MS06-003：Outlook和Exchange中TNEF解码漏洞

　　1月10日，微软安全中心发布了2006年1月漏洞安全公告：MS06-003危害等级为“严重”，请广大用户尽快到微软官方网站下载微软最新补丁。

编号：MS06-003
名称：Microsoft Outlook和Microsoft Exchange中的TNEF解码漏洞可能允许远程执行代码
KB编号： 902412
等级：严重

摘要：

　　此更新可消除一个秘密报告的新发现漏洞，该漏洞使攻击者能够在系统上运行任意代码。 本公告的“漏洞详细资料”部分中对此漏洞进行了说明。

　　在 Outlook、Language Interface Packs、MultiLanguage Packs 或 Multilingual User Interface Packs 的容易受攻击版本上，如果用户使用管理用户权限登录，则成功利用此漏洞的攻击者可以完全控制客户端工作站。 攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

　　在 Exchange 的容易受攻击版本上，成功利用此漏洞的攻击者可以完全控制受影响的系统。 无需用户交互即可自动利用此漏洞。 攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。

　　我们建议用户立即安装此更新。

受影响的软件：

·Microsoft Office 2000 Service Pack 3
　　Microsoft Office 2000 软件：
　　·Microsoft Outlook 2000
　　·MultiLanguage Packs
　　·Microsoft Outlook 2000 English MultiLanguage Packs
·Microsoft Office XP Service Pack 3
　　Microsoft Office XP 软件：
　　·Microsoft Outlook 2002
　　·Microsoft Office XP Multilingual User Interface Packs
　　　注意 Multilingual User Interface Packs 用于非英语版软件包。
·Microsoft Office 2003 Service Pack 1 和 Service Pack 2
　　Microsoft Office 2003 软件：
　　·Microsoft Office Outlook 2003
　　·Microsoft Office 2003 Multilingual User Interface Packs
　　·Microsoft Office 2003 Language Interface Packs
　　　注意 Multilingual User Interface Packs 用于非英语版软件包
·Microsoft Exchange Server
　·Microsoft Exchange Server 5.0 Service Pack 2
　·Microsoft Exchange Server 5.5 Service Pack 4
　·带有 2004 年 8 月的 Exchange 2000 Post-Service Pack 3 更新汇总的 Microsoft
　　Exchange 2000 Server Service Pack 3

不受影响的软件：

·Microsoft Exchange Server 2003
·Microsoft Exchange Server 2003 Service Pack 1
·Microsoft Exchange Server 2003 Service Pack 2

严重等级和漏洞标识：

减轻影响的方式：

TNEF 解码漏洞 (CAN-2005-0556) 的缓解因素：

·那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。