CERTA : Vulnérabilité dans Excel
janvier 2008 par CERT-FR
1 Risque
Exécution de code arbitraire.
2 Systèmes affectés
Microsoft Office Excel dans les versions suivantes :
* 2000 ;
* 2002 ;
* 2003 SP2 ;
* 2004 pour Mac.
Microsoft Office Excel Viewer 2003.
3 Résumé
Une vulnérabilité dans plusieurs versions du tableur Excel permet une exécution
de code arbitraire.
4 Description
Une vulnérabilité, non publique mais confirmée par l’éditeur, est présente dans
plusieurs versions du tableur Excel. L’exploitation de cette vulnérabilité, au
travers d’un document spécialement conçu, permet l’exécution de code
arbitraire. Le code est exécuté avec les droits de l’utilisateur qui ouvre le
document malveillant. L’utilisateur malveillant doit inciter l’utilisateur du
logiciel vulnérable à ouvrir un document malveillant.
Cette vulnérabilité serait exploitée, à la date de rédaction de cette alerte.
Les versions suivantes d’Excel ne seraient pas vulnérables :
* 2003 SP3 ;
* 2007 ;
* 2008 pour Mac.
5 Contournement provisoire
Dans l’attente d’un correctif, plusieurs mesures permettent de réduire l’impact
de l’exploitation de cette vulnérabilité :
* utiliser une version non vulnérable ou un logiciel alternatif
(visualisateur, tableur ou suite bureautique) ;
* n’ouvrir que des documents de confiance ;
* être circonspect à l’égard des pièces jointes de courriels et des documents
téléchargés ;
* travailler avec un compte aux droits restreints (principe du moindre
privilège).
6 Documentation
* Bulletin de sécurité Microsoft 947563 du 15 janvier 2008 :
http://www.microsoft.com/technet/security/advisory/947563.mspx
* Référence CVE CVE-2008-0081 :