Origine : bjCSIRT

Numéro : 2025/ALERTE/041

Date de l’alerte : 19/05/2025

APERÇU :

Une vulnérabilité de type « out-of-bounds write » dans Microsoft Outlook permettrait à un acteur malveillant non authentifié d’exécuter du code arbitraire à distance.

DESCRIPTION :

Microsoft Outlook est un client de messagerie électronique développé par Microsoft, utilisé pour envoyer, recevoir et organiser des courriels, des calendriers, des contacts et des tâches.  

Le logiciel est affecté par une vulnérabilité libellée CVE-2025-32705. Cette vulnérabilité résulte d’une mauvaise gestion de la mémoire par Microsoft Outlook conduisant à une lecture hors limite de la mémoire. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant non authentifié d’exécuter du code arbitraire à distance sur le système cible en envoyant un fichier spécialement conçu. 

Cette vulnérabilité est classée comme élevée avec un score de sévérité de 7.8 selon le CVSS 3.1. 

IMPACT :

• Atteinte à confidentialité des données ; 
• Atteinte à l’intégrité des données ; 
• Atteinte à disponibilité des données ; 
• Exécution de code arbitraire. 

 SYSTÈMES AFFECTÉS : 

• Microsoft Office LTSC 2024 (32 bits et 64 bits) ; 
• Microsoft Office LTSC 2021 (32 bits et 64 bits) ; 
• Microsoft 365 Apps for Enterprise (32 bits et 64 bits).  

MESURES À PRENDRE :

• Appliquer les mises à jour de sécurité fournies par Microsoft via Windows Update ou le Centre de gestion des mises à jour. 

RÉFÉRENCES :

• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32705 ; 
• https://nvd.nist.gov/vuln/detail/CVE-2025-32705.