CERTA-2001-AVI-021
Vulnerability from certfr_avis - Published: - Updated:
Un utilisateur mal intentionné peut, en ajoutant une carte de visite habilement composée à un courrier électronique, entraîner l'exécution de code arbitraire ou un déni de service sur la machine recevant ce courrier.
Description
Un des composants de Outlook et Outlook Express ne vérifie pas correctement les données contenues dans une carte de visite attachée à un mél.
Si un utilisateur mal intentionné construit une carte de visite contenant un code spécifique, il peut entraîner un déni de service ou exécuter du code arbitraire avec les privilèges de la personne consultant cette carte.
Nota : Les cartes de visites sont considérées comme des pièces jointes mais ne sont pas ouvertes automatiquement lors de la lecture du courrier. Il est donc nécessaire d'inciter la personne recevant le mél à ouvrir la carte de visite.
Solution
Un correctif est disponible sur le site Microsoft :
http://www.microsoft.com/windows/ie/download/critical/q283908/default.asp
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Microsoft Outlook Express.",
"product": {
"name": "N/A",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
},
{
"description": "Microsoft Outlook ;",
"product": {
"name": "N/A",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Description\n\nUn des composants de Outlook et Outlook Express ne v\u00e9rifie pas\ncorrectement les donn\u00e9es contenues dans une carte de visite attach\u00e9e \u00e0\nun m\u00e9l.\n\nSi un utilisateur mal intentionn\u00e9 construit une carte de visite\ncontenant un code sp\u00e9cifique, il peut entra\u00eener un d\u00e9ni de service ou\nex\u00e9cuter du code arbitraire avec les privil\u00e8ges de la personne\nconsultant cette carte.\n\nNota : Les cartes de visites sont consid\u00e9r\u00e9es comme des pi\u00e8ces jointes\nmais ne sont pas ouvertes automatiquement lors de la lecture du\ncourrier. Il est donc n\u00e9cessaire d\u0027inciter la personne recevant le m\u00e9l \u00e0\nouvrir la carte de visite.\n\n## Solution\n\nUn correctif est disponible sur le site Microsoft :\n\n http://www.microsoft.com/windows/ie/download/critical/q283908/default.asp\n",
"cves": [],
"links": [
{
"title": "Bulletin et FAQ Microsoft :",
"url": "http://www.microsoft.com/technet/security/bulletin/MS01-012.asp"
}
],
"reference": "CERTA-2001-AVI-021",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2001-02-23T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire"
},
{
"description": "D\u00e9ni de service"
}
],
"summary": "Un utilisateur mal intentionn\u00e9 peut, en ajoutant une carte de visite\nhabilement compos\u00e9e \u00e0 un courrier \u00e9lectronique, entra\u00eener l\u0027ex\u00e9cution de\ncode arbitraire ou un d\u00e9ni de service sur la machine recevant ce\ncourrier.\n",
"title": "Vuln\u00e9rabilit\u00e9 sous Microsoft Outlook et Outlook Express",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin Microsoft MS 01-012",
"url": null
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.