CVE-2001-0154
Severity Score
Exploit Likelihood
Affected Versions
Public Exploits
0Exploited in Wild
-Decision
Descriptions
HTML e-mail feature in Internet Explorer 5.5 and earlier allows attackers to execute attachments by setting an unusual MIME type for the attachment, which Internet Explorer does not process correctly.
Funcionalidad HTML en Internet Explorer 5.5 y anteriores, que permite al atacante la ejecución de un archivo adjunto. Se consigue gracias al envío de cabeceras MIME inválidas para el adjunto que le permiten disfrazarse como un tipo de archivo no ejecutable.
El correo electrónico vía HTML se representa en páginas web que el explorador es capaz de interpretar. Cuando el correo contiene ficheros adjuntos el Explorador también es capaz de abrir la aplicación asociada a los ficheros binarios adjuntos cuyo tipo (extensión de archivo) está definido en las cabeceras MIME.
Sin embargo, existe un defecto en el tipo de tratamiento que es especificado para ciertos tipos MIME sin identificar. Si un atacante crea un correo HTML conteniendo un fichero adjunto ejecutable y le sustituye la información de cabecera MIME por otra, que contiene un tipo de archivo MIME reconocido, provocaría la ejecución automática del adjunto.
Un atacante podría usar esta vulnerabilidad en cualquiera de estos dos escenarios.
El atacante podíra generar un correo electrónico HTML infectado sobre un sitio web ý despues intentar convencer a otro usuario para que los visite. El fichero adjunto sería ejecutado automáticamente simplemente por visualizar la página que muestra la lista de mensajes.
En el otro supuesto, el atacante conseguiría su objetivo enviándo directamente el correo HTML a la dirección del ususario que desea infectar.
En ambos supuestos la ejecución del adjunto está limitada a los privilegios de sistema que tenga establecidos el ususario.
CVSS Scores
SSVC
- Decision:-
Timeline
- 2001-02-10 CVE Reserved
- 2001-05-03 CVE Published
- 2023-04-07 EPSS Updated
- 2024-08-08 CVE Updated
- ---------- Exploited in Wild
- ---------- KEV Due Date
- ---------- First Exploit
CWE
CAPEC
References (9)
| URL | Tag | Source |
|---|---|---|
| http://marc.info/?l=bugtraq&m=98596775905044&w=2 | Mailing List | |
| http://securitytracker.com/id?1001197 | Vdb Entry | |
| http://www.cert.org/advisories/CA-2001-06.html | Third Party Advisory | |
| http://www.ciac.org/ciac/bulletins/l-066.shtml | Government Resource | |
| http://www.osvdb.org/7806 | Vdb Entry | |
| http://www.securityfocus.com/bid/2524 | Vdb Entry | |
| https://exchange.xforce.ibmcloud.com/vulnerabilities/6306 | Vdb Entry | |
| https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A141 | Signature |
| URL | Date | SRC |
|---|
| URL | Date | SRC |
|---|
| URL | Date | SRC |
|---|---|---|
| https://docs.microsoft.com/en-us/security-updates/securitybulletins/2001/ms01-020 | 2021-07-23 |
Affected Vendors, Products, and Versions
| Vendor | Product | Version | Other | Status | ||||||
|---|---|---|---|---|---|---|---|---|---|---|
| Vendor | Product | Version | Other | Status | <-- --> | Vendor | Product | Version | Other | Status |
| Microsoft Search vendor "Microsoft" | Internet Explorer Search vendor "Microsoft" for product "Internet Explorer" | <= 5.5 Search vendor "Microsoft" for product "Internet Explorer" and version " <= 5.5" | - |
Affected
| ||||||
| Microsoft Search vendor "Microsoft" | Internet Explorer Search vendor "Microsoft" for product "Internet Explorer" | 5.01 Search vendor "Microsoft" for product "Internet Explorer" and version "5.01" | - |
Affected
| ||||||