XGEN : Le traitement incorrect des pièces jointes dans Outlook Web Access pour Exchange Server 5.5 peut entraîner l'exécution d'un script

Traductions disponibles Traductions disponibles
Numéro d'article: 301361 - Voir les produits auxquels s'applique cet article
Ancien nº de publication de cet article : F301361
Cet article a été archivé. Il est proposé « en l'état » et ne sera plus mis à jour.
Pour plus d'informations sur un problème analogue se produisant dans Exchange 2000 Server, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
299535 XGEN : Le traitement incorrect des pièces jointes dans Outlook Web Access pour Exchange Server 2000 peut entraîner l'exécution d'un script
Agrandir tout | Réduire tout

Symptômes

Microsoft Outlook Web Access (OWA) est un service Exchange Server 5.5 et Exchange 2000 Server qui permet d'accéder à une boîte aux lettres Exchange à l'aide d'un navigateur Web. Cependant, un problème de sécurité existe au niveau de l'interaction entre OWA et Microsoft Internet Explorer pour ce qui concerne les pièces jointes des messages. Si une pièce jointe contient un code HTML (Hypertext Markup Language) incluant un script, ce script est exécuté lorsque l'utilisateur ouvre la pièce jointe, quel que soit le type de la pièce jointe. Étant donné que OWA nécessite l'activation des scripts dans la zone où se trouve le serveur OWA, ce script peut agir contre la boîte aux lettres Exchange de l'utilisateur.

Une attaque peut tirer profit de cette faille et créer une pièce jointe contenant un script nuisible. Cette pièce jointe peut ensuite être envoyée dans un message à un utilisateur. Si cet utilisateur ouvre la pièce jointe dans OWA, le script s'exécute et peut agir sur sa boîte aux lettes comme si le script était l'utilisateur, ces actions pouvant, dans certains cas, entraîner la modification de messages ou de dossiers.

Voici quelques facteurs limitatifs :
  • La faille de sécurité ne peut être exploitée que si le destinataire utilise OWA conjointement à Internet Explorer.
  • La sécurité ne peut être mise en danger que par les pièces jointes reçues avec OWA. En général, un attaquant ne dispose d'aucun moyen de savoir si un utilisateur ouvrira une pièce jointe à l'aide de Microsoft OWA au lieu de Microsoft Outlook.
  • Pour qu'un attaquant puisse exploiter cette faille de sécurité, il doit inciter l'utilisateur à ouvrir une pièce jointe issue d'une source non fiable. Le meilleur moyen d'éviter ce problème est de ne pas ouvrir de pièce jointe provenant d'une source inconnue ou non fiable.

Résolution

Un correctif pris en charge est désormais disponible auprès de Microsoft, mais il est destiné uniquement à résoudre le problème décrit dans cet article et ne doit être appliqué qu'aux systèmes reconnus comme étant vulnérables. Vérifiez l'accessibilité physique de votre ordinateur, la connectivité réseau et Internet, ainsi que d'autres facteurs afin de déterminer le niveau de risque auquel est soumis votre ordinateur. Consultez le bulletin de sécurité Microsoft associé pour vous aider à effectuer cette évaluation. Ce correctif pourra être soumis à des tests ultérieurs afin d'assurer la qualité du produit. Si votre ordinateur est réellement exposé, Microsoft vous recommande d'utiliser ce correctif dès à présent. Sinon, attendez le prochain Service Pack pour Microsoft Exchange Server 5.5 qui le contiendra.

Pour résoudre ce problème dès à présent, téléchargez ce correctif en suivant les instructions ci-dessous ou procurez-vous le correctif auprès des services de Support technique Microsoft. Pour obtenir une liste complète des services de Support technique Microsoft et leur numéro de téléphone, ainsi que des informations relatives aux frais de support technique, veuillez consulter le site Web de Microsoft à l'adresse suivante :

http://support.microsoft.com/directory/overview.asp
REMARQUE : dans certains cas, les frais généralement encourus en faisant appel au support technique peuvent être annulés si un technicien du Support technique Microsoft détermine qu'une mise à jour spécifique peut résoudre votre problème. Les tarifs normaux s'appliquent à toute question de support supplémentaire, ainsi qu'aux problèmes qui ne relèvent pas de la mise à jour spécifique en question.

Vous pouvez télécharger les fichiers suivants à partir du Centre de téléchargement Microsoft :
Réduire cette imageAgrandir cette image

Téléchargement
Télécharger Q301361i386.exe maintenant
Date de publication : 8 juin 2001

Pour plus d'informations sur le téléchargement des fichiers du Support technique Microsoft, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
119591 Procédures pour obtenir des fichiers de support technique Microsoft auprès des services en ligne
Microsoft a utilisé les logiciels de détection de virus les plus récents disponibles à la date de publication pour détecter la présence de virus dans ce fichier. Une fois publié, le fichier est conservé sur des serveurs sécurisés, empêchant toute modification non autorisée du fichier.

La version anglaise de ce correctif doit avoir les attributs de fichier suivants ou ceux d'une version ultérieure :

Composant : OWA

Réduire ce tableauAgrandir ce tableau
Nom de fichier Version
Read.asp na

REMARQUES
  • Ce correctif nécessite Microsoft Exchange Server version 5.5 Service Pack 4 en raison de dépendances de fichiers.
  • Vous devez appliquer ce correctif à tous les serveurs exécutant des composants OWA. Avec Exchange Server 5.5, vous pouvez installer les composants OWA sur un ordinateur séparé de Exchange Server. Si vous installez OWA séparément, vous devez exécuter ce correctif sur cet ordinateur.
  • Parfois, après avoir appliqué ce correctif, les utilisateurs peuvent recevoir une fenêtre vide lorsqu'ils ouvrent leurs messages à l'aide de OWA. Si c'est le cas, consultez l'article suivant dans la Base de connaissances Microsoft :
    314532 XWEB : Résolution des problèmes de corps de message vide dans Outlook Web

Statut

Microsoft a confirmé que ce problème pouvait constituer un certain risque pour la sécurité dans Microsoft Exchange Server 5.5.

Plus d'informations

Pour plus d'informations sur ce problème de sécurité, consultez le site Web de Microsoft à l'adresse suivante :
http://www.microsoft.com/technet/security/bulletin/MS01-030.asp

Propriétés

Numéro d'article: 301361 - Dernière mise à jour: lundi 3 février 2014 - Version: 3.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Exchange Server 5.5 Standard Edition
  • Microsoft Exchange Server 5.5 Service Pack 1
  • Microsoft Exchange Server 5.5 Service Pack 2
  • Microsoft Exchange Server 5.5 Service Pack 3
  • Microsoft Exchange Server 5.5 Service Pack 4
Mots-clés : 
kbnosurvey kbarchive kbbug kbexchange550presp5fix kbfix KB301361
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com