Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERTA : Vulnérabilité dans Microsoft Outlook Express et Windows Mail

octobre 2007 par CERT-FR

 1 Risque

* Exécution de code arbitraire à distance ;
* contournement de la politique de sécurité.

 2 Systèmes affectés

* Microsoft Outlook Express 6 ;
* Microsoft Outlook Express 6 Service Pack 1 ;
* Microsoft Outlook Express 5.5 Service Pack 2 ;
* Windows Mail (Vista).

Cela concerne donc les versions Outlook Express 6 (Service Pack 1 inclus).

 3 Résumé

Une vulnérabilité a été identifiée dans les clients de messagerie Microsoft
Outlook Express et Windows Mail. Elle concerne l’interprétation de trames du
protocole NNTP. L’exploitation de cette dernière, à distance et par le biais de
paquets spécialement construits, peut provoquer l’exécution de code arbitraire
sur le système vulnérable.

 4 Description

Une vulnérabilité a été identifiée dans les clients de messagerie Microsoft
Outlook Express et Windows Mail. Elle concerne l’interprétation de trames du
protocole NNTP (pour Network News Transfer Protocol). Ce dernier est utilisé
pour échanger des informations de type news. Il a été initialement présenté
dans le standard RFC 977 (1986), lui-même remplacé par le plus récent RFC 3977
(2006). Les ports TCP couramment utilisés pour les échanges de données sont 119
/TCP et 563/TCP (NNTPS).

L’exploitation de cette vulnérabilité, à distance et par le biais de paquets
spécialement construits, peut provoquer l’exécution de code arbitraire sur le
système vulnérable.

 5 Solution

Se référer au bulletin de sécurité MS07-056 de Microsoft pour l’obtention des
correctifs (cf. section Documentation).

 6 Documentation

* Bulletin de sécurité Microsoft MS07-056 du 09 octobre 2007 :

http://www.microsoft.com/france/technet/security/Bulletin/MS07-056.mspx

http://www.microsoft.com/technet/security/Bulletin/MS07-056.mspx

* Référence CVE CVE-2007-3897 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3897

* RFC 3977, "Network News Transfer Protocol (NNTP)", October 2006 :

http://tools.ietf.org/rfc/rfc3977.txt

* RFC 977, "Network News Transfer Protocol, A Proposed Standard for the Stream-Based Transmission of News", February 2006 :

http://tools.ietf.org/rfc/rfc977.txt


Voir les articles précédents

    

Voir les articles suivants