Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Excel est la cible d’une attaque 0-day

auteur de l'article Aurélien Cabezon , dans la rubrique Menaces

Commentaires Commentaires fermés sur Excel est la cible d’une attaque 0-day

Microsoft a publié mardi un avis de sécurité concernant une vulnérabilité affectant le tableur Excel qui est actuellement exploitée par des attaquants pour exécuter du code malicieux.


Les versions d’Excel affectées par cette nouvelle vulnérabilité sont Microsoft Office Excel 2003 SP2, Microsoft Office Excel Viewer 2003, Microsoft Office Excel 2002, Microsoft Office Excel 2000 et Microsoft Excel 2004 for Mac. Ne sont par contre pas concernées par cette vulnérabilité qualifiée d'[extrêmement critique | http://secunia.com/advisories/28506/] par la société danoise de sécurité Secunia, la version de Microsoft Office Excel 2007, Microsoft Office Excel 2008 for Mac et Microsoft Office Excel 2003 SP3.

Pour le moment, la firme de Redmond se veut rassurante et parle d’attaques ciblées via une faille non publique dont elle pense qu’elle n’est pas connue d’un grand nombre de pirates. Le risque semble donc être limité pour les utilisateurs.

L’attaque à distance repose sur l’ouverture par l’utilisateur d’un document contenant des informations d’entête mal formées et permettant ainsi l’exécution de code arbitraire (débordement de mémoire). Dans le cadre d’un scénario typique d’attaque, un pirate héberge sur un site Web un fichier spécialement conçu qu’il utilise pour exploiter la vulnérabilité ou le fait parvenir en pièce jointe d’un mail.

Microsoft travaille à l’élaboration d’un correctif qui sera diffusé à l’occasion d’un prochain Patch Tuesday ou fera l’objet d’une publication hors de ce cadre en fonction de l’impact de la vulnérabilité. En attendant, pour diminuer ou éviter tout risque, il est conseillé d’avoir recours à une version non vulnérable d’Excel ou à un logiciel alternatif, de n’ouvrir que des documents de confiance, travailler avec un compte aux droits restreints.

Le leader mondial du logiciel conseille également aux utilisateurs d’Office 2003 qui veulent ouvrir des documents suspects sous Excel, de le faire à travers MOICE (Microsoft Office Isolated Conversion Environment). Cet utilitaire gratuit disponible depuis l’année dernière, utilise les convertisseurs de Microsoft Office System 2007 pour convertir les documents binaires Office 2003 au format Office Open XML dans un environnement isolé, indique Microsoft .


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.