CERTA-2003-AVI-011

Vulnerability from certfr_avis - Published: - Updated:

Un mauvais fonctionnement du protocole de sécurisation par V1 Exchange Server sous Microsoft Outlook 2002 peut entraîner l'envoi de messages non-chiffrés de façon inopinée.

Description

Le logiciel de messagerie Microsoft Outlook 2002 possède la fonctionnalité de sécuriser l'envoi des messages. Le protocole utilisé par défaut est S/MIME mais il est aussi possible d'utiliser le protocole propriétaire V1 Exchange Server.

Lors du processus de chiffrement d'un message au format HTML, une mauvaise gestion des certificats V1 Exchange Server par le logiciel Outlook 2002, entraîne l'envoi du message en clair.

Contournement provisoire

  • Il est conseillé d'éviter l'envoi de messages au format HTML. Ce format est d'ailleurs un vecteur de propagation de certains types de vers et virus.
  • Il est préférable d'utiliser les protocoles standards tels que S/MIME plutôt que les protocoles propriétaires.

Solution

Consulter le bulletin de sécurité #MS03-003 de Microsoft (voir paragraphe Documentation) pour connaître la disponibilité des correctifs.

Microsoft Outlook 2002.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eMicrosoft Outlook 2002.\u003c/P\u003e",
  "content": "## Description\n\nLe logiciel de messagerie Microsoft Outlook 2002 poss\u00e8de la\nfonctionnalit\u00e9 de s\u00e9curiser l\u0027envoi des messages. Le protocole utilis\u00e9\npar d\u00e9faut est S/MIME mais il est aussi possible d\u0027utiliser le protocole\npropri\u00e9taire V1 Exchange Server.\n\nLors du processus de chiffrement d\u0027un message au format HTML, une\nmauvaise gestion des certificats V1 Exchange Server par le logiciel\nOutlook 2002, entra\u00eene l\u0027envoi du message en clair.\n\n## Contournement provisoire\n\n-   Il est conseill\u00e9 d\u0027\u00e9viter l\u0027envoi de messages au format HTML. Ce\n    format est d\u0027ailleurs un vecteur de propagation de certains types de\n    vers et virus.\n-   Il est pr\u00e9f\u00e9rable d\u0027utiliser les protocoles standards tels que\n    S/MIME plut\u00f4t que les protocoles propri\u00e9taires.\n\n## Solution\n\nConsulter le bulletin de s\u00e9curit\u00e9 \\#MS03-003 de Microsoft (voir\nparagraphe Documentation) pour conna\u00eetre la disponibilit\u00e9 des\ncorrectifs.\n",
  "cves": [],
  "links": [
    {
      "title": "Le bulletin de s\u00e9curit\u00e9 #MS03-003 de Microsoft :",
      "url": "http://www.microsoft.com/technet/security/bulletin/ms03-003.asp"
    }
  ],
  "reference": "CERTA-2003-AVI-011",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2003-01-23T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Divulgation du contenu des messages s\u00e9curis\u00e9s"
    }
  ],
  "summary": "Un mauvais fonctionnement du protocole de s\u00e9curisation par V1 Exchange\nServer sous Microsoft Outlook 2002 peut entra\u00eener l\u0027envoi de messages\nnon-chiffr\u00e9s de fa\u00e7on inopin\u00e9e.\n",
  "title": "Vuln\u00e9rabilit\u00e9 de Microsoft Outlook 2002 associ\u00e9 au protocole de s\u00e9curisation V1 Exchange Server",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 #MS03-003 de Microsoft",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.