[gull] Programme malveillant
Marc SCHAEFER
schaefer at alphanet.ch
Wed Feb 1 17:11:37 CET 2006
On Wed, Feb 01, 2006 at 04:58:15PM +0100, Julien Escario wrote:
> >More details at:
> > http://www.alphanet.ch/alphanet/anti-spam.html
>
> Hmmm, Marc : c'est mal ce genre de message non ?
> Que contient le fichier winmail.dat ?
De mémoire, c'est une petite base de données au format TNEF (défini par
Microsoft: Transport Neutral Encapsulation Format), que l'utilitaire
tnef (package du même nom sur Debian) peut désarchiver (par
reverse-engineering à ma connaissance).
Cette base de données contient à peu près les mêmes informations que
l'on peut retrouver dans l'entête standard RFC-822, avec en plus des
informations de contexte pour Microsoft Exchange. Pourquoi ne les
mettent-ils pas simplement dans des entêtes X-*, je ne le sais pas.
Parfois il y a carrément des fichiers attachés dedans: Microsoft
Exchange est apparemment paramétrisable et son comportement change de
cas en cas.
Plusieurs attaques de sécurité ont déjà été faites contre ce format, y
compris contre l'utilitaire tnef lui-même.
Que le Webmail de la HE-ARC envoie-t-il ce genre de machins en
dehors de l'Ecole me sidère :)
Ma configuration standard est de crier bien fort quand je vois du TNEF,
de manière à inciter les administrateurs à déconfigurer ce truc obscur,
propriétaire, et inutile.
More information about the gull
mailing list