6月14日,微软安全中心发布了2005年6月漏洞安全公告:MS05-030危害等级为“重要”,请广大用户尽快到微软官方网站下载微软最新补丁。
编号:MS05-030
名称:Outlook Express 的累积性安全更新
KB编号: 897715
等级:重要
Outlook Express 的累积性安全更新描述:
此更新可消除一个秘密报告的新发现漏洞。 本公告的“漏洞详细资料”部分中对此漏洞进行了说明。
如果用户使用管理用户权限登录,成功利用此漏洞的攻击者便可完全控制受影响的系统。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
我们建议用户立即安装此更新。
受影响的软件: ·Microsoft Exchange Server 5.5 Service Pack 4
不受影响的软件:
·2004 年 8 月的 Microsoft Exchange 2000 Server Service Pack 3 及 Exchange 2000 Post-Service Pack 3 更新汇总
·Microsoft Exchange Server 2003
·Microsoft Exchange Server 2003 Service Pack 1 严重等级和漏洞标识: | 漏洞标识 | 漏洞的影响 | Windows 2000(所有版本)上的 Outlook Express 5.5 SP2 | 用于 Windows Server 2003(包括 64-Bit Edition)的 IOutlook Express 6 | IE 6 SP1(Windows Server 2003 之前所有受支持的操作系统版本) | Windows 2000(所有版本)或 Windows XP SP1 上的 Outlook Express 6 SP1 | Exchange Server Outlook Web Access 漏洞 - CAN-2005-0563
| 特权提升
| 重要 | 重要
| 重要
| 重要 |
减轻影响的方式:
Outlook Express 的累积性安全更新:
·在基于 Web 的攻击中,攻击者必须拥有一个网站,并在上面放置用来利用此漏洞的网页。 攻击者无法强迫用户访问恶意网站。 相反,攻击者必须诱使用户访问该网站,所采用的方式通常是让用户单击指向攻击者网站的链接。 在用户单击此链接后,将会提示他们执行几项操作。 这些操作包括安装和配置 Outlook Express,以使用攻击者的新闻组服务器或者攻击者已经破坏的新闻组服务器。 只有当攻击者执行这些操作之后,才会发生攻击。
·成功利用此漏洞的攻击者可以获得与本地用户相同的权限。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
| 
