{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Microsoft Outlook Express 4.0, 4.01, 5.0, 5.01","product":{"name":"N/A","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Outlook 97, 98, 2000","product":{"name":"N/A","vendor":{"name":"Microsoft","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\nUn composant partag\u00e9 par Outlook et Outlook Express utilise une m\u00e9moire\ntampon, dont le d\u00e9bordement n'est pas contr\u00f4l\u00e9, qui contient les\nen-t\u00eates des m\u00e8ls t\u00e9l\u00e9charg\u00e9s en POP3 ou IMAP4. En provoquant un\nd\u00e9bordement de cette m\u00e9moire tampon, un utilisateur mailvaillant,\nexp\u00e9diant un m\u00e8l, peut stopper l'application ou ex\u00e9cuter du code sur la\nmachine destinataire.  \n  \n\nCette vuln\u00e9rabilit\u00e9 fonctionne m\u00eame si le m\u00e8l n'est pas lu, le code\nmalicieux se trouvant dans l'en-t\u00eate. En particulier ce probl\u00e8me n'est\npas li\u00e9 aux recommandations de la note CERTA-2000-INF-002 concernant les\npi\u00e8ces jointes.  \n  \n\nNota : Les utilisateurs d'Internet Explorer 5.01 Service Pack 1 ou les\nutilisateurs Internet Explorer 5.5 (sauf sous Windows 2000) ne sont pas\naffect\u00e9s par cette vuln\u00e9rabilit\u00e9.\n\n## Solution\n\nCette vuln\u00e9rabilit\u00e9 peut \u00eatre \u00e9limin\u00e9e par l'installation par d\u00e9faut de\n:\n\n\\- Internet Explorer 5.01 Service Pack 1\n\n    http://www.microsoft.com/Windows/ie/download/ie501sp1.htm\n\n\\- Internet Explorer 5.5 sur tous syst\u00e8mes (except\u00e9 Windows 2000\\*)\n\n    http://www.microsoft.com/Windows/ie/download/ie55.htm\n\n  \n  \n\n\\* Lors de l'installation d'Internet Explorer 5.5 sous Windows 2000 la\nversion corrig\u00e9e d'Outlook Express n'est pas install\u00e9e. La vuln\u00e9rabilit\u00e9\nest donc toujours pr\u00e9sente. Windows 2000 Service Pack 1, qui n'est pas\nencore disponible en France, prendra cette correction en compte.\n","cves":[],"links":[{"title":"- Bulletin Microsoft","url":"http://www.microsoft.com/technet/security/bulletin/MS00-043.asp"}],"reference":"CERTA-2000-AVI-015","revisions":[{"description":"version initiale.","revision_date":"2000-07-19T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code en chargeant son courrier depuis sa bo\u00eete aux lettres"}],"summary":"Une vuln\u00e9rabilit\u00e9 \u00e0 \u00e9t\u00e9 d\u00e9couverte sous Outlook et Outlook Express\npermettant \u00e0 un utilisateur malveillant d'ex\u00e9cuter du code sur une\nmachine distante. Le code peut s'ex\u00e9cuter m\u00eame si on ne lit par le\nmessage et les pi\u00e8ces jointes.\n","title":"Vuln\u00e9rabilit\u00e9 dans l'en-t\u00eate des m\u00e8ls sous Outlook","vendor_advisories":[{"published_at":null,"title":"Microsoft Security Bulletin","url":null}]}