Actu
CERT-XMCO : correction de plusieurs vulnérabilités au sein de Microsoft Office PowerPoint (MS10-088)
novembre 2010 par CERT-XMCO
- Date : 10 Novembre 2010
- Plateformes :
* Windows
* Mac OS X
- Programme : Microsoft PowerPoint
- Gravité : Elevée
- Exploitation : Avec un fichier malicieux
- Dommage : Accès au système
- Description :
Microsoft vient de corriger plusieurs vulnérabilités au sein de la suite de bureautique Office. L’exploitation de celles-ci permettait à un attaquant de compromettre un système.
Les vulnérabilités en question provenaient plus précisément de Microsoft Office PowerPoint.
La première vulnérabilité, référencée CVE-2010-2572, provenait d’un manque de validation des entrées permettant de provoquer un débordement de pile lors du traitement de fichiers PowerPoint 95. En incitant un utilisateur à ouvrir un fichier PowerPoint spécialement conçu, un attaquant était en mesure d’exécuter du code malveillant et prendre le contrôle de la machine de la victime.
La seconde faille de sécurité, référencée CVE-2010-2573, était due à un manque de validation des entrées permettant également de provoquer un débordement de tampon sur le tas lors du traitement de fichier PowerPoint malformé. En incitant un utilisateur à ouvrir un fichier PowerPoint spécialement conçu, un attaquant était en mesure d’exécuter du code malveillant et prendre le contrôle de la machine de la victime.
Note : ce bulletin remplace le correctif MS10-004 pour le composant Microsoft Office XP SP3, MS10-046 pour le composant Microsoft Office 2003 SP3 et MS09-017 pour le composant Microsoft PowerPoint Viewer SP2.
- Vulnérable :
* Microsoft Office XP SP3
* Microsoft Office 2003 SP3
* Microsoft Office 2004 pour Mac
* Microsoft PowerPoint Viewer 2007 SP2
- Non Vulnérable :
* Microsoft PowerPoint 2007 Service Pack 2
* Microsoft PowerPoint 2010 (Editions 32-bits et 64-bits)
* Microsoft Office 2008 pour Mac
* Microsoft Office 2011 pour Mac
* Open XML File Format Converter pour Mac
* Pack de compatibilité Office pour les formats de fichier Word, Excel et PowerPoint 2007 SP2
* Microsoft PowerPoint Viewer
* Microsoft Works 9
- Référence :
[EN] http://www.microsoft.com/technet/security/bulletin/ms10-088.mspx
[FR] http://www.microsoft.com/france/technet/security/bulletin/ms10-088.mspx
- Référence CVE :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2572
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2573
- Correction :
Le CERT-XMCO recommande d’appliquer les correctifs disponibles sur le site de l’éditeur :
* Microsoft Office XP Service Pack 3 :
http://www.microsoft.com/downloads/details.aspx?familyid=3efbf9f6-734a-46ac-8f92-87b6ec819bfa
* Microsoft Office 2003 Service Pack 3 :
http://www.microsoft.com/downloads/details.aspx?familyid=108286d4-fb68-40d6-a7b1-64b3a4eb87ee
* Microsoft Office 2004 pour Mac :
Mise à jour de sécurité non disponible pour le moment.
* Microsoft PowerPoint Viewer 2007 Service Pack 2 :
Mise à jour de sécurité non disponible pour le moment.
- Lien extranet XMCO Partners :
