Risque
Divulgation du contenu des messages sécurisés.
Systèmes affectés
Microsoft Outlook 2002.
Résumé
Un mauvais fonctionnement du protocole de sécurisation par V1 Exchange Server sous Microsoft Outlook 2002 peut entraîner l'envoi de messages non-chiffrés de façon inopinée.
Description
Le logiciel de messagerie Microsoft Outlook 2002 possède la fonctionnalité de sécuriser l'envoi des messages. Le protocole utilisé par défaut est S/MIME mais il est aussi possible d'utiliser le protocole propriétaire V1 Exchange Server.
Lors du processus de chiffrement d'un message au format HTML, une mauvaise gestion des certificats V1 Exchange Server par le logiciel Outlook 2002, entraîne l'envoi du message en clair.
Contournement provisoire
- Il est conseillé d'éviter l'envoi de messages au format HTML. Ce format est d'ailleurs un vecteur de propagation de certains types de vers et virus.
- Il est préférable d'utiliser les protocoles standards tels que S/MIME plutôt que les protocoles propriétaires.
Solution
Consulter le bulletin de sécurité #MS03-003 de Microsoft (voir paragraphe Documentation) pour connaître la disponibilité des correctifs.
Documentation
Le bulletin de sécurité #MS03-003 de Microsoft :
http://www.microsoft.com/technet/security/bulletin/ms03-003.asp
