S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : L'abonnement à Next INpact dès 17 € par an : il vous reste moins de 24h

Microsoft corrige une faille critique dans un ActiveX utilisé par Office

Tous les Office 32 bits concernés

Microsoft a publié hier les derniers bulletins de sécurité, comme chaque deuxième mardi de chaque mois. On trouve cette fois six bulletins, dont quatre critiques et deux importants. Parmi les failles critiques, une en particulier fait déjà l’objet d’attaques recensées.

activex office bulletins

Les six nouveaux bulletins sont les suivants :

Critiques :
  • MS12-023 : Mise à jour cumulative pour Internet Explorer. Corrige plusieurs failles dont au moins une est critique.
  • MS12-024 : Corrige une faille qui peut permettre l'exécution de code à distance si un utilisateur ou une application exécutait ou installait un fichier exécutable portable (PE) signé et spécialement conçu sur un système affecté.
  • MS12-025 : Corrige une faille dans le framework .NET pouvant permettre une exécution de code à distance. Toutes les versions en cours de support, de la 1.0 SP3 à l’actuelle 4.0, sont concernées.
  • MS12-027 : Corrige une faille dans MSCOMCTL.OCX, l’ActiveX Windows Common Controls. Le fichier est en fait remplacé par une nouvelle version. Toutes les versions 32 bits d’Office sont touchées, ainsi que d’autres produits tels que SQL Server.
Importants :
  • MS12-026 : Corrige plusieurs vulnérabilités dans Forefront Unified Access Gateway (UAG). Exploitées, ces failles pourraient permettre une divulgation d’informations.
  • MS12-028 : Corrige une faille dans Office 2007, Works 9 et le convertisseur de fichiers Works 6-9. L’exploitation de la faille passe par un document Works spécialement conçu.
Parmi tous ces bulletins, le plus important est le MS12-027. La faille est en effet déjà exploitée à l’aide de documents Office spécialement conçus. Il existe toutefois plusieurs facteurs limitants en fonction du produit installé sur la machine. Premièrement, seules les versions 32 bits des logiciels sont touchées. Deuxièmement, l’ouverture des documents dans Office 2010 affiche toujours par défaut une vue protégée en mode lecture seule. L’activation du contrôle ActiveX passe obligatoirement par le bouton « Permettre la modification ».

Si pour une raison ou une autre vous ne pouvez pas installer la mise à jour, il reste la possibilité de couper complètement l’utilisation des contrôles ActiveX au sein d’Office. Pour cela, il faut se rendre dans les options d’un des logiciels de la suite bureautique puis sélectionner le centre de gestion de la confidentialité.

activex office bulletins

Dans la fenêtre qui s’ouvre, sélectionner « Paramètres ActiveX » puis le premier réglage de la liste : « Désactiver tous les contrôles sans notification ». Il s’agit d’une mesure extrême mais qui garantit la sécurité. Sachez toutefois que des fonctionnalités avancées de certains documents ne pourront plus fonctionner, par exemple un tableau Excel utilisant le contrôle listbox pour une sélection :

excel activex 

Si vous êtes toutefois un utilisateur « classique » d’Office, ces fonctions ne devraient pas trop vous manquer. L’installation de la mise à jour reste évidemment la meilleure solution.
Source : Microsoft
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 11/04/2012 à 16:57

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 6 commentaires

Avatar de Lady Komandeman INpactien
Lady Komandeman Le mercredi 11 avril 2012 à 19:05:00
Inscrit le jeudi 5 janvier 12 - 783 commentaires
Si pour une raison ou une autre vous ne pouvez pas installer la mise à jour

Comme par exemple le fait que j'en ai eu pour 60 Mo avec les 6 màj dont vous parlez... ça ne se télécharge pas en 5 secondes. Ils sont mignons chez Microsoft.

Edité par Lady Komandeman le mercredi 11 avril 2012 à 19:05
Avatar de Winderly INpactien
Winderly Le mercredi 11 avril 2012 à 19:06:35
Inscrit le vendredi 19 mai 06 - 7546 commentaires
J'arrive pas à croire qu'il y ait zero commentaires sur une news concernant la sécurité.

Concernant la news elle même ? J'ai rien à dire, vous pouvez sworder.

Ah c'est malin, le temps de taper ça mon message est invalidé.

Edité par Winderly le mercredi 11 avril 2012 à 19:07
Avatar de Winderly INpactien
Winderly Le mercredi 11 avril 2012 à 19:08:13
Inscrit le vendredi 19 mai 06 - 7546 commentaires

Comme par exemple le fait que j'en ai eu pour 60 Mo avec les 6 màj dont vous parlez... ça ne se télécharge pas en 5 secondes. Ils sont mignons chez Microsoft.

Ça dépends, ça peut être plus long ou plus court.

moins un sur la partie ils sont mignons

Edité par Winderly le mercredi 11 avril 2012 à 19:08
Avatar de jmanici INpactien
jmanici Le mercredi 11 avril 2012 à 19:10:45
Inscrit le mardi 20 septembre 11 - 1244 commentaires

Comme par exemple le fait que j'en ai eu pour 60 Mo avec les 6 màj dont vous parlez... ça ne se télécharge pas en 5 secondes. Ils sont mignons chez Microsoft.


comparé aux autres OS, les maj de Windows sont loin d'être les plus lourdes…
Avatar de psn00ps INpactien
psn00ps Le jeudi 12 avril 2012 à 02:14:48
Inscrit le jeudi 7 février 08 - 6175 commentaires

Comme par exemple le fait que j'en ai eu pour 60 Mo avec les 6 màj dont vous parlez... ça ne se télécharge pas en 5 secondes. Ils sont mignons chez Microsoft.

30s - 1 min sur de l'ADSL... pas vraiment la mer à boire
Avatar de Lady Komandeman INpactien
Lady Komandeman Le jeudi 12 avril 2012 à 09:16:04
Inscrit le jeudi 5 janvier 12 - 783 commentaires

30s - 1 min sur de l'ADSL... pas vraiment la mer à boire

Tout le monde n'a pas l'ADSL.

(Mais moi c'était vraiment très long : les serveurs devaient être bourrés )

;