HSC : Multiples vulnérabilités dans la suite Office et Works
février 2008 par HSC
Date : 13-02-2008
Criticité HSC : 3/5 - moyenne
Avis public : Oui
Exploitation : Disponible et publique
Résumé : Plusieurs vulnérabilités ont été découvertes dans la suite Office
et dans le logiciel Works, l’exploitation de ces vulnérabilités pourrait
permettre l’exécution de code sur le poste utilisateur.
Source : Microsoft
Objet : Microsoft Office, Microsoft Works
Description :
La première vulnérabilité (CVE-2008-0102 et CVE-2008-0104) touche le
logiciel Microsoft Publisher. L’ouverture d’un fichier spécifique
(extension .pub) pourrait permettre l’exécution de code sous l’identité
de la victime. Cette vulnérabilité touche Microsoft Publisher 2000
Service Pack 3, 2002 SP3, 2003 SP2. L’avis est référencé par
l’identifiant MS08-012.
La deuxième vulnérabilité (CVE-2008-0103) touche l’ensemble de la suite
Office. L’ouverture d’un fichier Office (Word, Excel, Viso...)
spécialement conçu permettrait également l’exécution de code sous
l’identité de l’utilisateur. La vulnérabilité référencée MS08-013 touche
les logiciels suivants :
– Microsoft Office 2000 Service Pack 3
– Microsoft Office XP Service Pack 3
– Microsoft Office 2003 Service Pack 2
– Microsoft Office 2003 pour MAC
Mais pas les versions suivantes :
– Microsoft Office 2003 Service Pack 3
– Microsoft Excel Viewer 2003
– Microsoft PowerPoint 2003 Viewer
– Microsoft Visio 2003 Viewer
– Microsoft Word Viewer 2003
– Microsoft Office 2007 System
– Microsoft Office 2007 System Service Pack 1
– Microsoft Office 2008 pour Mac
La dernière vulnérabilité (CVE-2007-0216, CVE-2007-0105, CVE-2007-0108)
touche Microsoft Works File Converter dans la gestion des entêtes des
fichiers wps. Un attaquant pourrait exécuter du code sur le poste de la
victime si celle-ci ouvre un fichier spécialement conçu. Un exploit est
déjà disponible pour cette vulnérabilité. Cette vulnérabilité est
référencée par l’avis MS08-011.
Références :
http://www.microsoft.com/technet/security/Bulletin/MS08-011.mspx
http://www.microsoft.com/technet/security/Bulletin/MS08-012.mspx
http://www.microsoft.com/technet/security/Bulletin/MS08-013.mspx