Risques

  • Déni de service
  • Exécution de code arbitraire à distance

Systèmes affectés

  • Internet Explorer et famille Outlook.
  • Suite bureautique Mac Office versions v.X et 2004 ;
  • Suite bureautique Microsoft Office versions 2000SP3, 2002SP2, 2002SP3, 2003SP1, 2003SP2 ;
  • Wordpad toutes versions ;
  • Works versions 8.0 et 8.5 ;

Résumé

De multiples vulnérabilités affectent certains produits de l'éditeur Microsoft. Ces vulnérabilités peuvent être exploitées par un utilisateur mal intentionné afin de provoquer un déni de service ou une exécution de code arbitraire à distance sur la machine cible. Des codes malveillants exploitant certaines de ces vulnérabilités sont disponibles sur l'Internet.

Description

  • Un grand nombre de vulnérabilités révélées publiquement affectent la gamme Office. Ces vulnérabilités peuvent être exploitées par le biais de documents malicieusement contruits dont l'ouverture peut provoquer l'exécution de commandes dans le contexte utilisateur.
  • Plusieurs autres vulnérabilités ont été découvertes dans des versions d'Internet Explorer. Ces vulnérabilités permettent à un attaquant de compromettre le navigateur, directement ou par le biais d'une dll vulnérable (vgx.dll). Cette bibliothèque est utilisée pour prendre en compte le format VML (Vector Markup Vector Language). Ce format fondé sur le langage XML est utilisé pour éditer certaines images. Deux vecteurs d'attaques sont possibles :
    • via une page HTML spécifiquement conçue pour exploiter la faille d'Internet Explorer ;
    • via des messages électroniques qui seraient lus à l'aide des clients de la famille d'Outlook avec prise en compte du langage HTML. Des messages malicieux se propagent déja sur l'Internet.
  • Comme cela a été déja souligné à de nombreuses reprises par le CERTA, il est fortement recommandé de désactiver par défaut les options ActiveX et les scripts en général en choisissant éventuellement leur activation pour les sites de confiance nécessitant l'usage de tels composants ou programmes.

Un bulletin de sécurité Microsoft annonce officiellement une vulnérabilité dans MS Office Word 2000. Une référence CVE est associée à cette vulnérabilité, qui est exploitée actuellement par du code malveillant.

Contournement provisoire

Suite bureautique MS-Office : N'ouvrir que les documents bureautiques de confiance, et utiliser une suite bureautique alternative à jour (OpenOffice, par exemple).

Internet Explorer 1 : Utiliser un navigateur alternatif à jour (Mozilla, Firefox, Opéra, etc...)

Internet Explorer 2 : Désactiver les options ActiveX, les scripts (cf. bulletin d'actualité du CERTA)

Internet Explorer 3 et Outlook : Désactiver la bibliothèque vgx.dll :

<span
class="small">`regsvr32.exe        "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"        -u`</span>

</div>

Une mise à jour de sécurité, publiée par Microsoft, est désormais disponible. Elle permet de corriger une des vulnérabilités citées dans ce bulletin d'alerte, en l'occurence celle présente dans la bibliothèque vgx.dll. Un bulletin de sécurité du CERTA reprend cette vulnérabilité ainsi que la solution associée.

Se référer à l'avis du CERTA référencé CERTA-2006-AVI-410 du 27 septembre 2006 diponible à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-AVI-410/index.html

Solution

Se référer aux bulletins de sécurité de l'éditeur pour obtenir les mises à jour (cf. Documentation).

Documentation