Microsoft Outlook Express 6 BCC Multi-Part Nachrichten gibt sensitive Daten preis

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
5.1$0-$5k0.00

Zusammenfassunginfo

Eine Schwachstelle wurde in Microsoft Outlook Express bis 6 SP1 gefunden. Sie wurde als problematisch eingestuft. Hierbei geht es um eine nicht exakt ausgemachte Funktion der Komponente BCC Multi-Part Message Handler. Durch Manipulieren mit unbekannten Daten kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Diese Schwachstelle wird als CVE-2004-2137 gehandelt. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Es ist kein Exploit verfügbar. Es wird empfohlen, einen Patch anzuwenden, um dieses Problem zu beheben.

Detailsinfo

Microsoft Outlook ist ein sehr beliebter Mail-Client (SMTP, POP3 und IMAP4) für die Windows-Reihe, wobei die Express-Variante die leicht abgespeckte Version für Privatanwender darstellt. Juha-Matti Laurio entdeckte einen Fehler in Microsoft Outlook Express 6, der es einem passiven Angreifer ermöglicht, die im BCC-Feld eines Emails vermerkten Adressen zu erfahren. Das Problem ist nur dann gegeben, wenn Multi-Part Nachrichten verschickt werden. Ist der Empfänger im Besitz von Microsoft Outlook Express, muss das Email zur Anzeige der versteckten BCC-Empfänger einen externen ASCII-Editor nutzen - Bei Lotus Notes wird der Inhalt des Felds automatisch im Mail-Body der Nachricht angezeigt. Microsoft gibt über den Support einen Patch für diese Schwachstelle heraus, der erst korrekt greift, nachdem ein Subkey in HKEY_LOCAL_MACHINE\Software\Microsoft\Outlook Express\ richtig gesetzt wurde [http://www.securiteam.com/windowsntfocus/5TP0X00DPK.html]. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (17098), SecurityFocus (BID 11040†), OSVDB (9167†), Secunia (SA12376†) und SecurityTracker (ID 1011067†) dokumentiert. If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 90313 (Microsoft Outlook Express BCC Field Information Disclosure Vulnerability) zur Prüfung der Schwachstelle an.

Ein ungeschickter Fauxpas der Microsoft-Entwickler. Sonderbar an diesem Fehler ist vor allem, wie Microsoft den Bugfix herausgibt. So muss man sich zuerst beim Support melden, um den entsprechenden Patch zu erhalten. Eine Vielzahl an Privatanwendern wird diesen Aufwand scheuen oder sich des Problems gar nicht erst bewusst sein. Unternehmen sollten jedoch darum bemüht sein, sich dieses Problems anzunehmen.

Produktinfo

Typ

Hersteller

Name

Version

Lizenz

Support

Webseite

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 5.3
VulDB Meta Temp Score: 5.1

VulDB Base Score: 5.3
VulDB Temp Score: 5.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Information Disclosure
CWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Qualys ID: 🔍
Qualys Name: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Patch
Status: 🔍

0-Day Time: 🔍

Patch: support.microsoft.com

Timelineinfo

20.08.2004 🔍
25.08.2004 +5 Tage 🔍
25.08.2004 +0 Tage 🔍
25.08.2004 +0 Tage 🔍
25.08.2004 +0 Tage 🔍
25.08.2004 +0 Tage 🔍
25.08.2004 +0 Tage 🔍
26.08.2004 +0 Tage 🔍
31.12.2004 +127 Tage 🔍
14.06.2005 +165 Tage 🔍
19.06.2006 +370 Tage 🔍
06.07.2025 +6957 Tage 🔍

Quelleninfo

Hersteller: microsoft.com

Advisory: support.microsoft.com
Person: Juha-Matti Laurio
Firma: Microsoft
Status: Bestätigt

CVE: CVE-2004-2137 (🔍)
GCVE (CVE): GCVE-0-2004-2137
GCVE (VulDB): GCVE-100-805
X-Force: 17098 - Microsoft Outlook Express address information disclosure, Medium Risk
SecurityFocus: 11040 - Microsoft Outlook Express BCC Field Information Disclosure Vulnerability
Secunia: 12376 - Microsoft Outlook Express "BCC:" Recipient Disclosure Weakness, Not Critical
OSVDB: 9167 - Microsoft Outlook Express BCC: Recipient Information Disclosure
SecurityTracker: 1011067
SecuriTeam: securiteam.com
Vulnerability Center: 11942 - Microsoft Outlook Express BCC Field Leakage, Medium

Eintraginfo

Erstellt: 25.08.2004 14:32
Aktualisierung: 06.07.2025 06:55
Anpassungen: 25.08.2004 14:32 (86), 29.06.2019 09:34 (1), 06.07.2025 06:55 (17)
Komplett: 🔍
Cache ID: 216::103

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Do you need the next level of professionalism?

Upgrade your account now!