漏洞信息详情
Microsoft Crypto API X.509 Certificate Validation 远程信息泄露漏洞
- CNNVD编号:CNNVD-200807-113
- 危害等级: 中危
- CVE编号: CVE-2008-3068
- 漏洞类型: 设计错误
- 发布时间: 2008-07-07
- 威胁类型: 远程
- 更新时间: 2009-06-09
- 厂 商: microsoft
- 漏洞来源: Alexander Klink
漏洞简介
Microsoft Crypto 是windows程序安装时必有得一个API函数。 Microsoft Crypto API 5.131.2600.2180 至 6.0, 当在Outlook, Windows Live Mail, and Office 2007中运行时,通过在(1) S/MIME 电子邮件信息 或 (2)有符号的文件中的一个任意URL来执行证书撤回列表 (CRL)检测 ,这会允许远程攻击者通过精心设计的具有权限信息访问(AIA)扩展名的凭证来获得读去实践和收件人的IP地址,以及端点扫描结果。
漏洞公告
目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://www.microsoft.com/office/
参考网址
来源: MISC 链接:https://www.cynops.de/techzone/http_over_x509.HTML 来源: MISC 链接:https://www.cynops.de/advisories/AKLINK-SA-2008-004.txt 来源: MISC 链接:https://www.cynops.de/advisories/AKLINK-SA-2008-003.txt 来源: MISC 链接:https://www.cynops.de/advisories/AKLINK-SA-2008-002.txt 来源: BID 名称: 28548 链接:http://www.securityfocus.com/bid/28548 来源: BUGTRAQ 名称: 20080709 Re: Unauthorized reading confirmation from Outlook 链接:http://www.securityfocus.com/archive/1/archive/1/494101/100/0/threaded 来源: BUGTRAQ 名称: 20080703 Unauthorized reading confirmation from Outlook 链接:http://www.securityfocus.com/archive/1/archive/1/493947/100/0/threaded 来源: SREASON 名称: 3978 链接:http://securityreason.com/securityalert/3978
受影响实体
- Microsoft Access:2007
- Microsoft Excel:2003
- Microsoft Excel:2007
- Microsoft Frontpage:2003
- Microsoft Groove:2007
补丁
暂无
评论