Risque

Exécution de code arbitraire.

Systèmes affectés

Microsoft Exchange 5.5.

Résumé

Un utilisateur mal intentionné peut, via la fonction OWA, manipuler la boîte aux lettres d'un utilisateur.

Description

Exchange 5.5 offre une particularité (Outlook Web Access -OWA- ) permettant à des utilisateurs connus d'accèder à leurs méls par l'intermédiaire d'un navigateur classique. OWA se comporte comme un serveur Web et autorise les utilisateurs à lire ou expédier du courrier sans passer par un logiciel de messagerie.

Une vulnérablité présente dans OWA permet, lors de la lecture d'un message au format « HTML », d'exécuter automatiquement des scripts. Ainsi, si un utilisateur mal intentionné expédie un message de ce type à un destinataire utilisant la fonction OWA, le ou les scripts seront exécutés lors de la lecture. Ces scripts peuvent agir sur les méls présents et les modifier, les supprimer, etc.

Contournement provisoire

Si cette fonction n'est pas utilisée par vos utilisateurs, il est recommandé de la désactiver.

Solution

Télécharger le correctif sur le site Microsoft :

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=34402

Documentation

Bulletin Microsoft :

http://www.microsoft.com/technet/security/bulletin/MS01-057.asp