Vulnérabilités
composants Microsoft Office Web (22/08/02)
Trois
vulnérabilités ont été découvertes
dans les composants Microsoft Office Web 2000 et 2002, affectant
les logiciels BackOffice Server 2000, BizTalk Server 2000,
BizTalk Server 2002, Commerce Server 2000, Commerce Server
2002, Internet Security and Acceleration Server 2000, Money
2002, Money 2003, Office 2000, Office XP, Project 2002, Project
Server 2002 et Small Business Server 2000.
Les composants
Office Web (OWC) contiennent des contrôles ActiveX qui
permettent aux utilisateurs d'utiliser des fonctionnalités
de la suite Microsoft Office via un simple navigateur. Des
erreurs d'implémentation dans les méthodes ou
fonctions Host(), LoadText() et Copy()/Paste()
peuvent être exploitées par une personne malveillante
via un site web ou un mail piégé au format HTML
pour lui permettre d'exécuter les commandes de son
choix sur l'ordinateur de sa victime, pour accéder
en lecture à n'importe quel fichier situé sur
le disque dur ou encore pour récupérer le contenu
mis dans le presse-papier lors du dernier copier/coller.
Les utilisateurs
des produits concernés doivent appliquer dès que possible
le correctif général en le téléchargeant
sur le site de Microsoft.
Plus de
détails dans le Microsoft
Security Bulletin MS02-044 (en anglais)
Le site
de Microsoft pour télécharger manuellement
le correctif général pour les versions anglaises
et françaises du navigateur (en anglais)
Le correctif
général Microsoft français (lien
direct)
|