CERT-XMCO : Multiples vulnérabilités au sein de Microsoft Office Excel (MS10-038)
juin 2010 par CERT-XMCO
* Microsoft Security Bulletin MS10-038 - Important Vulnerabilities in Microsoft Office Excel Could Allow Remote Code Execution (KB2027452)
– Date : 09 Juin 2010
– Plateforme : Windows
– Programme : Microsoft Office Excel
– Gravité : Moyenne
– Exploitation : Avec un fichier malicieux
– Dommage : Accès au système
– Description :
Microsoft vient de corriger 14 vulnérabilités affectant Microsoft Office Excel. L’exploitation de celles-ci permettait à un attaquant de prendre le contrôle du système à distance.
L’ensemble des failles de sécurité est dû à des corruptions de mémoire, à l’exception de l’une d’entre elles qui est liée à la gestion des autorisations. Les failles étaient respectivement dues au traitement des enregistrements, aux dépassements de la capacité de la pile des objets, à diverses corruptions de mémoire dans le processus d’enregistrement, dans les objets RTD, HFPicture, et EDG, à la gestion de la pile des enregistrements, à la gestion des variables de chaînes, aux objets ADO, et enfin aux autorisations Office Open XML.
Note : l’application de ce correctif peut nécessiter le redémarrage du système sous certaines conditions.
Note 2 : ce bulletin remplace les correctifs MS10-017.
– Vulnérable :
* Microsoft Office XP SP3
* Microsoft Office Excel 2002 SP3
* Microsoft Office 2003 SP3
* Microsoft Office Excel 2003 SP3
* Microsoft Office System 2007 SP1 et SP2
* Microsoft Office Excel 2007 SP1 et SP2
* Microsoft Office 2004 pour Mac
* Microsoft Office 2008 pour Mac
* Convertisseur de formats de fichier Open XML pour Mac
* Microsoft Office Excel Viewer SP1 et SP2
* Pack de compatibilité Office pour les formats de fichier Word, Excel et PowerPoint 2007 SP1 et SP2
– Non Vulnérable :
* Microsoft Office Excel 2010 (éditions 32 bits)
* Microsoft Office Excel 2010 (éditions 64 bits)
* Pack de conversion de fichiers Microsoft Office
* Microsoft Works 8.5
* Microsoft Works 9
* Microsoft office SharePoint Server 2007 SP1 et SP2 (éditions 32 bits)
* Microsoft office SharePoint Server 2007 SP1 et SP2 (éditions 64 bits)
* Microsoft SharePoint Server 2010
– Référence :
[EN] http://www.microsoft.com/technet/security/bulletin/ms10-038.mspx
[FR] http://www.microsoft.com/france/technet/security/bulletin/ms10-038.mspx
– Référence CVE :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0821
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0822
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0823
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0824
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1245
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1246
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1247
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1248
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1249
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1250
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1251
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1252
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1253
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1254
– Correction :
Nous vous recommandons d’installer le correctif MS10-038 disponible sur le site de l’éditeur aux adresse suivantes :
* Microsoft Office XP Excel 2002 SP3
http://www.microsoft.com/downloads/details.aspx?familyid=fec14a92-79a1-4281-8ee2-659b2dfd283f
* Microsoft Office Excel 2003 SP3
http://www.microsoft.com/downloads/details.aspx?familyid=757b5d8f-ade5-4896-b152-43f76516bcf1
* Microsoft Office Excel 2007 SP1 et SP2
http://www.microsoft.com/downloads/details.aspx?familyid=1b2599f0-1e5d-463c-b100-6c6a1b17b2ec
* Microsoft Office 2004 pour Mac
http://www.microsoft.com/downloads/details.aspx?FamilyID=16c71ab8-9284-407a-856a-93c67995f125
* Microsoft Office 2008 pour Mac
http://www.microsoft.com/downloads/details.aspx?FamilyID=d46255bd-6470-4106-9fe2-ea67acd3f1bd
* Convertisseur de formats de fichier Open XML pour Mac
http://www.microsoft.com/downloads/details.aspx?FamilyID=b6ca7b05-cf97-43a2-95eb-7b5caf7c1528
* Microsoft Office Excel Viewer SP1 et Microsoft Office Excel Viewer SP2
http://www.microsoft.com/downloads/details.aspx?familyid=033b3bf3-7826-4064-b001-11e4dce2d91a
* Pack de compatibilité Office pour les formats de fichier Word, Excel et PowerPoint 2007 SP1 et SP2
http://www.microsoft.com/downloads/details.aspx?familyid=7f89a734-cda4-4abb-9a10-f6dfe560e8d0
– Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0721