Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : Compromission à distance d’un système Windows utilisant Microsoft Office Excel (MS10-017)

mars 2010 par CERT-XMCO

KB98015 : Bulletin de sécurité Microsoft MS10-015

 Date : 10 Mars 2010

 Plateforme : Windows

 Programme : Microsoft Excel

 Gravité : Elevée

 Exploitation : Avec un fichier malicieux

 Dommage : Accès au système

 Description :

Microsoft vient de corriger sept vulnérabilités affectant Microsoft Excel de la suite Office. Celles-ci permettaient à un attaquant distant de compromettre un système.

Ces failles de sécurité proviennent de la façon dont Excel traite les fichiers ".XLS".

La première vulnérabilité est due à une corruption de mémoire liée à des enregistrements dans Excel.

La seconde vulnérabilité est liée à une confusion sur le type d’objet de feuille Excel.

Les deux vulnérabilités suivantes proviennent d’un dépassement de capacité des tas des enregistrements MDXTUPLE et MDXSET.

La cinquième vulnérabilité provient d’un accès à une zone mémoire non initialisée via des enregistrements FNGROUPNAME.

La sixième vulnérabilité est liée à l’exécution de code lors du traitement des fichiers ".XLSX".

Enfin, la dernière vulnérabilité est due au traitement des enregistrements DbOrParamQry dans Excel.

Ces vulnérabilités permettaient l’exécution de code à distance lorsqu’un utilisateur ouvrait un fichier spécialement conçu. En incitant à ouvrir un fichier spécialement conçu, un pirate pouvait prendre le contrôle d’un système vulnérable.

Note : L’application de ces correctifs peut nécessiter un redémarrage avec SharePoint Server 2007, Excel 2002, Excel 2003, Excel 2007, Excel Viewer ainsi qu’avec le Pack de compatibilité Office pour les formats de fichier Word, Excel et PowerPoint 2007.

Aucun redémarrage n’est nécessaire pour Office 2004 pour Mac, Office 2008 pour Mac, Convertisseur de formats de fichier Open XML pour Mac.

Note 2 : Ce bulletin remplace les bulletins MS09-021 et MS09-067.

 Vulnérable :

* Microsoft Office XP SP 3

* Microsoft Office 2003 SP 3

* Microsoft Office System 2007 SP 1

* Microsoft Office System 2007 SP 2

* Microsoft Office 2004 pour Mac

* Microsoft Office 2008 pour Mac

* Convertisseur de formats de fichier Open XML pour Mac

* Microsoft Office Excel Viewer SP 1 et SP 2

* Pack de compatibilité Office pour les formats de fichier Word, Excel et
PowerPoint 2007 SP 1 et SP 2

* Microsoft Office SharePoint Server 2007 SP 1 et SP 2 (éditions 32 bits)

* Microsoft Office SharePoint Server 2007 SP 1 et SP 2 (éditions 64 bits)

 Non Vulnérable :

* Pack de conversion de fichiers Microsoft Office

* Microsoft Works 8.5

* Microsoft Works 9

 Référence :

[FR] http://www.microsoft.com/france/technet/security/Bulletin/MS10-017.mspx

[EN] http://www.microsoft.com/technet/security/Bulletin/MS10-017.mspx

 Référence CVE :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0257

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0258

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0260

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0261

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0262

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0263

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0264

 Correction :

Nous vous recommandons d’appliquer les correctifs disponibles sur le site de l’éditeur :

* Microsoft Office XP SP 3
http://www.microsoft.com/downloads/details.aspx?familyid=E0136F62-60CE-4EBD-8660-BE81EBA29AE8

* Microsoft Office 2003 SP 3
http://www.microsoft.com/downloads/details.aspx?familyid=7E42793E-747B-48DA-968A-1EC29EA37151

* Microsoft Office System 2007 SP 1
http://www.microsoft.com/downloads/details.aspx?familyid=03429F8A-8AAB-4A59-97E4-7CE047F100A5

* Microsoft Office System 2007 SP 2
http://www.microsoft.com/downloads/details.aspx?familyid=03429F8A-8AAB-4A59-97E4-7CE047F100A5

* Microsoft Office 2004 pour Mac
http://www.microsoft.com/downloads/details.aspx?FamilyID=ae5936f8-fe3f-4d23-a37c-d80f228e475e

* Microsoft Office 2008 pour Mac
http://www.microsoft.com/downloads/details.aspx?FamilyID=e0ed1569-ab2f-407c-b728-4eddc463c385

* Convertisseur de formats de fichier Open XML pour Mac
http://www.microsoft.com/downloads/details.aspx?FamilyID=4c5487d5-c912-4087-8c83-769e3fb78ea9

* Microsoft Office Excel Viewer SP 1 et SP 2
http://www.microsoft.com/downloads/details.aspx?familyid=010D0A4D-02A4-4142-963B-A38CD06CC897

* Pack de compatibilité Office pour les formats de fichier Word, Excel et PowerPoint 2007 SP 1 et SP 2
http://www.microsoft.com/downloads/details.aspx?familyid=314F076E-8F9D-46C2-B666-86599A02BF15

* Microsoft Office SharePoint Server 2007 SP 1 et SP 2 (éditions 32 bits)
http://www.microsoft.com/downloads/details.aspx?familyid=94DDF6EF-3392-4D77-A02B-3BC0470721CD

* Microsoft Office SharePoint Server 2007 SP 1 et SP 2 (éditions 64 bits)
http://www.microsoft.com/downloads/details.aspx?familyid=06F6BFFB-3FAD-4FB5-878B-39550812E9B5

 Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0287


Voir les articles précédents

    

Voir les articles suivants