0
Et de deux ! Lundi, Microsoft admettait l'existence d'une faille de sécurité critique dans son tableur Excel et publiait dans la foulée un bulletin de sécurité indiquant d'un correctif serait prochainement distribué (voir Microsoft reconnaît une faille critique dans Excel). Las... dans le même temps, plusieurs éditeurs spécialisés en sécurité informatique ont indiqué avoir découvert l'existence d'une seconde vulnérabilité dans le tableur de Microsoft, qui ne serait pas liée à la première.
Les avis sur cette vulnérabilité vont de moyennement dangereuse à critique. En réalité, les seuls méfaits constatés pour le moment grâce aux « proof of concept » se limitent à la fermeture inopinée du logiciel. Cependant, certains estiment que convenablement exploitée, elle pourrait permettre l'injection de code malicieux ou la prise de contrôle à distance de la machine infectée. Le problème réside dans la façon dont le tableur réagit lorsque l'utilisateur clique sur un long lien hypertexte contenu dans l'une des cellules d'un document Excel, et serait relatif à la DLL (bibliothèque de fonctions) chargée du traitement des liens hypertextes.
Microsoft n'a pas encore réagi à l'annonce de cette seconde faille. On ne sait donc pas si l'éditeur choisira de proposer un correctif anticipé ou d'attendre le prochain « Patch tuesday » pour corriger ces problèmes avec la traditionnelle livraison de correctifs du deuxième mardi du mois.
Les avis sur cette vulnérabilité vont de moyennement dangereuse à critique. En réalité, les seuls méfaits constatés pour le moment grâce aux « proof of concept » se limitent à la fermeture inopinée du logiciel. Cependant, certains estiment que convenablement exploitée, elle pourrait permettre l'injection de code malicieux ou la prise de contrôle à distance de la machine infectée. Le problème réside dans la façon dont le tableur réagit lorsque l'utilisateur clique sur un long lien hypertexte contenu dans l'une des cellules d'un document Excel, et serait relatif à la DLL (bibliothèque de fonctions) chargée du traitement des liens hypertextes.
Microsoft n'a pas encore réagi à l'annonce de cette seconde faille. On ne sait donc pas si l'éditeur choisira de proposer un correctif anticipé ou d'attendre le prochain « Patch tuesday » pour corriger ces problèmes avec la traditionnelle livraison de correctifs du deuxième mardi du mois.
