S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 14 avril 2004
N° CERTA-2004-AVI-128
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans Outlook Express

Gestion du document

Référence CERTA-2004-AVI-128
Titre Vulnérabilité dans Outlook Express
Date de la première version14 avril 2004
Date de la dernière version14 avril 2004
Source(s) Avis de sécurité Microsoft MS04-O13
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire

Systèmes affectés

  • Microsoft Outlook Express 5.5 SP2 ;
  • Microsoft Outlook Express 6 ;
  • Microsoft Outlook Express 6 SP1 (64 bits) ;
  • Microsoft Outlook Express 6 SP1 ;
  • Microsoft Outlook Express 6 sur Windows Server 2003 (64 bits).
  • Microsoft Outlook Express 6 sur Windows Server 2003 ;

Résumé

Une vulnérabilité présente dans Outlook Express permet à un utilisateur malicieux d'exécuter du code arbitraire sur la machine vulnérable.

Description

MHTML est le format MIME Encapsulation of Aggregate HTML Documents qui défini la structure MIME permettant d'envoyer un document HTML dans un message éléctronique.

Une vulnérabilité dans la gestion des pages MHTML permet à un utilisateur mal intentionné, via un courrier éléctronique ou une page web, d'exécuter du code arbitraire dans la zone de sécurité de la machine locale avec les privilèges de l'utilisateur connecté.

Contournement provisoire

Configurer Outlook Express pour une lecture des messages éléctroniques au format texte.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs :

http://www.microsoft.com/technet/security/bulletin/ms04-013.mspx

Gestion détaillée du document

    le 14 avril 2004
    version initiale.