S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 15 janvier 2025
N° CERTFR-2025-AVI-0038
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Microsoft Office

Gestion du document

Référence CERTFR-2025-AVI-0038
Titre Multiples vulnérabilités dans Microsoft Office
Date de la première version15 janvier 2025
Date de la dernière version15 janvier 2025
Source(s) Bulletin de sécurité Microsoft Office CVE-2025-21186 du 14 janvier 2025
Bulletin de sécurité Microsoft Office CVE-2025-21338 du 14 janvier 2025
Bulletin de sécurité Microsoft Office CVE-2025-21345 du 14 janvier 2025
Bulletin de sécurité Microsoft Office CVE-2025-21346 du 14 janvier 2025
Bulletin de sécurité Microsoft Office CVE-2025-21354 du 14 janvier 2025
Bulletin de sécurité Microsoft Office CVE-2025-21356 du 14 janvier 2025
Bulletin de sécurité Microsoft Office CVE-2025-21357 du 14 janvier 2025
Bulletin de sécurité Microsoft Office CVE-2025-21361 du 14 janvier 2025
Bulletin de sécurité Microsoft Office CVE-2025-21362 du 14 janvier 2025
Bulletin de sécurité Microsoft Office CVE-2025-21363 du 14 janvier 2025
Bulletin de sécurité Microsoft Office CVE-2025-21364 du 14 janvier 2025
Bulletin de sécurité Microsoft Office CVE-2025-21365 du 14 janvier 2025
Bulletin de sécurité Microsoft Office CVE-2025-21366 du 14 janvier 2025
Bulletin de sécurité Microsoft Office CVE-2025-21395 du 14 janvier 2025
Bulletin de sécurité Microsoft Office CVE-2025-21402 du 14 janvier 2025
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Contournement de la politique de sécurité
  • Exécution de code arbitraire à distance

Systèmes affectés

  • Microsoft 365 Apps pour Enterprise pour systèmes 32 bits
  • Microsoft 365 Apps pour Enterprise pour systèmes 64 bits
  • Microsoft Access 2016 (édition 32 bits) versions antérieures à 16.0.5483.1001
  • Microsoft Access 2016 (édition 64 bits) versions antérieures à 16.0.5483.1001
  • Microsoft Excel 2016 (édition 32 bits) versions antérieures à 16.0.5483.1001
  • Microsoft Excel 2016 (édition 64 bits) versions antérieures à 16.0.5483.1001
  • Microsoft Office 2016 (édition 32 bits) versions antérieures à 16.0.5483.1000
  • Microsoft Office 2016 (édition 64 bits) versions antérieures à 16.0.5483.1000
  • Microsoft Office 2019 pour éditions 32 bits
  • Microsoft Office 2019 pour éditions 64 bits
  • Microsoft Office LTSC 2021 pour éditions 32 bits
  • Microsoft Office LTSC 2021 pour éditions 64 bits
  • Microsoft Office LTSC 2024 pour éditions 32 bits
  • Microsoft Office LTSC 2024 pour éditions 64 bits
  • Microsoft Office LTSC pour Mac 2021 versions antérieures à 16.93.25011212
  • Microsoft Office LTSC pour Mac 2024 versions antérieures à 16.93.25011212
  • Microsoft Office pour Android versions antérieures à 16.0.18429.20000
  • Microsoft Office pour iOS versions antérieures à 2.93.24123014
  • Microsoft Office pour Mac versions antérieures à 16.93.25011212
  • Microsoft Office pour Universal versions antérieures à 16.0.14326.22175
  • Microsoft OneNote pour Mac versions antérieures à 16.92.24120731
  • Microsoft Outlook 2016 (édition 32 bits) versions antérieures à 16.0.5483.1000
  • Microsoft Outlook 2016 (édition 64 bits) versions antérieures à 16.0.5483.1000
  • Microsoft Outlook pour Mac versions antérieures à 16.93
  • Office Online Server versions antérieures à 16.0.10416.20047

Résumé

De multiples vulnérabilités ont été découvertes dans Microsoft Office. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un contournement de la politique de sécurité.

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 15 janvier 2025
    Version initiale