Une vulnérabilité grave a été publiée sur Microsoft outlook et
Microsoft Outlook Express.
La vulnérabilité permet d'exécuter un programme sur le poste de travail
d'un utilisateur de l'un de ces produits Microsoft… simplement en lui
envoyant un mail.
Le code se déclenche en "prévisualisant" le mail, c'est à dire sans même
avoir à l'ouvrir, ni exécuter quoi que ce soit.
En résumé, le bug est du à une erreur de programmation dans la manière de
lire l'heure dans l'en-tete du mail (sic !)
Le risque est Majeur compte tenu du grand nombre d'utilisateurs de ces
logiciels. Bien évidemment, tous les utilisateurs de Linux et/ou d'un
client de messagerie en Logiciel Libre sont à l'abri.
Le risque est d'autant plus grand que pour lutter contre les "hoaxes" c'est
à dire les fausses alertes au virus (genre "si vous recevez un mail qui dit
blah blah, ne l'ouvrez pas c'est dangereux…") la plupart des
administrateurs réseaux ont expliqué longuement à qui voulait bien les
entendre qu'il ne pouvait jamais y avoir le moindre risque à lire un mail.
C'est inexact et ce bug permet de concevoir une attaque majeure contre
l'ensemble des machines Windows+Outlook.
L'ensemble des organismes de référence en sécurité sonnent l'alerte maximum
et implorent les administrateurs de corriger le bug avant de partir en
week-end.
C'est l'occasion de faire un peu de Pub :
Avec Linux, profitez gratuitement de vos week-end, avec Microsoft, payez
pour installer les patches le vendredi soir sur tous les postes !
Mais je vous accorde que ca n'a rien de drôle.
Pour bloquer les tentatives d'attaque de ce type, des filtres existent pour
Postfix, Sendmail etc. (bloquer les mails sur détection du regexp:
/Date:.{60,}$/ )
pour les config précises, suivre le lien "credits" sur le site de Bugtraq
(securityfocus.com)
Bon week-end quand même !
NdM. : cette dépêche a été initialement publiée le 22/07/2000 à 01h58, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).
Aller plus loin
- Le patch sur le site MS (0 clic)
- Explications sur Bugtraq (0 clic)
- news précédente (1 clic)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.