CERT-XMCO : Compromission à distance d’un système Windows utilisant Microsoft Office via un objet COM malveillant (MS10-036)
juin 2010 par CERT-XMCO
* Microsoft Security Bulletin MS10-036 - Important - Vulnerability in COM Validation in Microsoft Office Could Allow Remote Code Execution (KB983235)
– Date : 09 Juin 2010
– Plateforme : Windows
– Programme : Microsoft Office
– Gravité : Elevée
– Exploitation : Avec une page web malicieuse
– Dommages :
Accès au système
Déni de service
– Description :
Microsoft vient de corriger une vulnérabilité au sein de la suite bureautique Microsoft Office. L’exploitation de celle-ci permettait à un attaquant de compromettre un système.
La vulnérabilité en question provenait plus précisément d’un problème de validation lors de l’instanciation d’un objet COM. En incitant un utilisateur à ouvrir un fichier Office spécialement conçu, un attaquant était en mesure d’exécuter du code malveillant avec les privilèges de la victime, et ainsi en prendre le contrôle.
Note : L’application du correctif peut nécessiter un redémarrage.
Note 2 : Ce correctif remplace les bulletins suivants : MS08-055 (Office 2003 SP3 et Office 2007 SP1/SP2), MS10-017 (Excel 2003 SP3 et 2007 SP1/SP2), MS10-004 (PowerPoint 2003 SP3), MS10-023 (Publisher 2003 SP3/Publisher 2007 SP1/SP2) MS10-028 (Visio 2003 SP3 et Visio 2007 SP1/SP2), MS09-068 (Word 2003 SP3), MS09-017 (PowerPoint 2007 SP1/SP2) et MS09-027 (Word 2007 SP1/SP2).
– Vulnérable :
* Microsoft Office XP SP3
* Microsoft Office Excel 2003 SP3
* Microsoft Office PowerPoint 2003 SP3
* Microsoft Office Publisher 2003
* Microsoft Office Visio 2003 SP3
* Microsoft Office Word 2003 SP3
* Microsoft Office System 2007 SP1 et SP2
* Microsoft Office Excel 2007 SP1 et SP2
* Microsoft Office PowerPoint 2007 SP1 et SP2
* Microsoft Office Publisher 2007 SP1 et SP2
* Microsoft Office Visio 2007 SP1 et SP2
* Microsoft Office Word 2007 SP1 et SP2
– Non Vulnérable :
Microsoft Office 2010 (éditions 32 bits et éditions 64 bits)
Microsoft Office 2004 pour Mac
Microsoft Office 2008 pour Mac
Convertisseur de formats de fichier Open XML pour Mac
Microsoft Office Excel Viewer SP1 et SP2
Microsoft Office Word Viewer
PowerPoint Viewer 2007 SP1 et SP2
Microsoft Office Visio Viewer 2007 SP1 et SP2
Pack de compatibilité Office pour les formats de fichier Word, Excel et
PowerPoint 2007 SP1 et SP2
Pack de conversion Office
Microsoft Office OneNote 2007 SP1 et SP2
– Référence :
[EN] http://www.microsoft.com/technet/security/bulletin/ms10-036.mspx
[FR] http://www.microsoft.com/france/technet/security/bulletin/ms10-036.mspx
– Référence CVE :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1263
– Correction :
Nous vous recommandons d’appliquer les correctifs disponibles sur le site de l’éditeur :
* Microsoft Office XP SP3 :
http://www.microsoft.com/downloads/details.aspx?familyid=80fdd134-2a86-4115-aea1-841f19af92e3
* Microsoft Office Excel 2003 SP3 (KB982133) :
http://www.microsoft.com/downloads/details.aspx?familyid=757b5d8f-ade5-4896-b152-43f76516bcf1
* Microsoft Office PowerPoint 2003 SP3 (KB982157) :
http://www.microsoft.com/downloads/details.aspx?familyid=6b6204c1-559f-45a5-8f6c-a1e216192efc
* Microsoft Office Publisher 2003 SP3 (KB982122) :
http://www.microsoft.com/downloads/details.aspx?familyid=87bac893-81ec-4ede-aca1-a9aa48b92cd4
* Microsoft Office Visio 2003 SP3 (KB982126) :
http://www.microsoft.com/downloads/details.aspx?familyid=1595ada3-bb4f-40f6-8137-23eba918bc8a
* Microsoft Office Word 2003 SP3 (KB982134) :
http://www.microsoft.com/downloads/details.aspx?familyid=d2c40eb5-1149-4466-840c-84f406f64245
* Microsoft Office System 2007 SP1 et SP2 (KB982312) :
http://www.microsoft.com/downloads/details.aspx?familyid=6deb4fb0-cbfc-40df-8f62-35fa1db0e167
* Microsoft Office Excel 2007 SP1 et SP2 (KB982308) :
http://www.microsoft.com/downloads/details.aspx?familyid=1b2599f0-1e5d-463c-b100-6c6a1b17b2ec
* Microsoft Office PowerPoint 2007 SP1 et SP2 (KB982158) :
http://www.microsoft.com/downloads/details.aspx?familyid=decb834d-3958-45cc-a5ae-4283adb2462a
* Microsoft Office Publisher 2007 SP1 et SP2 (KB982124) :
http://www.microsoft.com/downloads/details.aspx?familyid=6a74b986-1e99-4aa1-828f-757a36896f65
* Microsoft Office Visio 2007 SP1 et SP2 (KB982127) :
http://www.microsoft.com/downloads/details.aspx?familyid=d5df052e-1f38-4308-bcca-296cff22729b
* Microsoft Office Word 2007 SP1 et SP2 (KB982135) :
http://www.microsoft.com/downloads/details.aspx?familyid=7e9708f0-8cd6-4f0b-8585-bccc54fa2755
– Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0712