0
Les chercheurs en sécurité n'en auraient-ils que pour Excel ? Le tableur de Microsoft semble en tout cas la cible de toutes leurs attentions puisqu'ils viennent de mettre à jour une nouvelle vulnérabilité, qui permettrait d'exécuter du code malicieux à l'ouverture d'un document vérolé. Cette faille de sécurité est tout de même la troisième découverte en moins de deux semaines...
La première peut être exploitée par des chevaux de Troie, tandis que la deuxième concerne la façon dont Excel interprète les liens hypertextes contenus dans un document. La petite troisième, découverte par les gens de , a rapport avec la façon dont Excel gère l'intégration d'objets en flash dans un document. Ces objets, animés ou non, sont généralement utilisés pour insérer graphiques et courbes au sein d'un document.
Le problème est que si l'animation Flash est intégrée à l'aide du Shockwave Flash Object, elle est automatiquement déclenchée à l'ouverture du document Excel. Il suffit donc à l'utilisateur de recevoir et d'ouvrir un fichier vérolé pour se voir infecté.
Selon Microsoft, la faille permettrait en réalité de lancer des contrôles ActiveX depuis la suite Office, de la même façon qu'ils peuvent être lancés depuis Internet Explorer. L'éditeur indique qu'à sa connaissance, aucun contrôle de ce type ne permet de prendre le contrôle d'un PC à distance. Il précise par ailleurs que si un contrôle ActiveX de ce type était découvert, il est possible de gérer manuellement, via la base de registres, la façon dont ceux-ci sont activés, et renvoie vers son site d'aide et de support.
Pour l'instant, aucun correctif n'est annoncé. Le prochain « Patch tuesday », jour de la livraison mensuelle des correctifs pour logiciels Microsoft, pourrait bien être chargé...
La première peut être exploitée par des chevaux de Troie, tandis que la deuxième concerne la façon dont Excel interprète les liens hypertextes contenus dans un document. La petite troisième, découverte par les gens de , a rapport avec la façon dont Excel gère l'intégration d'objets en flash dans un document. Ces objets, animés ou non, sont généralement utilisés pour insérer graphiques et courbes au sein d'un document.
Le problème est que si l'animation Flash est intégrée à l'aide du Shockwave Flash Object, elle est automatiquement déclenchée à l'ouverture du document Excel. Il suffit donc à l'utilisateur de recevoir et d'ouvrir un fichier vérolé pour se voir infecté.
Selon Microsoft, la faille permettrait en réalité de lancer des contrôles ActiveX depuis la suite Office, de la même façon qu'ils peuvent être lancés depuis Internet Explorer. L'éditeur indique qu'à sa connaissance, aucun contrôle de ce type ne permet de prendre le contrôle d'un PC à distance. Il précise par ailleurs que si un contrôle ActiveX de ce type était découvert, il est possible de gérer manuellement, via la base de registres, la façon dont ceux-ci sont activés, et renvoie vers son site d'aide et de support.
Pour l'instant, aucun correctif n'est annoncé. Le prochain « Patch tuesday », jour de la livraison mensuelle des correctifs pour logiciels Microsoft, pourrait bien être chargé...
