Vigil@nce : Outlook Express et Windows Mail, récupération d’informations sensibles
août 2008 par Vigil@nce
SYNTHÈSE
Un attaquant distant peut récupérer des informations avec les
privilèges de la victime.
Gravité : 2/4
Conséquences : lecture de données
Provenance : document
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 13/08/2008
Référence : VIGILANCE-VUL-8025
PRODUITS CONCERNÉS
– Microsoft Windows 2000 [versions confidentielles]
– Microsoft Windows 2003 [versions confidentielles]
– Microsoft Windows 2008
– Microsoft Windows Vista [versions confidentielles]
– Microsoft Windows XP [versions confidentielles]
DESCRIPTION
Le format MHTML permet de stocker dans un fichier, le corps de la
page web ainsi que les images ou autres éléments la constituant.
Les logiciels Windows Mail et Outlook Express, ne gèrent pas
correctement l’ouverture de tels fichiers, car le module MHTML
interprète mal les headers HTML.
Un fichier illégitime peut donc permettre d’utiliser cette
vulnérabilité pour récupérer des informations avec les droits de
la victime.
CARACTÉRISTIQUES
Références : 951066, CVE-2008-1448, MS08-048, VIGILANCE-VUL-8025