Программа: Microsoft Outlook 2003 

Уязвимость обнаружена в Microsoft Outlook 2003. Удаленный пользователь может послать специально сформированное email сообщение, которое, когда будет просмотрено целевым пользователем, пошлет отчет удаленному серверу что сообщение было прочитано.
Уязвимость в Microsoft VML schema для Outlook 2003 позволяет удаленному пользователю обойти ограничения Automatic Picture Download Settings, которые предотвращают возможность определить, было ли прочитано сообщение. Удаленный пользователь может послать специально сформированное HTML email сообщение, которое определяет VML frame стиль ссылающийся на Web сайт удаленного пользователя, чтобы заставить Outlook клиент целевого пользователя подключится к удаленному Web сайту, чтобы сообщить о том, что сообщение было прочитано. 

Пример: 

<v:vml frame style=»LEFT: 50px; WIDTH: 300px; POSITION: relative; TOP: 30px; HEIGHT: 200px»
src = "http://www.malware.com/duh.txt#malware"></v:vmlframe>
<HTML>
<HEAD>
<STYLE>
v\:* { behavior: url(#default#VML); }
</STYLE>
<XML:NAMESPACE NS=»urn:schemas-microsoft-com:vml» PREFIX=»v»/>
</HEAD>



Оставить мнение