Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
- Microsoft Office 2000 Service Pack 3 ;
- Microsoft Office 2003 Service Pack 1 ;
- Microsoft Office 2003 Service Pack 2 ;
- Microsoft Office 2004 pour Mac ;
- Microsoft Office version X pour Mac.
- Microsoft Office XP Service Pack 3 ;
- Microsoft Project 2000 Service Release 1 ;
- Microsoft Project 2002 Service Pack 2 ;
- Microsoft Visio 2002 Service Pack 2 ;
Résumé
Plusieurs vulnérabilités présentes dans les logiciels Microsoft peuvent être utilisées par un utilisateur mal intentionné pour exécuter du code arbitraire sur un système ayant un des logiciels vulnénrables.
Description
- Une vulnérabilité dans le traitement de certains fichiers Microsoft Office peut être exploitée par un utilisateur mal intentionné pour exécuter du code arbitraire à partir d'un fichier spécialement construit (CVE-2006-1316) ;
- une vulnérabilité dans le traitement des chaînes comprises dans un fichier Microsoft Office peut être exploitée par un utilisateur mal intentionné pour exécuter du code arbitraire à distance (CVE-2006-1540) ;
- une vulnérabilité présente sur les propriétés d'un fichier Microsoft Office peut être exploitée par un utilisateur mal intentionné pour exécuter du code arbitraire à distance via un fichier spécialement construit (CVE-2006-2389).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS06-038 du 11 juillet 2006 : http://www.microsoft.com/france/technet/security/Bulletin/MS06-038.mspx
- Bulletin de sécurité Microsoft MS06-038 du 11 juillet 2006 : http://www.microsoft.com/technet/security/Bulletin/MS06-038.mspx
- Référence CVE CVE-2006-1316 https://www.cve.org/CVERecord?id=CVE-2006-1316
- Référence CVE CVE-2006-1540 https://www.cve.org/CVERecord?id=CVE-2006-1540
- Référence CVE CVE-2006-2389 https://www.cve.org/CVERecord?id=CVE-2006-2389