Vulnérabilités

Affaire de famille : Quand Word contourne la sécurité d'Outlook.

Par Jerome Saiz, le 27 avril 2002 à 13:30:00.

Si Word est l'éditeur par défaut d'Outlook, un code malicieux peut s'exécuter librement, sans que la protection du client email ne puisse l'en empêcher. Il suffit pour cela de transférer ou de répondre à un email infecté, et Word devient le Juda du système.

Outlook 2000 et 2002 jouissent certes d'une meilleure protection contre les scripts malicieux que les versions précédentes, mais celle-ci peut toujours être aisément contournée si Word est de la partie. Le traitement de texte peut en effet être désigné comme éditeur par défaut pour Outlook. Si c'est le cas, chaque édition d'un courrier électronique (lors d'un forward ou d'une modification d'un email reçu) envoie ce dernier au traitement de texte, ou il est considéré comme neuf, et n'est donc plus contrôlé. S'il contient un script malicieux, ce dernier sera exécuté librement. Du simple code destructeur au ver VBS (Visual Basic Script), tout est possible, avec les mêmes privilèges que ceux de l'utilisateur actuel.
Outre le correctif proposé par Microsoft, la parade consiste à forcer Outlook à n'éditer les messages qu'au format texte simple, à l'aide d'une manipulation dans la base de registre de Windows. Cette modification permet par la suite de lire n'importe quel email malicieux.

Un virus aux allures de correctif de sécurité pour Outlook. (11 jan 2002)
La divulgation des failles de sécurité reste libre. (19 mars 2002)
WPA2 renforce (encore) la sécurité du WiFi. (06 sept 2004)
BEA s'offre CrossLogix et se tourne vers la sécurité. (17 fév 2003)
Nouvelles failles graves pour Internet Explorer et Outlook Express. (24 avril 2003)

Cartes blanches

Organisation et sécurité: en finir avec le cloisonnement ! Bruno Vincent DSI,RSSI et Métiers ont encore du mal à collaborer efficacement. Pourtant, l'organisation s'avère être, une fois de plus, la pierre angulaire d'un Système d'Information sûr et aux coûts maîtrisés.	Les RSSI du monde bancaire à l'aube d'une vague de démissions ? Monsieur RSSI Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Rififi en vue chez les identités Bruno Vincent Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.	Sécurité et contrôle dans les banques : un échec ? Monsieur RSSI Face à un constat d'échec des contrôles internes dans les banques, un RSSI propose 5 règles à adopter d'urgence.
>> Plus de Cartes Blanches

Les dossiers Les thématiques

Quel socle de connaissances pour le RSSI ?Les services managés de sécurité à l’age adulte Les botnets se mettent au Web 2.0 Antivirus : la révolution in the cloud

Gestion des Identités et des Accès Prévention des fuites de données (DLP)Virtualisation

espace partenaires

Livres Blancs

Guides

Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.