Outlook Express中新问题 泄漏BCC信息
时间:2005-6-16 9:07:47 作者: 来源: 点击数:
美国当地时间12月16日,微软公布了在邮件软件“Outlook Express”中发现的安全漏洞,所有收件人都能看到邮件发件人在“BCC(密件抄送)”栏中填写的地址。同样的漏洞已于2004年8月发现,但此次公布的是另一种漏洞。微软已经公开了修正这一安全漏洞的更新程序,安装这一补丁之后,可以消除包括2004年8月发现的漏洞在内的若干安全漏洞。
微软在2004年8月就公开了“邮件正文中显示本应隐藏的BCC地址”这一安全漏洞,不过,只有在设置成拆分邮件发送时才会受到影响。由于Outlook Express默认为不拆分,因此微软虽然准备了补丁却没有公开,需要的用户必须单独与微软联系索取。
此次的安全漏洞是即使不拆分邮件也会在正文中显示BCC地址。只要发件人指定的地址中含有不恰当的字符,虽然可以成功地把邮件发送出去,但有时会出现主题空白、正文含有BCC等报头信息的情况。这样所有邮件收件人都可以看到本应隐藏的BCC地址。
如果安装此次公开的“Outlook Express 6 Service Pack 1累积更新程序 (KB887797)”,就可以修正这一安全漏洞。
另外,如果安装这一补丁,可以消除8月公开的“拆分邮件时显示BCC的安全漏洞”,还可以消除此次新公布的“在日语版Windows XP环境使用Outlook Express接收被发送的邮件,有时无法准确显示‘发件人(From)’”、“有时Exchange Server的Collaboration Data Object(CDO)无法稳定运行”、“在XP SP2环境下发送含有中文等非ASCII字符的HTML邮件,有时会丢失正文中的数据”等几个安全漏洞。
补丁可以运行Windows Update安装,不过没有在“重要更新”中显示。比如在Windows 2000环境下,只有选择Windows Update页面左侧显示的“选择更新来安装”中的“Windows 2000”,才会显示“Outlook Express 6 Service Pack 1累积更新程序 (KB887797)”。
此外,也可以从下载中心下载补丁,需要注意的是不同的平台适用的补丁不同。
在下载中心的页面(如“Outlook Express 6 Service Pack 1用累积更新程序”中,注明的“公开日期”为“2004/12/13”,但截止到目前(12月16日)为止,还没有公开日语版的技术支持信息。
另外,要想安装此次公开的补丁,必须安装2004年7月公开的“Outlook Express累积安全更新程序 (823353) (MS04-018)”补丁。[1] [2] 下一页
