Vigil@nce - Cisco IronPort Desktop Flag : envoi d’email non chiffré
mai 2010 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Lorsque l’utilisateur désire chiffrer plusieurs emails via le
plug-in Cisco IronPort Desktop Flag pour Microsoft Outlook, seul
le premier email est chiffré.
Gravité : 2/4
Date création : 11/05/2010
DESCRIPTION DE LA VULNÉRABILITÉ
Le plug-in Cisco IronPort Desktop Flag s’installe sur Microsoft
Outlook, afin de chiffrer les messages via Cisco IronPort
Encryption Appliance ou Email Security Appliance. L’utilisateur
peut alors cliquer sur le bouton "Send Secure" pour chiffrer un
email et l’envoyer.
Cependant, suite à une erreur d’implémentation, si plusieurs
fenêtres de composition d’email sont ouvertes, seulement le
premier email est chiffré. Les autres sont envoyés en clair.
Lorsque l’utilisateur désire chiffrer plusieurs emails via le
plug-in Cisco IronPort Desktop Flag pour Microsoft Outlook, seul
le premier email est donc chiffré.
Note : il ne s’agit pas d’une vulnérabilité exploitable par un
attaquant, mais d’un bug ayant un impact sur la sécurité.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Cisco-IronPort-Desktop-Flag-envoi-d-email-non-chiffre-9638