При инсталляции Outlook переключатель URL "mailto:"
регистрируется в системе. При открытии URL
подобного вида (на Вэб-странице, либо в
почте) Outlook запускается с параметрами:
OUTLOOK.EXE -c IPM.Note /m "mailto:email@address". При этом
из-за криво написаннной программы Outlook (а
иначе это нельзя назвать) символы кавычек
("") не фильтруются, что позволяет
ввести для Аутлука дополнительные
аргументы, передаваемые приложению. В том
числе возможно внедрение джава-скриптов
при формировании URL вида javascript:. Если при
этом стандартным режимом отображения
Аутлука является страница "Outlook today"
внедрённый скрипт будет выполнен в зоне
безопасности "Local machine". Подобная фича
позволяет злоумышленнику загружать и
выполнять любой исполняемый файл. При этом
возможна довольно опасная ситуация, когда
на странице насайте внутри тэга IMG будет
ссылка на URL mailto:. При этом никаких действий
со стороны счастливого пользователя Outlook
абсолютно не требуется. Даже если
стандартной открывающейся страницей
Аутлука и не является "Outlook today", можно
осчастливить жертву всё равно, применив
двойной URL mailto: - первый вызывает Outlook c
открытием "Outlook today", второй уже
внедряет джава-скрипт.
Пример: