CERTA-2003-AVI-080
Vulnerability from certfr_avis - Published: - Updated:
Une vulnérabilité présente dans le client de messagerie Outlook Express permet d'exécuter des scripts sur le poste de l'utilisateur.
Description
MHTML (MIME Encapsulation of Aggregate HTML) permet l'envoi de documents HTML dans des messages électroniques. Sur la plate-forme Windows, le traitement d'un lien hypertexte (url) MHTML est réalisé par Outlook Express.
Un utilisateur mal intentionné peut, au moyen d'un message électronique ou d'une page HTML habilement constitué, exploiter la vulnérabilité présente dans le traitement des urls MHTML pour réaliser l'exécution d'un script sur le poste de l'utilisateur employant une version vulnérable d'Outlook Express.
Solution
Appliquer le correctif de l'éditeur (cf. section Documentation).
NoneImpacted products
References
| Title | Publication Time | Tags | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
|
|||||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Microsoft Outlook Express 6.0.",
"product": {
"name": "N/A",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
},
{
"description": "Microsoft Outlook Express 5.5 ;",
"product": {
"name": "N/A",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Description\n\nMHTML (MIME Encapsulation of Aggregate HTML) permet l\u0027envoi de documents\nHTML dans des messages \u00e9lectroniques. Sur la plate-forme Windows, le\ntraitement d\u0027un lien hypertexte (url) MHTML est r\u00e9alis\u00e9 par Outlook\nExpress.\n\n \nUn utilisateur mal intentionn\u00e9 peut, au moyen d\u0027un message \u00e9lectronique\nou d\u0027une page HTML habilement constitu\u00e9, exploiter la vuln\u00e9rabilit\u00e9\npr\u00e9sente dans le traitement des urls MHTML pour r\u00e9aliser l\u0027ex\u00e9cution\nd\u0027un script sur le poste de l\u0027utilisateur employant une version\nvuln\u00e9rable d\u0027Outlook Express.\n\n## Solution\n\nAppliquer le correctif de l\u0027\u00e9diteur (cf. section Documentation).\n",
"cves": [],
"links": [
{
"title": "R\u00e9f\u00e9rence CVE CAN-2002-0980 :",
"url": "http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0980"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 MS03-14 de Microsoft :",
"url": "http://www.microsoft.com/technet/security/bulletin/MS03-014.mspx"
}
],
"reference": "CERTA-2003-AVI-080",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2003-04-28T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de scripts \u00e0 distance"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 pr\u00e9sente dans le client de messagerie Outlook Express\npermet d\u0027ex\u00e9cuter des scripts sur le poste de l\u0027utilisateur.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans Microsoft Outlook Express",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 MS03-014 de Microsoft",
"url": null
}
]
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.
Loading…
Loading…