذیری در محافظ ضد بدافزار Windows	1385-11-25
	آسیب خرابی حافظه در Microsoft Windows	1385-11-25
	خرابی حافظه برای Microsoft MFC OLE Dialog	1385-11-25
	باگ خرابی حافظه برای Microsoft RichEdit	1385-11-25
	آسيب پذيري افشاي اطلاعات حساس در Microsoft Windows	1385-12-04
	عدم سرويس دهي در مايكروسافت ويندوز (NDISTAPI.SYS)	1385-12-29