S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 07 juin 2001
N° CERTA-2001-AVI-059
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité d'Exchange 2000

Gestion du document

Référence CERTA-2001-AVI-059
Titre Vulnérabilité d'Exchange 2000
Date de la première version07 juin 2001
Date de la dernière version07 juin 2001
Source(s) Bulletin de sécurité Microsoft
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire

Systèmes affectés

Exchange 2000.

Résumé

La manipulation de pièces jointes par le service OWA (Outlook Web Access) d'Exchange 2000 peut provoquer l'exécution de code arbitraire.

Description

OWA est un service d'Exchange 2000 Server qui permet à un utilisateur de se servir son navigateur pour accéder à sa boîte aux lettres Exchange.

Lors de la manipulation des pièces jointes, il existe un problème d'interaction entre OWA et Internet Explorer. En effet, si une pièce jointe contient du code HTML incluant un script, ce script sera exécuté lors de l'ouverture de la pièce jointe.

Contournement provisoire

Ne pas utiliser Internet Explorer avec OWA, mais se servir d'un autre navigateur.

Solution

Appliquer le correctif Microsoft :

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30436

Documentation

Gestion détaillée du document

    le 07 juin 2001
    version initiale.