CERTA-2002-AVI-087
Vulnerability from certfr_avis - Published: - Updated:
Un utilisateur d'Outlook utilisant l'option Word pour répondre à son courrier électronique peut exécuter à son insu du code arbitraire sur sa machine.
Description
Une option de Outlook permet de choisir Word comme éditeur de texte pour répondre au courrier électronique. Lors de la lecture d'un mél, Outlook utilise les paramètres de sécurité d'Internet Explorer. Par contre si la réponse s'effectue par le biais de Word, ce sont les paramètres de Word qui seront utilisés. Un utilisateur répondant à un courrier contenant un script malicieux exécutera alors, lors de la réponse, ce script sur sa machine.
Contournement provisoire
Ne pas selectionner WORD pour répondre au courrier dans la configuration d'Outlook.
Solution
Se référer au bulletin de sécurité de Microsoft (voir paragraphe Documentation) pour connaitre la disponibilité des correctifs.
None| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Microsoft Outlook 2000 ;",
"product": {
"name": "N/A",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
},
{
"description": "Microsoft Outlook 2002.",
"product": {
"name": "N/A",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Description\n\nUne option de Outlook permet de choisir Word comme \u00e9diteur de texte pour\nr\u00e9pondre au courrier \u00e9lectronique. Lors de la lecture d\u0027un m\u00e9l, Outlook\nutilise les param\u00e8tres de s\u00e9curit\u00e9 d\u0027Internet Explorer. Par contre si la\nr\u00e9ponse s\u0027effectue par le biais de Word, ce sont les param\u00e8tres de Word\nqui seront utilis\u00e9s. Un utilisateur r\u00e9pondant \u00e0 un courrier contenant un\nscript malicieux ex\u00e9cutera alors, lors de la r\u00e9ponse, ce script sur sa\nmachine.\n\n## Contournement provisoire\n\nNe pas selectionner WORD pour r\u00e9pondre au courrier dans la configuration\nd\u0027Outlook.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de Microsoft (voir paragraphe\nDocumentation) pour connaitre la disponibilit\u00e9 des correctifs.\n",
"cves": [],
"links": [
{
"title": "Bulletin Microsoft :",
"url": "http://www.microsoft.com/technet/security/bulletin/MS02-021.asp"
}
],
"reference": "CERTA-2002-AVI-087",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2002-04-26T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire"
}
],
"summary": "Un utilisateur d\u0027Outlook utilisant l\u0027option Word pour r\u00e9pondre \u00e0 son\ncourrier \u00e9lectronique peut ex\u00e9cuter \u00e0 son insu du code arbitraire sur sa\nmachine.\n",
"title": "Vuln\u00e9rabilit\u00e9 de l\u0027\u00e9diteur de m\u00e9ls de Microsoft Outlook",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin Microsoft MS02-021",
"url": null
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.