不要在Outlook中使用Word可能导致运行恶意程序

丹麦某企业7月12日公开了在Outlook 2000／2003与Word 2000／2003配合使用时发现的安全漏洞。在Outlook 2000／2003的编辑器中使用Word 2000／2003时，如果转发已被做过手脚的HTML邮件，会运行任意代码（程序）。实际上，像这样被做过手脚的垃圾邮件已经大量出现。对策是不在Outlook中使用Word编辑文档。Outlook 2000／2003的编辑器中没有发现此次的漏洞。

    Outlook 2000以后的版本中，默认状态下HTML邮件的“受限制的站点”为开启状态。因此，即使在HTML邮件中通过对象标签（OBJECT tag）指定ActiveX控件等，仅打开邮件也不会任意下载或运行程序。

    然而，当（1）在Outlook 2000／2003的编辑器中使用Word 2000／2003；且（2）打算转发已被做过手脚的HTML邮件时，即使是设置为受限制的站点，也能够通过对象标签下载及运行指定程序。

    做“手脚”并不困难。只要不关闭对象标签（不写＜/OBJECT＞），就会发生这一问题。此次漏洞的发现人James C. Slora, Jr.在投稿（英文）表示：“即使垃圾邮件发送者无意（突破这一安全漏洞），事实上已经出现了大量突破这一漏洞的垃圾邮件”。

    通过对象标签任意下载及运行指定程序，是在用Word打开转发的邮件时（按下Outlook的“转发”键时）。如果编辑器指定为Word，虽然回复时也与转发时一样用Word打开邮件，但回复时不会发生此次的问题。

    对策是Outlook的编辑器不使用Word。另一个对策就是不转发垃圾邮件等，邮件中如果写有“将该邮件转发给××后，会得到礼物”内容，极有可能是引诱人转发（英文）的。由于Outlook 2000／2003的编辑器功能中没有此次发生的问题，因此最好使用Outlook 2000／2003的编辑器。

    另据漏洞发现者称，已从美国微软得到答复，“认为这是Web Bug的一种变异。微软正在考虑修改‘转发’及‘回复’时Outlook的下载动作，今后推出的Office可能会解决这一问题”。

, ,