Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : Compromission à distance d’un système Windows utilisant Microsoft Office via un objet COM malveillant (MS10-036)

juin 2010 par CERT-XMCO

* Microsoft Security Bulletin MS10-036 - Important - Vulnerability in COM Validation in Microsoft Office Could Allow Remote Code Execution (KB983235)

 Date : 09 Juin 2010

 Plateforme : Windows

 Programme : Microsoft Office

 Gravité : Elevée

 Exploitation : Avec une page web malicieuse

 Dommages :
Accès au système
Déni de service

 Description :
Microsoft vient de corriger une vulnérabilité au sein de la suite bureautique Microsoft Office. L’exploitation de celle-ci permettait à un attaquant de compromettre un système.

La vulnérabilité en question provenait plus précisément d’un problème de validation lors de l’instanciation d’un objet COM. En incitant un utilisateur à ouvrir un fichier Office spécialement conçu, un attaquant était en mesure d’exécuter du code malveillant avec les privilèges de la victime, et ainsi en prendre le contrôle.

Note : L’application du correctif peut nécessiter un redémarrage.

Note 2 : Ce correctif remplace les bulletins suivants : MS08-055 (Office 2003 SP3 et Office 2007 SP1/SP2), MS10-017 (Excel 2003 SP3 et 2007 SP1/SP2), MS10-004 (PowerPoint 2003 SP3), MS10-023 (Publisher 2003 SP3/Publisher 2007 SP1/SP2) MS10-028 (Visio 2003 SP3 et Visio 2007 SP1/SP2), MS09-068 (Word 2003 SP3), MS09-017 (PowerPoint 2007 SP1/SP2) et MS09-027 (Word 2007 SP1/SP2).

 Vulnérable :
* Microsoft Office XP SP3
* Microsoft Office Excel 2003 SP3
* Microsoft Office PowerPoint 2003 SP3
* Microsoft Office Publisher 2003
* Microsoft Office Visio 2003 SP3
* Microsoft Office Word 2003 SP3
* Microsoft Office System 2007 SP1 et SP2
* Microsoft Office Excel 2007 SP1 et SP2
* Microsoft Office PowerPoint 2007 SP1 et SP2
* Microsoft Office Publisher 2007 SP1 et SP2
* Microsoft Office Visio 2007 SP1 et SP2
* Microsoft Office Word 2007 SP1 et SP2

 Non Vulnérable :

Microsoft Office 2010 (éditions 32 bits et éditions 64 bits)

Microsoft Office 2004 pour Mac

Microsoft Office 2008 pour Mac

Convertisseur de formats de fichier Open XML pour Mac

Microsoft Office Excel Viewer SP1 et SP2

Microsoft Office Word Viewer

PowerPoint Viewer 2007 SP1 et SP2

Microsoft Office Visio Viewer 2007 SP1 et SP2

Pack de compatibilité Office pour les formats de fichier Word, Excel et

PowerPoint 2007 SP1 et SP2

Pack de conversion Office

Microsoft Office OneNote 2007 SP1 et SP2

 Référence :

[EN] http://www.microsoft.com/technet/security/bulletin/ms10-036.mspx

[FR] http://www.microsoft.com/france/technet/security/bulletin/ms10-036.mspx

 Référence CVE :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1263

 Correction :

Nous vous recommandons d’appliquer les correctifs disponibles sur le site de l’éditeur :

* Microsoft Office XP SP3 :

http://www.microsoft.com/downloads/details.aspx?familyid=80fdd134-2a86-4115-aea1-841f19af92e3

* Microsoft Office Excel 2003 SP3 (KB982133) :

http://www.microsoft.com/downloads/details.aspx?familyid=757b5d8f-ade5-4896-b152-43f76516bcf1

* Microsoft Office PowerPoint 2003 SP3 (KB982157) :

http://www.microsoft.com/downloads/details.aspx?familyid=6b6204c1-559f-45a5-8f6c-a1e216192efc

* Microsoft Office Publisher 2003 SP3 (KB982122) :

http://www.microsoft.com/downloads/details.aspx?familyid=87bac893-81ec-4ede-aca1-a9aa48b92cd4

* Microsoft Office Visio 2003 SP3 (KB982126) :

http://www.microsoft.com/downloads/details.aspx?familyid=1595ada3-bb4f-40f6-8137-23eba918bc8a

* Microsoft Office Word 2003 SP3 (KB982134) :

http://www.microsoft.com/downloads/details.aspx?familyid=d2c40eb5-1149-4466-840c-84f406f64245

* Microsoft Office System 2007 SP1 et SP2 (KB982312) :

http://www.microsoft.com/downloads/details.aspx?familyid=6deb4fb0-cbfc-40df-8f62-35fa1db0e167

* Microsoft Office Excel 2007 SP1 et SP2 (KB982308) :

http://www.microsoft.com/downloads/details.aspx?familyid=1b2599f0-1e5d-463c-b100-6c6a1b17b2ec

* Microsoft Office PowerPoint 2007 SP1 et SP2 (KB982158) :

http://www.microsoft.com/downloads/details.aspx?familyid=decb834d-3958-45cc-a5ae-4283adb2462a

* Microsoft Office Publisher 2007 SP1 et SP2 (KB982124) :

http://www.microsoft.com/downloads/details.aspx?familyid=6a74b986-1e99-4aa1-828f-757a36896f65

* Microsoft Office Visio 2007 SP1 et SP2 (KB982127) :

http://www.microsoft.com/downloads/details.aspx?familyid=d5df052e-1f38-4308-bcca-296cff22729b

* Microsoft Office Word 2007 SP1 et SP2 (KB982135) :

http://www.microsoft.com/downloads/details.aspx?familyid=7e9708f0-8cd6-4f0b-8585-bccc54fa2755

 Lien extranet XMCO Partners :

http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0712


Voir les articles précédents

    

Voir les articles suivants