S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 28 avril 2003
N° CERTA-2003-AVI-080
Affaire suivie par: CERT-FR
le 28 avril 2003

Avis du CERT-FR

Objet: Vulnérabilité dans Microsoft Outlook Express

Gestion du document

Référence CERTA-2003-AVI-080
Titre Vulnérabilité dans Microsoft Outlook Express
Date de la première version 28 avril 2003
Date de la dernière version 28 avril 2003
Source(s) Bulletin de sécurité MS03-014 de Microsoft
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de scripts à distance.

Systèmes affectés

  • Microsoft Outlook Express 5.5 ;
  • Microsoft Outlook Express 6.0.

Résumé

Une vulnérabilité présente dans le client de messagerie Outlook Express permet d'exécuter des scripts sur le poste de l'utilisateur.

Description

MHTML (MIME Encapsulation of Aggregate HTML) permet l'envoi de documents HTML dans des messages électroniques. Sur la plate-forme Windows, le traitement d'un lien hypertexte (url) MHTML est réalisé par Outlook Express.


Un utilisateur mal intentionné peut, au moyen d'un message électronique ou d'une page HTML habilement constitué, exploiter la vulnérabilité présente dans le traitement des urls MHTML pour réaliser l'exécution d'un script sur le poste de l'utilisateur employant une version vulnérable d'Outlook Express.

Solution

Appliquer le correctif de l'éditeur (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 28 avril 2003
    version initiale.