Vigil@nce : MS Excel, exécution de code à distance via Chart AxesSet
août 2008 par Vigil@nce
SYNTHÈSE
Un attaquant peut créer un fichier Excel illégitime afin
d’exécuter du code sur la machine de la victime.
Gravité : 3/4
Conséquences : accès/droits privilégié
Provenance : document
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 13/08/2008
Référence : VIGILANCE-VUL-8014
PRODUITS CONCERNÉS
– Microsoft Excel [versions confidentielles]
DESCRIPTION
MS Excel permet de créer des graphiques avec différents paramètres
tel que "AxesSet" qui défini l’emplacement et la taille des axes
sur le schéma.
Une feuille Excel contenant une valeur "AxesSet" illégitime peut
aboutir à une exécution de code.
Un attaquant peut donc créer un fichier Excel illégitime afin
d’exécuter du code sur la machine de la victime.
CARACTÉRISTIQUES
Références : 954066, CVE-2008-3004, MS08-043, VIGILANCE-VUL-8014