L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Outlook, Exchange : exécution de code avec TNEF

Synthèse de la vulnérabilité 

Un attaquant peut envoyer un email au format TNEF pour faire exécuter du code sur la machine de l'utilisateur l'ouvrant avec Outlook, ou sur un serveur Exchange.
Logiciels impactés : Exchange, Office, Outlook.
Gravité de cette vulnérabilité informatique : 4/4.
Date de création : 11/01/2006.
Références de cette annonce : BID-16197, CERTA-2006-AVI-018, CVE-2006-0002, MS06-003, VIGILANCE-VUL-5506, VU#252146.

Description de la vulnérabilité 

Le format "Transport Neutral Encapsulation Format" (TNEF) peut être utilisé par la messagerie Outlook afin de transmettre des objets non standard (boutons de vote, etc.) à un destinataire. Un email au format TNEF contient la version texte du message, ainsi qu'un attachement binaire contenant les différents objets associés.

Microsoft a annoncé qu'un message au format TNEF peut conduire à l'exécution de code sur Outlook ou sur Exchange.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette annonce sécurité concerne les logiciels ou systèmes comme Exchange, Office, Outlook.

Notre équipe Vigil@nce a déterminé que la gravité de cet avis de vulnérabilité est critique.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Un attaquant avec un niveau de compétence expert peut exploiter ce bulletin de faille.

Solutions pour cette menace 

Outlook, Exchange : patch pour TNEF.
Un patch est disponible :
Microsoft Office 2000 Service Pack 3
  Microsoft Outlook 2000
    http://www.microsoft.com/downloads/details.aspx?FamilyId=64D0336D-F962-4AB1-A724-9F6BA2108CB9
  Microsoft Office 2000 MultiLanguage Packs
    http://www.microsoft.com/downloads/details.aspx?FamilyId=2C0FA7C7-91AA-49B4-9731-9E83E3E0823D
  Microsoft Outlook 2000 English MultiLanguage Packs
    http://www.microsoft.com/downloads/details.aspx?FamilyId=2C0FA7C7-91AA-49B4-9731-9E83E3E0823D
Microsoft Office XP Service Pack 3
  Microsoft Outlook 2002
    http://www.microsoft.com/downloads/details.aspx?FamilyId=9A85CEBB-0D9A-465D-A4BC-AF501562772D
  Microsoft Office XP Multilingual User Interface Packs
    http://www.microsoft.com/downloads/details.aspx?FamilyId=CCA9399A-6DA3-4163-8398-C58DC328182B
Microsoft Office 2003 Service Pack 1 and Service Pack 2
  Microsoft Outlook 2003
    http://www.microsoft.com/downloads/details.aspx?FamilyId=1D156043-B041-4305-8442-3C4E3B832788
  Microsoft Office 2003 Multilingual User Interface Packs
    http://www.microsoft.com/downloads/details.aspx?FamilyId=D69554AD-196F-4789-91E5-B2A753EED854
  Microsoft Office 2003 Language Interface Packs
    http://www.microsoft.com/downloads/details.aspx?FamilyID=db080de8-8193-4c32-9019-9980ecd6874a
Microsoft Exchange Server
  Microsoft Exchange Server 5.0 Service Pack 2
    http://www.microsoft.com/downloads/details.aspx?FamilyId=0A8DF1C3-ABF9-4A21-9B49-81FA362B251F
  Microsoft Exchange Server 5.5 Service Pack 4
    http://www.microsoft.com/downloads/details.aspx?FamilyId=EC6BD30E-12DE-4CA1-9432-D2E73AF62427
  Microsoft Exchange 2000 SP3 + Update Rollup August 2004
    http://www.microsoft.com/downloads/details.aspx?FamilyId=372FF07F-C3CA-4301-8559-9B90344EDC02
Une contre-mesure pour Exchange consiste à bloquer Winmail.dat et le type MIME ms-tnef. Les détails sont décrits dans l'annonce Microsoft.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit des annonces de vulnérabilités de réseaux. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique.