Vigil@nce : MS Excel, exécution de code à distance via enregistrement
août 2008 par Vigil@nce
SYNTHÈSE
Un attaquant peut créer un fichier illégitime dans le but
d’exécuter du code.
Gravité : 3/4
Conséquences : accès/droits privilégié
Provenance : document
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 13/08/2008
Référence : VIGILANCE-VUL-8019
PRODUITS CONCERNÉS
– Microsoft Excel [versions confidentielles]
– Microsoft Office SharePoint Server [versions confidentielles]
– Microsoft Word [versions confidentielles]
DESCRIPTION
A l’ouverture d’un fichier xls, MS Excel charge le contenu du
document sans vérification spécifique sur le fichier.
Un fichier contenant un enregistrement illégitime peut permettre
d’exécuter du code.
Un attaquant peut donc créer un fichier Excel illégitime, le
transmettre à la victime, et si cette dernière l’ouvre, du code
pourra être exécuté sur sa machine.
CARACTÉRISTIQUES
Références : 954066, CVE-2008-3006, MS08-043, VIGILANCE-VUL-8019