Risques
- Atteinte à la confidentialité des données
- Exécution de code arbitraire à distance
Systèmes affectés
- Mail sous Windows Vista.
- Outlook Express 6 sous Windows 2003 server et XP ;
Résumé
Plusieurs vulnérabilités des clients de messagerie Outlook Express et Mail permettraient la divulgation non autorisée d'informations. Dans Mail seulement, une autre vulnérabilité permettrait à un utilisateur malveillant d'exécuter du code arbitraire à distance.
Description
Plusieurs vulnérabilités affectent les clients de messagerie Outlook Express et Mail :
- trois vulnérabilités permettent, par le biais de courriels spécialement conçus, de contourner le contrôle d'accès dans le navigateur et de divulguer des informations.
- une vulnérabilité dans Mail permet, par le biais d'un courriel spécialement conçu, d'exécuter du code arbitraire sur la machine vulnérable ;
L'exploitation de ces vulnérabilités exige la participation du destinataire des courriels malveillants (clic sur un lien).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS07-034 http://www.microsoft.com/france/technet/securite/MS07-034.mspx
- Référence CVE CVE-2006-2111 https://www.cve.org/CVERecord?id=CVE-2006-2111
- Référence CVE CVE-2007-1658 https://www.cve.org/CVERecord?id=CVE-2007-1658
- Référence CVE CVE-2007-2225 https://www.cve.org/CVERecord?id=CVE-2007-2225
- Référence CVE CVE-2007-2227 https://www.cve.org/CVERecord?id=CVE-2007-2227