La première faille (CVE-2006-3059), annoncée par Microsoft le 16 Juin dernier, serait activement exploitée sur la toile. Elle provient d’un défaut dans la fonctionnalité de réparation de fichiers corrompus (Repair Mode). Bien que l’exploitation de la faille nécessite une interaction avec l’utilisateur, elle est considérée comme critique. L’ouverture d’un fichier piégé permettrait l’exécution de code arbitraire sur la machine de la victime avec les droits de la session en cours.

Microsoft a publié une alerte concernant cette faille qui affecte les versions 2000, 2002 et 2003 d’Excel pour Windows et pour Macintosh. En attendant un correctif, l’éditeur conseille de filtrer les emails contenant des fichiers Excel attachés ou d’empêcher le logiciel d’entrer en mode  » réparation  » (Repair Mode).

La deuxième faille , quant à elle, n’est toujours pas reconnue par Microsoft. Elle résulte d’une erreur dans la DLL  » hlink.dll  » qui prend notamment en charge les hyper liens présents dans les feuilles de calculs Excel. L’exécution de code arbitraire serait possible dès lors qu’un utilisateur clique sur un lien piégé.

Les logiciels concernés par cette dernière vulnérabilité sont Excel 2000 a 2002 a 2003, Office 2000 a 2003 et Office XP. Aucun correctif n’est disponible à l’heure qu’il est. Il est donc conseillé de n’ouvrir que les fichiers Excel provenant de sources dignes de confiance.