S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 23 février 2001
N° CERTA-2001-AVI-021
Affaire suivie par: CERT-FR
le 23 février 2001

Avis du CERT-FR

Objet: Vulnérabilité sous Microsoft Outlook et Outlook Express

Gestion du document

Référence CERTA-2001-AVI-021
Titre Vulnérabilité sous Microsoft Outlook et Outlook Express
Date de la première version 23 février 2001
Date de la dernière version 23 février 2001
Source(s) Bulletin Microsoft MS 01-012
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire ;
  • Déni de service.

Systèmes affectés

  • Microsoft Outlook ;
  • Microsoft Outlook Express.

Résumé

Un utilisateur mal intentionné peut, en ajoutant une carte de visite habilement composée à un courrier électronique, entraîner l'exécution de code arbitraire ou un déni de service sur la machine recevant ce courrier.

Description

Un des composants de Outlook et Outlook Express ne vérifie pas correctement les données contenues dans une carte de visite attachée à un mél.

Si un utilisateur mal intentionné construit une carte de visite contenant un code spécifique, il peut entraîner un déni de service ou exécuter du code arbitraire avec les privilèges de la personne consultant cette carte.

Nota : Les cartes de visites sont considérées comme des pièces jointes mais ne sont pas ouvertes automatiquement lors de la lecture du courrier. Il est donc nécessaire d'inciter la personne recevant le mél à ouvrir la carte de visite.

Solution

Un correctif est disponible sur le site Microsoft :

http://www.microsoft.com/windows/ie/download/critical/q283908/default.asp

Documentation

Bulletin et FAQ Microsoft :

http://www.microsoft.com/technet/security/bulletin/MS01-012.asp

Gestion détaillée du document

    le 23 février 2001
    version initiale.