Risques

  • Déni de service
  • Exécution de code arbitraire à distance

Systèmes affectés

  • Microsoft Exchange 2000 Server SP3 avec le correctif global (« Post-SP3 Update Rollup ») d'août 2004.
  • Microsoft Windows 2000,
  • Microsoft Windows 2003 toutes architecture,
  • Microsoft Windows XP toutes architectures,

Résumé

Une vulnérabilité d'un composant COM (« Component Object Model ») permet l'exécution de code arbitraire à l'aide d'un message SMTP (protocole de messagerie internet le plus courant) malicieusement construit.

Description

Le composant en question est CDO (« Collaboration Data Objects ») et offre une bibliothèque pour la création et la modification de messages internet. Une mauvaise gestion d'un tampon mémoire permet à un utilisateur mal intentionné d'exécuter du code et d'obtenir alors un contrôle total du système.

Contournement provisoire

Désactiver les récepteurs des événements de transport (« event sinks ») en se référant à la procédure décrite dans le bulletin de sécurité de l'éditeur (cf. section Documentation).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation