Открыта новая уязвимость, которая возникает при использовании Microsoft Word в качестве редактора сообщений в Outlook 2000 и 2002. Опасная ситуация может возникнуть при написании ответа или пересылке полученных от злоумышленника писем. Возможность эта обусловлена различием установок безопасности для режимов чтения и редактирования. При отображении писем HTML формата Outlook использует настройки безопасности IE security zone (запуск скриптов отключен), но при написании ответа или при пересылке открывает Word в стандартном режиме создания письма, где запуску скриптов уже ничто не противодействует. Таким образом, подготовив письмо в формате HTML, и вставив в него вредоносные скрипты, нехорошие люди могут расчитывать на получение доступа к ПК пользователя (и запуск произвольного кода), если последний удостоит эти письма своим вниманием.
Для устранения описанной проблемы выпущены специальные патчи, скачать которые можно здесь:
- Word 2002 Client Installation
- Word 2002 Administrative Installation
- Word 2000 Client Installation
- Word 2000 Administrative Installation
Официальная информация:
- Имя - Microsoft Security Bulletin MS02-021 E-mail Editor Flaw Could Lead to Script Execution on Reply or Forward (Q321804)
- Описание - здесь
- Версия - V1.0
- Дата - 25 апреля 2002
- Размер файла - var
- Требования/ОС - Microsoft Outlook 2000 / 2002
Источник: Microsoft Download Center