Outlook Express
Уязвимости
45
Эксплуатируемые
0
Макс. CVSS
10
Макс. EPSS
0.73961
Распределение по критичности
Критический
5
Высокий
13
Средний
26
Низкий
1
Затронутые диапазоны версий
≤ 4.72.3612.1700≤ 6.0
Также сопоставлено как (исходные строки): outlook,eudora,frontpage,windows_mail,windows_2003_server,ip600_media_servers,outlook_express,ie,internet_explorer,definity_one_media_server,s8100,windows_explorer
Топ уязвимостей
CVE-2004-0380Обработчик протокола MHTML в Microsoft Outlook Express 5.5 SP2 - Outlook Express 6 SP1 позволяет удаленным злоумышленникам обходить ограничения домена и выполнять произвольный код, как показано в Internet Explorer с использованием скрипта в скомпилированном файле справки (CHM), который ссылается на обработчики протокола InfoTech Storage (ITS), такие как (1) ms-its, (2) ms-itss, (3) its или (4) mk:@MSITStore, также известная как «Уязвимость обработки URL-адресов MHTML».
CVE-1999-0967Переполнение буфера в библиотеке HTML, используемой Internet Explorer, Outlook Express и Windows Explorer, через протокол локального ресурса res:.
CVE-2010-3147Уязвимость ненадежного пути поиска в wab.exe 6.00.2900.5512 в Windows Address Book в Microsoft Windows XP SP2 и SP3, Windows Server 2003 SP2, Windows Vista SP1 и SP2, Windows Server 2008 Gold, SP2 и R2 и Windows 7 позволяет локальным пользователям получить привилегии через троянский конь wab32res.dll в текущем рабочем каталоге, как продемонстрировано в каталоге, содержащем Windows Address Book (WAB), VCF (aka vCard) или P7C файл, также известная как "Insecure Library Loading Vulnerability". ПРИМЕЧАНИЕ: кодовая база для этого продукта может пересекаться с кодовой базой для продукта, указанного в CVE-2010-3143.
CVE-2010-0816Целочисленное переполнение в inetcomm.dll в Microsoft Outlook Express 5.5 SP2, 6 и 6 SP1; Windows Live Mail в Windows XP SP2 и SP3, Windows Vista SP1 и SP2, Windows Server 2008 Gold, SP2 и R2, а также Windows 7; и Windows Mail в Windows Vista SP1 и SP2, Windows Server 2008 Gold, SP2 и R2, а также Windows 7 позволяет удаленным почтовым серверам и злоумышленникам-посредникам выполнять произвольный код через специально созданный ответ (1) POP3 или (2) IMAP, как продемонстрировано определенным ответом +OK на TCP-порту 110, также известное как «Уязвимость целочисленного переполнения Outlook Express и Windows Mail».
CVE-2007-3897Переполнение буфера на основе кучи в Microsoft Outlook Express 6 и более ранних версиях, а также в Windows Mail для Vista, позволяет удаленным серверам Network News Transfer Protocol (NNTP) выполнять произвольный код через длинные ответы NNTP, которые вызывают повреждение памяти.
CVE-2007-4040Уязвимость инъекции аргументов, связанная с Microsoft Outlook и Outlook Express, когда зарегистрированы определенные URI, позволяет удаленным злоумышленникам проводить атаки межбраузерного скриптинга и выполнять произвольные команды через метасимволы shell в неуказанном URI, которые вставляются в командную строку при вызове процесса обработки, что аналогично проблеме CVE-2007-3670.
CVE-2003-1378Microsoft Outlook Express 6.0 и Outlook 2000, с уровнем безопасности, установленным на «Интернет-зона», позволяют удаленным злоумышленникам выполнять произвольные программы через HTML-сообщение электронной почты с параметром CODEBASE, установленным для программы, что является уязвимостью, аналогичной CAN-2002-0077.
CVE-2005-1213Переполнение буфера на основе стека в программе чтения новостей для Microsoft Outlook Express (MSOE.DLL) 5.5 SP2, 6 и 6 SP1 позволяет удаленным вредоносным NNTP-серверам выполнять произвольный код через ответ LIST с длинным вторым полем.
CVE-2002-1179Переполнение буфера в возможности разбора S/MIME в Microsoft Outlook Express 5.5 и 6.0 позволяет удаленным злоумышленникам выполнять произвольный код через электронное письмо с цифровой подписью и длинным адресом "From", который вызывает переполнение, когда пользователь просматривает или предварительно просматривает сообщение.
CVE-2002-0285Outlook Express 5.5 и 6.0 в Windows рассматривает возврат каретки ("CR") в заголовке сообщения, как если бы это была допустимая комбинация возврата каретки/перевода строки (CR/LF), что может позволить удаленным злоумышленникам обойти антивирусную защиту и/или другие механизмы фильтрации через почтовое сообщение с заголовками, которые содержат только CR, что приводит к тому, что Outlook создает отдельные заголовки.
