Date : 14-05-2008

Criticité HSC : 4/5 - haute

Avis public : Oui

Exploitation : Indisponible

Résumé : Des vulnérabilités ont été découvertes dans les produits de la suite Microsoft Office, ainsi que dans le moteur "Jet Database", pouvant mener à l’exécution de code arbitraire à distance, sur le poste de la victime.

Source : Microsoft

Description :

Deux vulnérabilités (MS08-026 et MS08-027), de type débordement de
tampon, ont été découvertes dans Microsoft Word, Microsoft Excel et
Microsoft Publisher, et pouvant mener à l’exécution de code arbitraire à
distance.

Ces failles résident dans les analyseurs de fichiers .rtf, .doc et .pub,
et l’exploitation réussie du débordement de tampon peut provoquer
l’exécution de code arbitraire avec les droits de l’utilisateur victime.
Pour que l’exploitation puisse avoir lieu, il est nécessaire au
préalable que la victime ait ouvert un document malveillant.

Références :

http://www.microsoft.com/technet/security/bulletin/ms08-026.mspx
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1091
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1434
http://www.microsoft.com/technet/security/bulletin/ms08-027.mspx

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0119

Par ailleurs, un débordement de tampon a également été mis au jour dans
Microsoft Jet 4.0 Database Engine, résidant dans la gestion des requêtes
aux bases de données de type .MDB. L’exploitation de cette vulnérabilité
nécessite qu’un utilisateur malveillant puisse envoyer des requêtes mal
formées à l’application utilisant une base de données de type Jet.
L’exécution de code sera alors réalisée avec les droits de l’utilisateur
exécutant l’application.

Références :

http://www.microsoft.com/technet/security/bulletin/ms08-028.mspx
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6026