Vulnérabilité
de Outlook Express
Microsoft vient de publier un patch cumulatif, corrigeant
en particulier une vulnérabilité critique
nouvellement découverte d’Outlook Express (5.5
et 6.0).
Cette vulnérabilité réside
dans l’URL Handler MHTML (MIME Encapsulation of Aggregate
HTML), et peut permettre à un agresseur de forger
une URL hostile, et de l’héberger sur une page
Web, ou de l’envoyer via un Email HTML.
Dans le cas d’un site Web, si cette
URL est cliquée, l’agresseur sera alors en
capacité de lire ou de lancer des fichiers déjà
présents sur la machine visée.
Dans le cas d’une attaque par Email,
si l’utilisateur utilise Outlook Express 6.0 ou Outlook
2002 dans leurs configurations par défaut (ou Outlook
98 ou 2000 correctement mis à jour), l’attaque
ne peut pas être automatisée, et l’utilisateur
devra effectivement cliquer sur l’URL hostile.
Dans le cas où l’utilisateur n’utilise
pas Outlook Express 6.0 ou Outlook 2002 dans leurs configurations
par défaut (ou Outlook 98 ou 2000 correctement mis
à jour), l’agresseur pourra faire en sorte
que l’attaque se déclenche automatiquement.
Informations
détaillées et téléchargement
du patch cumulatif
|
