Risque
- Exécution de code arbitraire à distance ;
- atteinte à la confidentialité des données.
Systèmes affectés
- Outlook Express 6 sous Windows 2003 server et XP ;
- Mail sous Windows Vista.
Résumé
Plusieurs vulnérabilités des clients de messagerie Outlook Express et Mail permettraient la divulgation non autorisée d'informations. Dans Mail seulement, une autre vulnérabilité permettrait à un utilisateur malveillant d'exécuter du code arbitraire à distance.
Description
Plusieurs vulnérabilités affectent les clients de messagerie Outlook Express et Mail :
- trois vulnérabilités permettent, par le biais de courriels spécialement conçus, de contourner le contrôle d'accès dans le navigateur et de divulguer des informations.
- une vulnérabilité dans Mail permet, par le biais d'un courriel spécialement conçu, d'exécuter du code arbitraire sur la machine vulnérable ;
L'exploitation de ces vulnérabilités exige la participation du destinataire des courriels malveillants (clic sur un lien).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS07-034 du 12 juin 2007 :
http://www.microsoft.com/france/technet/securite/MS07-034.mspx
- Référence CVE CVE-2006-2111 :
https://www.cve.org/CVERecord?id=CVE-2006-2111
- Référence CVE CVE-2007-1658 :
https://www.cve.org/CVERecord?id=CVE-2007-1658
- Référence CVE CVE-2007-2225 :
https://www.cve.org/CVERecord?id=CVE-2007-2225
- Référence CVE CVE-2007-2227 :
https://www.cve.org/CVERecord?id=CVE-2007-2227