Risque

  • Exécution de code arbitraire à distance ;
  • atteinte à la confidentialité des données.

Systèmes affectés

Microsoft Exchange Server 5.5 Service Pack 4.

Description

Selon Microsoft, Microsoft Outlook Web Access présente une vulnérabilité de type cross site scripting (cf. note d'information CERTA-2002-INF-001).

Par le biais d'un message électronique habilement constitué, un utilisateur mal intentionné peut exploiter cette vulnérabilité pour conduire une attaque par injection de code portant ainsi atteinte à la confidentialité des données de l'utilisateur ou, dans certains cas, permettant l'exécution de code arbitraire à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs.

Documentation