Risque

  • Exécution de code arbitraire

Systèmes affectés

  • Microsoft Outlook Express 5.5 ;
  • Microsoft Outlook Express 6.0.

Résumé

Une vulnérabilité dans la gestion des signatures numériques de courrier par Microsoft Outlook Express permet à un utilisateur distant d'exécuter du code arbitraire sur la machine cible.

Description

Lors de la réception d'un mél signé de type S/MIME, Outlook Express analyse la signature et fourni un message d'erreur en cas de problème sur celle-ci. Un utilisateur mal intentionné peut, par le biais d'une signature judicieusement composée, réaliser un débordement de mémoire lors de l'ouverture de ce message d'avertissement entraînant ainsi l'exécution de code arbitraire avec les privilèges de l'utilisateur ayant reçu ce courrier.

Solution

Appliquer le correctif distribué par Microsoft (cf. section Documentation).

Documentation