Juha-Matti Laurio a découvert une vulnérabilité dans Outlook Express 6, permettant de dévoiler l'adresse email cachée du champs "BCC:" à d'autres destinataires. Cette faille de sécurité est due à une erreur lors de l'envoi d'un message email à plusieurs destinataires. Son exploitation permet aux destinataires des champs "To:" et "CC:" de voir l'adresse email présente dans le champ "BCC:".

Dans Outlook Express, il faudra alors ouvrir le message email avec un éditeur de texte tandis que sous Lotus Notes, l'email de destination du champ "BCC:" s'affiche directement dans le corps du message sans avoir à l'ouvrir à l'aide d'un éditeur tiers.

Pour utiliser la vulnérabilité, il suffit que la personne envoyant l'email ait configuré Outlook Express afin de couper les messages supérieurs à une taille donnée (une option d'Outlook Express qui n'est pas configurée par défaut).

Un hotfix peut être obtenu en contactant Microsoft (même s'il est conseiller d'attendre le prochain service pack d'Internet Explorer qui contiendra également le patche pour Outlook Express) :
http://support.microsoft.com/default.aspx?scid=fh;[LN];CNTACTMS

Source : ECHU.ORG

Voir les posts : Par défaut Tous Les bonnes notes Les notes insuffisantes