Pääsivu | Tiedotteet

Virhe Outlookin mailto: -URLien käsittelyssä mahdollistaa ulkopuoliselle koodin suorittamisen

9. maaliskuuta, 2004

Yleistä

Microsoft Outlook on suosittu sähköpostiohjelmisto.

Outlookissa on haavoittuvuus, joka mahdollistaa halutun koodin suorittamisen, kun kohdekäyttäjä vierailee hyökkääjän laatimalla www-sivulla tai lukee tämän lähettämää sähköpostia.

Yksityiskohdat

Outlookin asennusvaiheessa järjestelmään lisätään mailto: -URLien käsittelijä. Kun tällainen URL avataan, järjestelmä käynnistää OUTLOOK.EXEn seuraavilla argumenteilla:

  OUTLOOK.EXE -c IPM.Note /m "mailto:email@address"

Jos URLissa on lainausmerkki, OUTLOOK.EXElle voidaan syöttää lisää argumentteja. Outlook tunnistaa useita komentorivioptioita ja sille voidaan antaa komentorivin lopuksi myös URL, joka avataan käynnistyksen yhteydessä. Tämä URL voi olla myös javascript: -alkuinen, ja jos Outlookin oletusnäkymänä on "Outlook today", URLin sisältämä JavaScript-koodi suoritetaan Local machine -vyöhykkeessä. Tällöin koodin avulla voidaan esim. ladata ja käynnistää haluttu EXE-ohjelma.

Jos "Outlook today" -näkymä ei ole Outlookin oletusnäkymänä, hyökkääjä voi silti suorittaa hyökkäyksen käyttämällä kahta mailto: -URLia. Tätä koskeva tieto Microsoftin tiedotteen (ensimmäisen version) "mitigating factors" -kohdassa ei pitänyt paikkaansa. Tässä tapauksessa ensimmäinen mailto: -URL käynnistää Outlookin ja avaa "Outlook today" -näkymän, toinen syöttää ohjelmalle suoritettavan JavaScript-koodin. Tämäkin skenaario varmennettiin exploitilla, joka on lähetetty myös Microsoftille. Microsoft on tämän jälkeen nostanut tiedotteen vakavuustason korkeimpaan critical-luokkaan.

Kyseessä ei ole normaali "cross site scripting" -haavoittuvuus, vaan erityyppinen "injektiohyökkäys". Exploitti voi syöttää komentoriviparametreja OUTLOOK.EXElle, koska URLissa olevia lainausmerkkejä ei "eskapoida" eikä muutenkaan prosessoida. Tätä voidaan pitää uutena haavoittuvuuskategoriana, ja tutkimukset osoittavat, että samanlaisia hyökkäyksiä voidaan tehdä muitakin omaa URL-handleria käyttäviä ohjelmistoja vastaan.

Alttiit versiot

Microsoftin mukaan ongelmalle alttiit tuetut versiot ovat Microsoft Office XP SP2 ja Microsoft Outlook 2002 SP 2.

Korjaus

Valmistajalle on ilmoitettu ongelmasta 21.7.2003. Microsoft on julkaissut päivityksen, joka korjaa ongelman. Tästä kertova tiedote löytyy täältä.

Tekijä

Ongelman havaitsi, tutki ja tämän tiedotteen laati Jouko Pynnönen (jouko@iki.fi).