Risque

Exécution de code arbitraire.

Systèmes affectés

  • Microsoft Outlook Express 5.5 SP2 ;
  • Microsoft Outlook Express 6 ;
  • Microsoft Outlook Express 6 SP1 ;
  • Microsoft Outlook Express 6 SP1 (64 bits) ;
  • Microsoft Outlook Express 6 sur Windows Server 2003 ;
  • Microsoft Outlook Express 6 sur Windows Server 2003 (64 bits).

Résumé

Une vulnérabilité présente dans Outlook Express permet à un utilisateur malicieux d'exécuter du code arbitraire sur la machine vulnérable.

Description

MHTML est le format MIME Encapsulation of Aggregate HTML Documents qui défini la structure MIME permettant d'envoyer un document HTML dans un message éléctronique.

Une vulnérabilité dans la gestion des pages MHTML permet à un utilisateur mal intentionné, via un courrier éléctronique ou une page web, d'exécuter du code arbitraire dans la zone de sécurité de la machine locale avec les privilèges de l'utilisateur connecté.

Contournement provisoire

Configurer Outlook Express pour une lecture des messages éléctroniques au format texte.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs :

http://www.microsoft.com/technet/security/bulletin/ms04-013.mspx

Documentation

Référence CVE CAN-2004-0380 :

https://www.cve.org/CVERecord?id=CAN-2004-0380