Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Microsoft Exchange Instant Messenger version 4.6 et précédentes.
  • Microsoft MSN Chat control ;
  • Microsoft MSN Messenger version 4.6 et précédentes ;

Résumé

Une vulnérabilité a été découverte dans le contrôle ActiveX MSN Chat.

Description

MSN Chat est un contrôle ActiveX qui permet à des groupes d'utilisateurs de discuter en ligne dans un espace virtuel. Une vulnérabilité a été découverte dans l'une des fonctions qui gèrent les paramètres d'entrée de ce contrôle ActiveX. Un utilisateur mal intentionné peut exploiter cette faille afin d'exécuter du code arbitraire à distance avec les droits de l'utilisateur courant via un site web ou bien un email au format HTML.

Solution

Se référer au bulletin Microsoft MS02-022 (cf. Documentation) pour la disponibilité des correctifs.

Documentation