Vigil@nce : MS Excel, exécution de code à distance via "Index Array"
août 2008 par Vigil@nce
SYNTHÈSE
Un attaquant peut créer un fichier Excel illégitime, dans le but
d’exécuter du code sur la machine de la victime.
Gravité : 3/4
Conséquences : accès/droits privilégié
Provenance : document
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 13/08/2008
Référence : VIGILANCE-VUL-8016
PRODUITS CONCERNÉS
– Microsoft Excel [versions confidentielles]
DESCRIPTION
A l’ouverture d’un fichier xls, MS Excel charge le contenu du
document sans vérification spécifique sur le fichier.
Un fichier contenant une valeur de champ index illégitime peut
permettre d’exécuter du code.
Un attaquant peut donc créer un fichier Excel illégitime, le
transmettre à la victime, et si cette dernière l’ouvre, du code
pourra être exécuté sur sa machine.
CARACTÉRISTIQUES
Références : 954066, CVE-2008-3005, MS08-043, VIGILANCE-VUL-8016