Risque

  • Exécution de code arbitraire

Systèmes affectés

Exchange 2000.

Résumé

La manipulation de pièces jointes par le service OWA (Outlook Web Access) d'Exchange 2000 peut provoquer l'exécution de code arbitraire.

Description

OWA est un service d'Exchange 2000 Server qui permet à un utilisateur de se servir son navigateur pour accéder à sa boîte aux lettres Exchange.

Lors de la manipulation des pièces jointes, il existe un problème d'interaction entre OWA et Internet Explorer. En effet, si une pièce jointe contient du code HTML incluant un script, ce script sera exécuté lors de l'ouverture de la pièce jointe.

Contournement provisoire

Ne pas utiliser Internet Explorer avec OWA, mais se servir d'un autre navigateur.

Solution

Appliquer le correctif Microsoft :

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30436

Documentation