Vigi@lance : MS Excel : exécution de code à distance via .xlsx
août 2008 par Vigil@nce
SYNTHÈSE
Un attaquant local peut utiliser les fichiers Excel au format
.xlsx pour accéder a des informations confidentielles.
Gravité : 3/4
Conséquences : lecture de données
Provenance : document
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 13/08/2008
Référence : VIGILANCE-VUL-8020
PRODUITS CONCERNÉS
– Microsoft Excel [versions confidentielles]
DESCRIPTION
L’extension .xslx correspond au nouveau format utilisé par Excel
2007, c’est un fichier au format Open XML.
Ces fichiers ont la capacité de récupérer des informations sur
d’autres machines que celle ou le fichier est ouvert.
Il est possible d’utiliser un fichier de ce type pour accéder aux
ressources sécurisées, même si le fichier est configuré pour ne
pas sauvegarder les certificats.
Un attaquant local peut donc utiliser les fichiers .xlsx pour
accéder a des informations confidentielles.
CARACTÉRISTIQUES
Références : 954066, CVE-2008-3003, MS08-043, VIGILANCE-VUL-8020