|
Vulnérabilité
critique non corrigée dans Office (13/07/09)
11/08/09 : un correctif
officiel est désormais disponible
RESUME :
Un nouveau défaut de sécurité a été
identifié dans certains logiciels Office. L'exploitation
d'une erreur non spécifiée dans le composant ActiveX
Microsoft Office Web Components Control peut permettre à
un individu malveillant ou à un virus d'exécuter du code
malicieux sur l'ordinateur de sa victime via une page web ou un
document piégé.
LOGICIEL(S)
CONCERNE(S) :
Microsoft Excel 2003
Microsoft Excel 2002
Microsoft Word 2003
Microsoft Word 2002
Microsoft Office 2003
Microsoft Office XP
Microsoft Office 2003 Web Components
Microsoft Office XP Web Components
Microsoft Internet Security and Acceleration Server 2006
Microsoft Internet Security and Acceleration Server 2006 Supportability
Update
Microsoft Internet Security and Acceleration Server 2004 Standard
Edition
Microsoft Internet Security and Acceleration Server 2004 Enterprise
Edition
Microsoft Office Small Business Accounting 2006
LOGICIEL(S)
NON CONCERNE(S) :
Microsoft Excel 2007
Microsoft Excel 2000
Microsoft Word 2007
Microsoft Word
2000
Microsoft Office 2007
Microsoft Office 2000
RISQUE :
Critique
CORRECTIF
:
Aucun
correctif n'est disponible pour le moment, cette faille ayant été
identifiée alors qu'elle était déjà
exploitée de façon malveillante (0-day). En attendant
la publication d'un correctif officiel, les utilisateurs concernés
peuvent appliquer les mesures suivantes afin de réduire les
risques d'exploitation malveillante :
- se montrer
particulièrement vigilant dans son utilisation d'Internet,
notamment vis-à-vis des fichiers douteux, des liens hypertextes
non sollicités ou des sites web non reconnus comme sûrs
;
- appliquer
la solution de contournement provisoire fournie par l'éditeur
: cliquez ici
pour vous rendre sur la page KB973472, cliquez sur le bouton "Fixit"
situé sous "Activer la solution de contournement",
télécharger le programme MicrosoftFixit50291.msi
sur le disque dur ou une clé USB, puis l'exécuter
:
Une fois le correctif définitif disponible, il sera possible
de supprimer cette
solution temporaire en exécutant le programme MicrosoftFixit50291.msi
disponible via le second bouton "Fixit" situé
à droite ;
- tenir à
jour son antivirus. Les
éditeurs ont déjà ou vont bientôt publier
de nouvelles signatures pour tenter de reconnaître et d'intercepter
les fichiers malicieux exploitant cette faille.
Les utilisateurs
concernés peuvent également s'abonner gratuitement
à la
lettre Secuser Securite pour être informés par
courrier électronique de la disponibilité du correctif
officiel dès sa publication.
INFORMATIONS
COMPLEMENTAIRES :
-> Microsoft
Security Advisory n°973472 (en anglais)
-> FAQ
: comment savoir si ce logiciel est installé sur mon ordinateur?
-> FAQ
: comment déterminer le numéro de version de votre
logiciel?
-> Abonnement
gratuit à la lettre Secuser Securite pour être informé
par courriel des nouvelles failles
|
