Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Microsoft Office 2004 pour Mac ;
  • Microsoft Office 2008 pour Mac.
  • Microsoft Office Compatibility Pack pour Word, Excel et Powerpoint 2007, Service Pack 1 ;
  • Microsoft Office Excel 2000 Service Pack 3 ;
  • Microsoft Office Excel 2002 Service Pack 3 ;
  • Microsoft Office Excel 2003 Service Pack 3 ;
  • Microsoft Office Excel 2007 Service Pack 1 ;
  • Microsoft Office Excel Viewer 2003 ;
  • Microsoft Office Excel Viewer 2003 Service Pack 3 ;
  • Microsoft Office Excel Viewer ;

Résumé

Une vulnérabilité a été identifiée sur Microsoft Excel. L'exploitation de cette dernière par le biais d'un document spécialement conçu permet à une personne malveillante d'exécuter du code arbitraire à distance sur un poste ayant une version vulnérable de l'application.

Description

Une vulnérabilité a été identifiée sur l'application bureautique Microsoft Excel.

L'exploitation de cette vulnérabilité par le biais d'un document XLS spécialement conçu permet à une personne malveillante d'exécuter du code arbitraire à distance sur un poste ayant une version vulnérable de l'application.

Contournement provisoire

Dans l'attente d'un correctif, plusieurs mesures permettent de réduire l'impact de l'exploitation de cette vulnérabilité :

  • travailler avec un compte utilisateur aux droits restreints (principe du moindre privilège) ;
  • utiliser l'outil de conversion MOICE (Microsoft Office Isolated Conversion Environment) pour convertir tout fichier XLS en XSLX avant son ouverture ;
  • activer la mesure (très restrictive) FileBlock, imposant l'ouverture unique des fichiers au nouveau format XML. Les détails pratiques se trouvent dans l'avis de sécurité Microsoft ;
  • utiliser un logiciel alternatif (visualisateur, tableur ou suite bureautique) ;
  • n'ouvrir que des documents issus de sources de confiance ;
  • être circonspect à l'égard des pièces jointes de courriels et des documents téléchargés.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation