Failles Excel : jamais deux sans trois ?

Les chercheurs en sécurité n'en auraient-ils que pour Excel ? Le tableur de Microsoft semble en tout cas la cible de toutes leurs attentions puisqu'ils viennent de mettre à jour une nouvelle vulnérabilité, qui permettrait d'exécuter du code malicieux à l'ouverture d'un document vérolé. Cette faille de sécurité est tout de même la troisième découverte en moins de deux semaines...
La
première peut être exploitée par des chevaux de Troie, tandis que la
deuxième concerne la façon dont Excel interprète les liens hypertextes contenus dans un document. La petite troisième, découverte par les gens de Symantec, a rapport avec la façon dont Excel gère l'intégration d'objets en flash dans un document. Ces objets, animés ou non, sont généralement utilisés pour insérer graphiques et courbes au sein d'un document.
Le problème est que si l'animation Flash est intégrée à l'aide du Shockwave Flash Object, elle est automatiquement déclenchée à l'ouverture du document Excel. Il suffit donc à l'utilisateur de recevoir et d'ouvrir un fichier vérolé pour se voir infecté.
Selon Microsoft, la faille permettrait en réalité de lancer des contrôles ActiveX depuis la suite Office, de la même façon qu'ils peuvent être lancés depuis Internet Explorer. L'éditeur indique qu'à sa connaissance, aucun contrôle de ce type ne permet de prendre le contrôle d'un PC à distance. Il précise par ailleurs que si un contrôle ActiveX de ce type était découvert, il est possible de gérer manuellement, via la base de registres, la façon dont ceux-ci sont activés, et renvoie vers son site d'aide et de support.
Pour l'instant, aucun correctif n'est annoncé. Le prochain « Patch tuesday », jour de la livraison mensuelle des correctifs pour logiciels Microsoft, pourrait bien être chargé...

Lire cette brève sur le site

Alex a écrit:
Selon Microsoft, la faille permettrait en réalité de lancer des contrôles ActiveX depuis la suite Office, de la même façon qu'ils peuvent être lancés depuis Internet Explorer.

Ouais, c'est quand même une grosse bouze activex, surtout au niveau de la séurité.

L'éditeur indique qu'à sa connaissance, aucun contrôle [activex] de ce type ne permet de prendre le contrôle d'un PC à distance.

Mauvaise base de connaissance, changer base de connaissance :
Un exemple ici (trouvé vite fait)
extrait :

Enfin, la même année, une vulnérabilité découverte dans un contrôle ActiveX permettait à un pirate de prendre le contrôle du PC de sa victime via MSN Messenger.

Ca date de 2004, donc chez microsoft, le problème est patché, mais chez les utilisateurs ?

"il est possible de gérer manuellement, via la base de registres, la façon dont ceux-ci sont activés"
quoi de plus simple ?
bien evidemment le particulier 'lambda' va tripatouiller la base de registre tous les matins.
et bien evidemment encore, je vois bien l'admin system d'une grosse boite se taper 200 machines a la main (bien sur ca peux se deployer par AD par exemple, mais tout de meme .....)

mis a part ca j'aime beaucoup la serenite chez microsoft "L'éditeur indique qu'à sa connaissance, aucun contrôle de ce type ne permet de prendre le contrôle d'un PC à distance." je suis sur que c'est le genre de phrase qui va rassurer tout le monde :MDR

de toute façon avec Microsoft il y a toujours eu des problemes et des failles... optez pour Firefox en tant que navigateur et pour OpenOffice.org en tant que Suite Office...

mais quand tout le monde se mettra a open office et firefox, les virus se déplaceront vers ces softs

pacman77 a écrit:
de toute façon avec Microsoft il y a toujours eu des problemes et des failles... optez pour Firefox en tant que navigateur et pour OpenOffice.org en tant que Suite Office...

mais quand tout le monde se mettra a open office et firefox, les virus se déplaceront vers ces softs

Avant que çà se déchaine :
On sait que mircosoft n'a pas l'éxclusivité des failles, mais en attendant on est quand même plus protégé en utilisant Firefox et OpenOffice.
Et quand Firefox et OpenOffice seront majoritaire, alors on verra si cette prédiction se réalise.