CVE-2002-0152Переполнение буфера в различных приложениях Microsoft для Macintosh позволяет удаленным злоумышленникам вызвать отказ в обслуживании (сбой) или выполнить произвольный код, вызвав директиву file:// с большим количеством символов /, что затрагивает Internet Explorer 5.1, Outlook Express 5.0 through 5.0.2, Entourage v. X и 2001, PowerPoint v. X, 2001 и 98, а также Excel v. X и 2001 для Macintosh.
CVE-2001-1547Outlook Express 6.0, с включенной функцией "Не разрешать сохранять или открывать вложения, которые потенциально могут быть вирусом", не блокирует вложения электронной почты из пересылаемых сообщений, что может позволить удаленным злоумышленникам выполнять произвольный код.
CVE-2001-1325Internet Explorer 5.0 и 5.5, а также Outlook Express 5.0 и 5.5 позволяют удаленным злоумышленникам выполнять скрипты, когда Active Scripting отключен, путем включения скриптов в XML-таблицы стилей (XSL), на которые ссылаются с помощью тега IFRAME, возможно, из-за уязвимости в Windows Scripting Host (WSH).
CVE-2001-1088Microsoft Outlook 8.5 и более ранние версии, а также Outlook Express 5 и более ранние версии с включенной опцией "Автоматически помещать людей, которым я отвечаю, в мою адресную книгу" не уведомляют пользователя, когда адрес "Reply-To" отличается от адреса "From", что может позволить ненадежному удаленному злоумышленнику подделывать легитимные адреса и перехватывать электронную почту от клиента, предназначенную для другого пользователя.
CVE-2001-0999Outlook Express 6.00 позволяет удаленным злоумышленникам выполнять произвольный скрипт, встраивая теги SCRIPT в сообщение, тип содержимого MIME которого - text/plain, вопреки ожидаемому поведению, согласно которому сообщения text/plain не запускают скрипт.
CVE-2001-0145Переполнение буфера в обработчике VCard в Outlook 2000 и 98, а также в Outlook Express 5.x позволяет злоумышленнику выполнять произвольные команды через неправильно сформированное поле дня рождения vCard.
CVE-2000-0621Microsoft Outlook 98 и 2000, а также Outlook Express 4.0x и 5.0x, позволяют удаленным злоумышленникам читать файлы в системе клиента через неправильно сформированное HTML сообщение, которое хранит файлы вне кэша, также известное как уязвимость "Обход кэша".
CVE-2008-1448Обработчик протокола MHTML в компоненте Microsoft Outlook Express 5.5 SP2 и 6 до SP1, а также Windows Mail, не назначает правильную зону безопасности Internet Explorer путям UNC-ресурсов, что позволяет удаленным злоумышленникам обходить предполагаемые ограничения доступа и читать произвольные файлы через mhtml: URI в сочетании с перенаправлением, также известная как "Уязвимость раскрытия информации о междоменном парсинге URL".
CVE-2006-2386Неуказанная уязвимость в Microsoft Outlook Express 6 и более ранних версиях позволяет удаленным злоумышленникам выполнять произвольный код через специально созданную контактную запись в файле Windows Address Book (WAB).
CVE-2002-0862API-интерфейсы (1) CertGetCertificateChain, (2) CertVerifyCertificateChainPolicy и (3) WinVerifyTrust в CryptoAPI для продуктов Microsoft, включая Microsoft Windows 98–XP, Office для Mac, Internet Explorer для Mac и Outlook Express для Mac, не проверяют должным образом основные ограничения промежуточных сертификатов X.509, подписанных ЦС, что позволяет удаленным злоумышленникам подделывать сертификаты доверенных сайтов с помощью атаки "человек посередине" для сеансов SSL, как первоначально сообщалось для Internet Explorer и IIS.
CVE-2004-2694Microsoft Outlook Express 6.0 позволяет удаленным злоумышленникам обходить предусмотренные ограничения доступа, загружать контент из произвольных источников в контекст Outlook и облегчать фишинговые атаки через "BASE HREF" с целевым значением "_top".
CVE-2006-0014Переполнение буфера в Microsoft Outlook Express 5.5 и 6 позволяет удаленным злоумышленникам выполнять произвольный код через поддельный файл Windows Address Book (WAB), содержащий "определенные строки Unicode" и измененные значения длины.
CVE-2000-0329Элемент управления Microsoft ActiveX позволяет удаленному злоумышленнику выполнять вредоносный cabinet-файл через вложение и встроенный скрипт в HTML-письме, также известный как уязвимость "Active Setup Control".
CVE-2005-2226Microsoft Outlook Express 6.0 раскрывает учетную запись сервера новостей по умолчанию, когда пользователь отвечает на "отслеживаемую" ветку разговора, что может позволить удаленным злоумышленникам получить конфиденциальную информацию.
CVE-2004-2137Outlook Express 6.0, при отправке многокомпонентных сообщений электронной почты с использованием настройки "Разбивать сообщения больше, чем", раскрывает BCC получателей сообщения адресам, указанным в полях To и CC, что может позволить удаленным злоумышленникам получить конфиденциальную информацию.