Для проверки подлинности почтовых сообщений Microsoft Outlook Express
использует цифровые подписи S/MIME. Переполнение буфера обнаружено в коде, который генерирует предупреждающее сообщение, когда происходит ошибка, связанная с цифровыми подписями.
Создавая подписанное почтовое сообщения и внедряя в него определенные данные, затем посылая
его другому пользователю, атакующий может завесить почтовый клиент другого пользователя или выполнить произвольный код на системе жертвы. В первом случае для восстановления работы потребуется перезапуск Outlook Express и удаление вредоносного сообщения, во втором
переданный с письмом код будет выполнен с привилегиями текущего пользователя.
Уязвимость работает только в сообщениях, подписанных
с использованием S/MIME и посланных пользователю Outlook Express. Пользователи Microsoft Outlook не уязвимы к этой проблеме.
Уязвимость обнаружена в Outlook Express 5.0-6.0.
