胜村 幸博 【日经BP社报道】丹麦安全公司Secunia等7月12日公开了在Outlook 2000／2003与Word 2000／2003配合使用时发现的安全漏洞(英文)。在Outlook 2000／2003的编辑器中使用Word 2000／2003时，如果转发已被做过手脚的HTML邮件，会运行任意代码(程序)。实际上，像这样被做过手脚的垃圾邮件已经大量出现。对策是不在Outlook中使用Word编辑文档。Outlook 2000／2003的编辑器中没有发现此次的漏洞。

　　Outlook 2000以后的版本中，默认状态下HTML邮件的“受限制的站点”为开启状态。因此，即使在HTML邮件中通过对象标签(OBJECT tag)指定ActiveX控件等，仅打开邮件也不会任意下载或运行程序。


　　然而，当(1)在Outlook 2000／2003的编辑器中使用Word 2000／2003；且打算转发已被做过手脚的HTML邮件时，即使是设置为受限制的站点，也能够通过对象标签下载及运行指定程序。


　　做“手脚”并不困难。只要不关闭对象标签(不写＜/OBJECT＞)，就会发生这一问题。此次漏洞的发现人James C. Slora, Jr.在投稿(英文)表示：“即使垃圾邮件发送者无意(突破这一安全漏洞)，事实上已经出现了大量突破这一漏洞的垃圾邮件”。


　　通过对象标签任意下载及运行指定程序，是在用Word打开转发的邮件时(按下Outlook的“转发”键时)。如果编辑器指定为Word，虽然回复时也与转发时一样用Word打开邮件，但回复时不会发生此次的问题。


　　对策是Outlook的编辑器不使用Word。另一个对策就是不转发垃圾邮件等，邮件中如果写有“将该邮件转发给××后，会得到礼物”内容，极有可能是引诱人转发(英文)的。由于Outlook 2000／2003的编辑器功能中没有此次发生的问题，因此最好使用Outlook 2000／2003的编辑器。


　　另据漏洞发现者称，已从美国微软得到答复，“认为这是Web Bug的一种变异。微软正在考虑修改‘转发’及‘回复’时Outlook的下载动作，今后推出的Office可能会解决这一问题”。