XMCO Partners : [PATCH] [MICROSOFT] Prise de contrôle d’un système via une URI "onenote ://" dans Office (MS08-055)
septembre 2008 par XMCO PARTNERS
* KB955047 : Bulletin de sécurité Microsoft MS08-055
– Date : 10 Septembre 2008
– Plateforme : Windows
– Programme : Microsoft Office
– Gravité : Elevée
– Exploitation : Avec un fichier malicieux
– Dommage : Accès au systeme
– Description :
Une vulnérabilité a été corrigée au sein de la suite bureautique Microsoft Office. Celle-ci pourrait être exploitée par un attaquant distant afin de prendre le contrôle d’un système vulnérable.
Le problème résultait d’une erreur au sein du traitement des URLs "onenote ://" au sein de documents Office. En incitant sa victime à ouvrir un document Office contenant un lien judicieusement conçu, et à cliquer sur celui-ci, un attaquant était en mesure d’accéder au système.
Note : Ce correctif remplace les précédents bulletins MS08-016 (Office XP et Office 2003) et MS07-025 (Office 2007)
– Vulnérable :
* Microsoft Office XP SP 3
* Microsoft Office 2003 SP 2
* Microsoft Office 2003 SP 3
* Microsoft Office 2007
* Microsoft Office 2007 SP1
* Microsoft Office OneNote 2007
* Microsoft Office OneNote 2007 SP1
– Référence :
[FR] http://www.microsoft.com/france/technet/security/bulletin/ms08-055.mspx
[EN] http://www.microsoft.com/technet/security/bulletin/ms08-055.mspx
http://www.insomniasec.com/advisories/ISVA-080910.1.htm
– Référence CVE :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3007
– Correction :
Nous vous recommandons d’installer le correctif KB955047 mis à disposition par Microsoft à l’adresse citée en référence.