CERTA-2003-AVI-080
Vulnerability from certfr_avis
Une vulnérabilité présente dans le client de messagerie Outlook Express permet d'exécuter des scripts sur le poste de l'utilisateur.
Description
MHTML (MIME Encapsulation of Aggregate HTML) permet l'envoi de documents HTML dans des messages électroniques. Sur la plate-forme Windows, le traitement d'un lien hypertexte (url) MHTML est réalisé par Outlook Express.
Un utilisateur mal intentionné peut, au moyen d'un message électronique ou d'une page HTML habilement constitué, exploiter la vulnérabilité présente dans le traitement des urls MHTML pour réaliser l'exécution d'un script sur le poste de l'utilisateur employant une version vulnérable d'Outlook Express.
Solution
Appliquer le correctif de l'éditeur (cf. section Documentation).
NoneImpacted products
References
| Title | Publication Time | Tags | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
|
|||||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Microsoft Outlook Express 6.0.",
"product": {
"name": "N/A",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
},
{
"description": "Microsoft Outlook Express 5.5 ;",
"product": {
"name": "N/A",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Description\n\nMHTML (MIME Encapsulation of Aggregate HTML) permet l\u0027envoi de documents\nHTML dans des messages \u00e9lectroniques. Sur la plate-forme Windows, le\ntraitement d\u0027un lien hypertexte (url) MHTML est r\u00e9alis\u00e9 par Outlook\nExpress.\n\n \nUn utilisateur mal intentionn\u00e9 peut, au moyen d\u0027un message \u00e9lectronique\nou d\u0027une page HTML habilement constitu\u00e9, exploiter la vuln\u00e9rabilit\u00e9\npr\u00e9sente dans le traitement des urls MHTML pour r\u00e9aliser l\u0027ex\u00e9cution\nd\u0027un script sur le poste de l\u0027utilisateur employant une version\nvuln\u00e9rable d\u0027Outlook Express.\n\n## Solution\n\nAppliquer le correctif de l\u0027\u00e9diteur (cf. section Documentation).\n",
"cves": [],
"initial_release_date": "2003-04-28T00:00:00",
"last_revision_date": "2003-04-28T00:00:00",
"links": [
{
"title": "R\u00e9f\u00e9rence CVE CAN-2002-0980 :",
"url": "http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0980"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 MS03-14 de Microsoft :",
"url": "http://www.microsoft.com/technet/security/bulletin/MS03-014.mspx"
}
],
"reference": "CERTA-2003-AVI-080",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2003-04-28T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de scripts \u00e0 distance"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 pr\u00e9sente dans le client de messagerie Outlook Express\npermet d\u0027ex\u00e9cuter des scripts sur le poste de l\u0027utilisateur.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans Microsoft Outlook Express",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 MS03-014 de Microsoft",
"url": null
}
]
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
- Confirmed: The vulnerability is confirmed from an analyst perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
- Patched: This vulnerability was successfully patched by the user reporting the sighting.
- Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
- Not confirmed: The user expresses doubt about the veracity of the vulnerability.
- Not patched: This vulnerability was not successfully patched by the user reporting the sighting.
Loading…
Loading…