Vulnérabilité
critique non corrigée dans Powerpoint (03/04/09)
MAJ 12/05/09 : un correctif
officiel est désormais disponible
RESUME :
Un nouveau défaut de sécurité a été
identifié dans le logiciel de présentation Powerpoint
de Microsoft. L'exploitation d'une erreur non spécifiée
peut permettre à un individu malveillant ou à un virus
d'exécuter à distance du code malicieux sur l'ordinateur
de sa victime à l'ouverture d'une présentation ou
d'une page web piégée.
LOGICIEL(S)
CONCERNE(S) :
Microsoft Powerpoint 2003
Microsoft Powerpoint 2002
Microsoft Powerpoint 2000
Microsoft Office 2003
Microsoft Office XP
Microsoft Office 2000
Microsoft Office 2004 pour Mac
RISQUE :
Critique
CORRECTIF
:
Aucun correctif n'est disponible pour le moment car ce défaut
de sécurité a été découvert alors
qu'il était déjà exploité de façon
malveillante (0-day). En attendant la publication d'un correctif
officiel, les utilisateurs concernés peuvent appliquer les
mesures suivantes afin de réduire les risques d'exploitation
malveillante :
- ne pas utiliser une application vulnérable (voir liste
ci-dessus) pour ouvrir les fichiers d'origine douteuse ni ceux
reçus de manière inattendue d'une source sûre
(demander le cas échéant confirmation de l'envoi)
;
- se montrer particulièrement vigilant dans son utilisation
d'Internet, notamment vis-à-vis des fichiers douteux, des
liens hypertextes non sollicités ou des sites web non reconnus
comme sûrs ;
- tenir à jour son antivirus. Les éditeurs publient
généralement de nouvelles signatures pour tenter
de reconnaître et d'intercepter les fichiers malicieux exploitant
les défauts de sécurité non corrigés
(par exemple Exploit-PPT.k chez McAfee ou Trojan.PPDropper.H chez
Symantec).
Les utilisateurs concernés peuvent également s'abonner
gratuitement à la
lettre Secuser Securite pour être informés par
courrier électronique de la disponibilité du correctif
officiel dès sa publication.
INFORMATIONS
COMPLEMENTAIRES :
-> Microsoft
Security Advisory (969136) (en anglais)
-> FAQ
: comment savoir si ce logiciel est installé sur mon ordinateur?
-> FAQ
: comment déterminer le numéro de version de votre
logiciel?
-> Abonnement
gratuit à la lettre Secuser Securite pour être informé
par courriel des nouvelles failles
|