Cette semaine, les mises à jour mensuelles ont été proposées en téléchargement via Windows Update notamment, avec cette fois 12 patchs dont un concernent Word (voir notre actualité). Microsoft n’aura pas eu à chaumer depuis puisque Redmond doit faire face à une nouvelle faille.

Cette fois c’est Excel qui s’y prête avec une vulnérabilité jugée extrêmement critique par Secunia. Pire encore, la vulnérabilité a déjà fait l’objet d’une exploitation dans la nature rendant le problème d’autant plus dangereux. Microsoft indique par la voix de Mike Reavey sur le Microsoft Security Response Center avoir alerté les autres acteurs de la sécurité. L’éditeur a lui-même mis à jour son Live Safety Center afin d’éradiquer le malware exploitant la brèche. Les indications liées à la vulnérabilité sont aussi nombreuses que les sources d’eau fraîche en plein désert.

Elle est exploitable via un document Excel mal formé et envoyé par mail, dans lequel des commandes sont exécutables dès l’ouverture du .XLS. La faille serait d’ores et déjà exploitée par le cheval de Troie Trojan.Mdropper.J. C’est d’ailleurs une variante du canasson qu’on retrouve dans l’exploitation de la faille couverte par la rustine MS06-027 et concernant Microsoft Word. La faille concernerait Excel 2000, 2002, 2003, Office 2000 XP et 2003. En attendant une rustine adéquate, Microsoft indique, faute de mieux, qu'il convient d'être très vigilant à l'ouverture d'une pièce attachée à un courrier provenant d'une source connue ou non.