Title:

Outlook Express 5.5 が Content-Type: text/plain; のメールに書かれている Script を実行してしまう脆弱性

Date:

2001年11月18日 (Last modified: )

Author:

Eiji James Yoshida (zaddik@geocities.co.jp)

Related Files:

exploit.lzh [LZH]

Vulnerable Systems:
(脆弱性確認済み)

Microsoft Outlook Express 5.50.4807.1700 (日本語版)
Microsoft Outlook Express 5.50.4522.1200 (日本語版)
Microsoft Outlook Express 5.50.4133.2400 (日本語版)

Not Vulnerable Systems:

不明

Details:

 Microsoft Outlook Express 5.5 には Content-Type: text/plain; のメールに書かれている Script を実行してしまう脆弱性があることを確認しました。
 この脆弱性を利用することでユーザーに悪意のあるWEBページを表示させること等が可能となります。
 実際に次のスクリプトを本文に埋め込んだ Content-Type: text/plain; のメールを開くことにより、受動的攻撃検証サイトが新規ウィンドウで表示されます。

<script>window.open("3533413679/computer/zaddik/");</script>

 この脆弱性を調査した結果、本文が約60文字(正確には改行コードなどを含めて64バイト)までだとスクリプトを実行して、それ以上だとスクリプトを実行しないことがわかりました。この制限により複雑なスクリプトを相手に実行させることは難しいですが、受動的攻撃を仕掛けたWEBページに引きずり込むことは可能なので注意が必要です。
 またメールのプロパティで Content-Type: をチェックしてから表示しているユーザーも、本来なら安全である Content-Type: text/plain; だからといって開封するのは危険なので注意が必要です。

 対策としては、Microsoft Internet Explorerのインターネット オプションにあるセキュリティでインターネット ゾーンのアクティブ スクリプトを [無効] に設定することで、悪意のあるスクリプトを停止することが可能となります。しかしながら、上記対策で全ての攻撃に対処できるわけではないので、可能な限り不要な機能は停止して修正パッチが公開されたらすぐに適用されることをお勧め致します。
(※Hajime Kojima氏からOutlook Expressのオプションにあるセキュリティで制限付きサイト ゾーンに設定してから、Microsoft Internet Explorerの制限付きサイト ゾーンのアクティブ スクリプトが [無効] になっていることを確認する方が良いのではという指摘がありました。私もKojima氏の言われている対策の方が安全だと思いますので、この文をもって修正とさせて頂きます。)

 この脆弱性については1週間以上前にMicrosoft Feedbackに連絡しましたが、この脆弱性に関する連絡などは一切ありませんでした。また、Microsoftの日本語ホームページで脆弱性の連絡先を探しましたが関係する情報が見つからないので、この脆弱性が既知もしくは未知のものであるかを知ることは出来ませんでした。
 その後、secure@microsoft.comに英文にて連絡しているので、何らかの返事や対応をして頂けるものと思っています。

※同様の脆弱性として次のものが報告されています。
Microsoft Outlook Express 6 Plain Text Message Script Execution Vulnerability

 

[2001.11.22]
Microsoftから返事がありましたが勘違いをしているようなので再度報告しました。

[2001.11.23]
文字数が60バイトまでとなっていましたが、その後さらに調査したところ正確には64バイトであることがわかりましたので修正しました。

 Copyright(c) 2001 Eiji James Yoshida. All rights reserved