NeoMaurice a écrit:
Avant que çà se déchaine :
On sait que mircosoft n'a pas l'éxclusivité des failles, mais en attendant on est quand même plus protégé en utilisant Firefox et OpenOffice.

Je dirais pas mieux protégé mais plutôt moins attaqué :ane:

Mwaip sauf que l'équivalent d'excel sous OO est tout pourri ;-(

Attention!!!

Lachez les trolls tous velus !!! :miam:

Citron Evanescent a écrit:
Mwaip sauf que l'équivalent d'excel sous OO est tout pourri ;-(

:MDR
Troll spoted

L'équivalent d'excel sous OO est plus complet donc...
Pour revenir aux failles, cela m'étonnerait beaucoup que les virus migrent du côté de firefox et de OO à un stade équivalent à MS étant donné que ce sont des logiciels libres et donc dès qu'une faille est trouvée elle est rapidement corrigée. C'est la différence entre MS qui vend et qui une fois l'argent récolté se sent obligé de corriger quelques trucs et les autres qui le font bénévolement cherchant la qualité et ayant de la réactivité. N'allez pas comprendre dans mes propos : les logiciels payants c'est nul.

Ne vous avez je pas prevenu sur le comportement de Symantec ?
Coordonner des sorties repetées de failles dans Office au moment de la sortie de la suite de securité Concurrente de Microsoft !!!

Mais personne ne m'a cru et pourtant mes sources sont "tres" bonnes !

Office et Open Office (desolé pour les pro open source, tout ca) sont des produits extremement complexes et divisés en de nombreux modules. Ils contiennent du code antediluviens. Ils sont donc tres fragiles.
Esperons que les prochaines versions Office 2007 et Open Office xxx soient entierement consitués de code neuf.

Rontnp a écrit:
L'équivalent d'excel sous OO est plus complet donc...
Pour revenir aux failles, cela m'étonnerait beaucoup que les virus migrent du côté de firefox et de OO à un stade équivalent à MS étant donné que ce sont des logiciels libres et donc dès qu'une faille est trouvée elle est rapidement corrigée. C'est la différence entre MS qui vend et qui une fois l'argent récolté se sent obligé de corriger quelques trucs et les autres qui le font bénévolement cherchant la qualité et ayant de la réactivité. N'allez pas comprendre dans mes propos : les logiciels payants c'est nul.

Il n'y a pas de cause à effet : Logiciel libre => Faille corrigée.
Tu as les hypotheses et tu n'arrives pas à conclure.

Open Office et Firefox peu rependus => Les pirates ne s'y interessent pas.
Open Office et Firefox ne sont pas de Microsoft => Beaucoup de concurrent de Microsoft passent sous silence les gouffres qui sont chez eux ou plus simplement ne cherchent pas.

Rontnp a écrit:
L'équivalent d'excel sous OO est plus complet donc...

http://www.clubic.com/actualite-33596-open...rformances.html

"A ce propos, Michael Meeks, a précisé que [...] « Excel dispose d'une équipe de développeurs importante et c'est une très belle réalisation. Nous sommes vraiment en retard à ce niveau. Calc est sans aucun doute la prochaine partie de la suite que nous devons améliorer »"

:neutre:

kookiz33 a écrit:
http://www.clubic.com/actualite-33596-open...rformances.html

"A ce propos, Michael Meeks, a précisé que [...] « Excel dispose d'une équipe de développeurs importante et c'est une très belle réalisation. Nous sommes vraiment en retard à ce niveau. Calc est sans aucun doute la prochaine partie de la suite que nous devons améliorer »"

:neutre:

Alors là, c'est vraiment pas bien de sortir une phrase de son contexte .
Michael Meeks parle de l'optimisation de calc, pas de ses fonctionnalités.

