Vulnérabilité
critique non corrigée dans Excel (24/02/09)
MAJ 14/04/09 : un correctif
officiel est désormais disponible
RESUME :
Un nouveau défaut de sécurité a été
identifié dans le tableur Excel de Microsoft. L'exploitation
d'une erreur de programmation dans la gestion des objets invalides
peut permettre à un individu malveillant ou à un virus
d'exécuter à distance du code malicieux sur l'ordinateur
de sa victime à l'ouverture d'un document Excel piégé.
LOGICIEL(S)
CONCERNE(S) :
Microsoft Excel 2007
Microsoft Excel 2003
Microsoft Excel 2002
Microsoft Excel 2000
Microsoft Excel Viewer 2003
Microsoft Excel Viewer
Microsoft Excel 2008 pour Mac
Microsoft Excel 2004 pour Mac
Microsoft Office 2007
Microsoft Office 2003 Service Pack 2
Microsoft Office XP
Microsoft Office 2000
Microsoft Office 2008 pour Mac
Microsoft Office 2004 pour Mac
Microsoft Office Compatibility Pack
RISQUE :
Critique
CORRECTIF
:
Aucun correctif n'est disponible pour le moment car ce défaut
de sécurité a été découvert alors
qu'il était déjà exploité de façon
malveillante (0-day). En attendant la publication d'un correctif
officiel, les utilisateurs concernés peuvent appliquer les
mesures suivantes afin de réduire les risques d'exploitation
malveillante :
- ne pas utiliser une application vulnérable (voir liste
ci-dessus) pour ouvrir les fichiers d'origine douteuse ni ceux
reçus de manière inattendue d'une source sûre
(demander le cas échéant confirmation de l'envoi)
;
- se montrer particulièrement vigilant dans son utilisation
d'Internet, notamment vis-à-vis des fichiers douteux, des
liens hypertextes non sollicités ou des sites web non reconnus
comme sûrs ;
- tenir à jour son antivirus. Les éditeurs publient
généralement de nouvelles signatures pour tenter
de reconnaître et d'intercepter les fichiers malicieux exploitant
les défauts de sécurité non corrigés
(par exemple Exploit-MSExcel.r chez McAfee).
Les utilisateurs concernés peuvent également s'abonner
gratuitement à la
lettre Secuser Securite pour être informés par
courrier électronique de la disponibilité du correctif
officiel dès sa publication.
INFORMATIONS
COMPLEMENTAIRES :
-> Microsoft
Security Advisory (968272) (en anglais)
-> FAQ
: comment savoir si ce logiciel est installé sur mon ordinateur?
-> FAQ
: comment déterminer le numéro de version de votre
logiciel?
-> Abonnement
gratuit à la lettre Secuser Securite pour être informé
par courriel des nouvelles failles
|