Nouvelle faille dans le tableur Excel de Microsoft
Il n'ya que faille qui m'aille
Le French Security Incident Response Team (FrSIRT) vient de trouver une troisième faille critique touchant le tableur Excel de Microsoft, en moins d'un mois. Le trou de sécurité concerne les versions 2000, 2002 et 2003 du tableur, ainsi que les pack Office 2000, XP, et 2003, mais seulement en langues japonaise, coréenne et chinoise, explique Microsoft.
La vulnérabilité réside dans un dépassement de mémoire tampon possible (buffer overflow) lorsque l'utilisateur ouvre ou répare un document particulièrement volumineux. Un pirate pourrait alors exploiter cette faille pour exécuter un code arbitraire, en incitant l'utilisateur à ouvrir un document Excel spécialement conçu dans ce but. L'annonce du FrSIRT est disponible sur cette page.
Microsoff affirme n'avoir encore constaté aucune attaque de ce genre, et minimise le risque : "Afin de mener à bien cette attaque, l'utilisateur doit d'abord ouvrir un document Excel malin, envoyé par e-mail ou directement fourni par l'attaquant. A l'ouverture d'un document à partir d'un e-mail, Excel recommandera à l'utilisateur une grande prudence avant d'ouvrir le document joint."
Microsoft insiste aussi sur le fait que cette vulnérabilité ne touche que les versions asiatiques du programme, mais l'éditeur n'a pas encore sorti de correctif de sécurité concernant ce problème précis.
La vulnérabilité réside dans un dépassement de mémoire tampon possible (buffer overflow) lorsque l'utilisateur ouvre ou répare un document particulièrement volumineux. Un pirate pourrait alors exploiter cette faille pour exécuter un code arbitraire, en incitant l'utilisateur à ouvrir un document Excel spécialement conçu dans ce but. L'annonce du FrSIRT est disponible sur cette page.
Microsoff affirme n'avoir encore constaté aucune attaque de ce genre, et minimise le risque : "Afin de mener à bien cette attaque, l'utilisateur doit d'abord ouvrir un document Excel malin, envoyé par e-mail ou directement fourni par l'attaquant. A l'ouverture d'un document à partir d'un e-mail, Excel recommandera à l'utilisateur une grande prudence avant d'ouvrir le document joint."
Microsoft insiste aussi sur le fait que cette vulnérabilité ne touche que les versions asiatiques du programme, mais l'éditeur n'a pas encore sorti de correctif de sécurité concernant ce problème précis.
Bruno Cormier
le 7 juillet 2006 à 10:27
(19 581
lectures)
Actualités et brèves relatives
- 04 / 07 / 2006 : Deux nouvelles failles découvertes sous Internet Explorer
- 21 / 06 / 2006 : Seconde faille critique pour Excel
- 16 / 06 / 2006 : Vulnérabilité critique dans Excel
- 15 / 06 / 2006 : Enfer sécuritaire : la terrible faille du Bloc-notes
- 14 / 06 / 2006 : Microsoft : bulletin de sécurité du mois de juin
- 12 / 06 / 2006 : L'arrêt du support de Windows XP SP1 pour octobre
- 12 / 06 / 2006 : Polémique autour d'une faille critique dans Windows 98
- 29 / 05 / 2006 : Symantec colmate les failles dans ses produits entreprises