Michael Meeks, a précisé que « OpenOffice profitera d'un important gain de rapidité tous les trois mois avec ces nouvelles versions ... ». Les premières optimisations devraient se concentrer sur Calc, un concurrent d'Excel : « Excel dispose d'une équipe de développeurs importante et c'est une très belle réalisation. Nous sommes vraiment en retard à ce niveau. Calc est sans aucun doute la prochaine partie de la suite que nous devons améliorer

Bref, Excel est une belle réalisation au niveau de l'optimisation.
Calc est en retard au niveau de l'optimisation, par rapport à leur planing .

Par contre au niveau fonctionnalité, Calc n'est pas en retard (même en avance par certains cotés)

BetaGamma a écrit:
Il n'y a pas de cause à effet : Logiciel libre => Faille corrigée.

Ce n'est pas une démonstration, c'est un constat.
Les failles des logiciels libres sont plus rapidement corrigées.
Entre autres, comme tu le dis, parce que certains éditeurs (Microsoft inclus)
passent sous silence des failles de sécurité tant quelles ne sont pas publiques.

Open Office et Firefox peu rependus => Les pirates ne s'y interessent pas.

Ce n'est pas parce qu'un logciel est répendu qu'il est plus piratable, voir
le nombre d'attaques IIS par rapport au attaques sur apache.
Mon serveur apache recoit plus souvent d'attaques IIS que d'attaque apache.
Selon la logique du logiciel le plus répandu, cela devrait être l'inverse.

Open Office et Firefox ne sont pas de Microsoft =>  Beaucoup de concurrent de Microsoft passent sous silence les gouffres qui sont chez eux ou plus simplement ne cherchent pas.

Mais microsoft, eux, ils ne taissent jamais leur failles... :lol:
En général ils les sous-estiment.
Ils disent même ouvertement que certains failles ne seront pas corrigées.
Parce que le support du produit sera bientôt terminé, pas terminé, mais bientôt terminé!

BetaGamma a écrit:
Ne vous avez je pas prevenu sur le comportement de Symantec ?
Coordonner des sorties repetées de failles dans Office au moment de la sortie de la suite de securité Concurrente de Microsoft !!!

Mais personne ne m'a cru et pourtant mes sources sont "tres" bonnes !

Office et Open Office (desolé pour les pro open source, tout ca) sont des produits extremement complexes et divisés en de nombreux modules. Ils contiennent du code antediluviens. Ils sont donc tres fragiles.
Esperons que les prochaines versions Office 2007 et Open Office xxx soient entierement consitués de code neuf.

Mais c'est net, obliger c'etait encore decouvert par symantec, ils en ont cherché des tonnes pendant des mois, et la comme par hasard, 3 la meme semaine ... ^^ mais lol koi !

dans quelques jours vont poster la 4eme, et la semaine prochaine sortent leur nouveau tableur :MDR

Je n'ai pas dit que toutes les failles des logiciels libres étaient instamment corrigées. Seulement la différence avec OO et Ms Office, c'est qu'il y en a un qui cherche la qualité pour être répandu et l'autre l'est déjà donc pas besoin de faire de gros efforts de ce côté. Idem pour firefox et IE. Pourtant MS Office est un logiciel que j'apprécie et comme presque tout le monde j'ai d'abord appris par lui plutôt que par OO.

Alex a écrit:
Le prochain « Patch tuesday », jour de la livraison mensuelle des correctifs pour logiciels Microsoft

Il n'y a pas vraiment de patch day, des fois c'est mercredi, des fois c'est jeudi, des fois mardi.
Par contre c'est vrai que c'est plus souvent mardi et mercredi, et même plus mercredi que mardi.

monsieurdupond a écrit:
mais quand tout le monde se mettra a open office et firefox, les virus se déplaceront vers ces softs

pourquoi ?

60% des gens se sont tournés vers apache et le www n'est pas à genoux pour autant ?