Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERTA : Vulnérabilité dans Excel

janvier 2008 par CERT-FR

1 Risque

Exécution de code arbitraire.

2 Systèmes affectés

Microsoft Office Excel dans les versions suivantes :

* 2000 ;
* 2002 ;
* 2003 SP2 ;
* 2004 pour Mac.

Microsoft Office Excel Viewer 2003.

3 Résumé

Une vulnérabilité dans plusieurs versions du tableur Excel permet une exécution
de code arbitraire.

4 Description

Une vulnérabilité, non publique mais confirmée par l’éditeur, est présente dans
plusieurs versions du tableur Excel. L’exploitation de cette vulnérabilité, au
travers d’un document spécialement conçu, permet l’exécution de code
arbitraire. Le code est exécuté avec les droits de l’utilisateur qui ouvre le
document malveillant. L’utilisateur malveillant doit inciter l’utilisateur du
logiciel vulnérable à ouvrir un document malveillant.

Cette vulnérabilité serait exploitée, à la date de rédaction de cette alerte.

Les versions suivantes d’Excel ne seraient pas vulnérables :

* 2003 SP3 ;
* 2007 ;
* 2008 pour Mac.

5 Contournement provisoire

Dans l’attente d’un correctif, plusieurs mesures permettent de réduire l’impact
de l’exploitation de cette vulnérabilité :

* utiliser une version non vulnérable ou un logiciel alternatif
(visualisateur, tableur ou suite bureautique) ;
* n’ouvrir que des documents de confiance ;
* être circonspect à l’égard des pièces jointes de courriels et des documents
téléchargés ;
* travailler avec un compte aux droits restreints (principe du moindre
privilège).

6 Documentation

* Bulletin de sécurité Microsoft 947563 du 15 janvier 2008 :

http://www.microsoft.com/technet/security/advisory/947563.mspx

* Référence CVE CVE-2008-0081 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0081


Voir les articles précédents

    

Voir les articles suivants