Vulnérabilité
critique non corrigée dans Excel et Office (03/02/07)
MAJ 13/02/07 : un correctif
officiel est disponible
RESUME :
Un nouveaux défaut
de sécurité a été identifié dans
le tableur Excel et les applications de la famille Microsoft Office.
L'exploitation d'une erreur de programmation non spécifiée
permet à un individu malveillant de prendre le contrôle
à distance de l'ordinateur de sa victime ou à un programme
malicieux de s'exécuter via un document piégé.
LOGICIEL(S)
CONCERNE(S) :
Microsoft
Excel 2003
Microsoft Excel 2002
Microsoft Excel 2000
Microsoft Office 2003
Microsoft Office XP
Microsoft Office 2000
Microsoft
Excel 2004 pour Mac
Microsoft
Office 2004 pour Mac
[liste non exhaustive]
LOGICIEL(S)
NON CONCERNE(S) :
Microsoft Excel 2007
Microsoft Office 2007
Microsoft Works Suite 2004
Microsoft Works Suite 2005
Microsoft Works Suite 2006
[liste non exhaustive]
CORRECTIF
:
Aucun
correctif n'est disponible pour le moment car ces défauts
de sécurité ont été découverts
alors qu'ils étaient déjà exploités
de façon malveillante (0-day). En attendant la publication
d'un correctif officiel, les utilisateurs concernés peuvent
appliquer les mesures suivantes afin de réduire les risques
d'exploitation malveillante :
- ne pas utiliser
une application vulnérable (voir liste ci-dessus) pour
ouvrir les fichiers d'origine douteuse ni ceux reçus de
manière inattendue d'une source sûre (demander le
cas échéant confirmation de l'envoi) ;
- se montrer
particulièrement vigilant dans son utilisation d'Internet,
notamment vis-à-vis des fichiers douteux, des liens hypertextes
non sollicités ou des sites web non reconnus comme sûrs
;
- tenir à
jour son antivirus. Les éditeurs ont déjà
ou vont bientôt publier de nouvelles signatures pour tenter
de reconnaître et d'intercepter les fichiers malicieux exploitant
ces défauts de sécurité (Exploit-MSExcel.h
chez McAfee).
Les utilisateurs
concernés peuvent également s'abonner gratuitement
à la
lettre Secuser Securite pour être informés par
courrier électronique de la disponibilité du correctif
officiel dès sa publication.
INFORMATIONS
COMPLEMENTAIRES :
->
Microsoft
Security Advisory (932553) (en anglais)
-> FAQ
: comment savoir si ce logiciel est installé sur mon ordinateur?
-> FAQ
: comment déterminer le numéro de version de votre
logiciel?
-> Abonnement
gratuit à la lettre Secuser Securite pour être informé
par courriel des nouvelles failles
|