CERTA-2008-ALE-003
Vulnerability from certfr_alerte
Une vulnérabilité dans plusieurs versions du tableur Excel permet une exécution de code arbitraire.
Description
Une vulnérabilité, non publique mais confirmée par l'éditeur, est présente dans plusieurs versions du tableur Excel. L'exploitation de cette vulnérabilité, au travers d'un document spécialement conçu, permet l'exécution de code arbitraire. Le code est exécuté avec les droits de l'utilisateur qui ouvre le document malveillant. L'utilisateur malveillant doit inciter l'utilisateur du logiciel vulnérable à ouvrir un document malveillant.
Cette vulnérabilité serait exploitée, à la date de rédaction de cette alerte.
Les versions suivantes d'Excel ne seraient pas vulnérables :
- 2003 SP3 ;
- 2007 ;
- 2008 pour Mac.
Cette vulnérabilité est corrigée et mentionnée dans le bulletin Microsoft MS08-014 publié le 11 mars 2008. Ce dernier est détaillé dans l'avis CERTA-2008-AVI-125.
Contournement provisoire
Dans l'attente d'un correctif, plusieurs mesures permettent de réduire l'impact de l'exploitation de cette vulnérabilité :
- utiliser une version non vulnérable ou un logiciel alternatif (visualisateur, tableur ou suite bureautique) ;
- n'ouvrir que des documents de confiance ;
- être circonspect à l'égard des pièces jointes de courriels et des documents téléchargés ;
- travailler avec un compte aux droits restreints (principe du moindre privilège).
Solution
Se référer au bulletin de sécurité MS08-014 de Microsoft pour l'obtention des correctifs (cf. section Documentation).
Microsoft Office Excel dans les versions suivantes :
- 2000 ;
- 2002 ;
- 2003 SP2 ;
- 2004 pour Mac.
Microsoft Office Excel Viewer 2003.
Impacted products
| Vendor | Product | Description |
|---|
References
| Title | Publication Time | Tags | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
|
|||||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cP\u003eMicrosoft Office Excel dans les versions suivantes :\u003c/P\u003e \u003cUL\u003e \u003cLI\u003e2000 ;\u003c/LI\u003e \u003cLI\u003e2002 ;\u003c/LI\u003e \u003cLI\u003e2003 SP2 ;\u003c/LI\u003e \u003cLI\u003e2004 pour Mac.\u003c/LI\u003e \u003c/UL\u003e \u003cP\u003eMicrosoft Office Excel Viewer 2003.\u003c/P\u003e",
"closed_at": "2008-03-12",
"content": "## Description\n\nUne vuln\u00e9rabilit\u00e9, non publique mais confirm\u00e9e par l\u0027\u00e9diteur, est\npr\u00e9sente dans plusieurs versions du tableur Excel. L\u0027exploitation de\ncette vuln\u00e9rabilit\u00e9, au travers d\u0027un document sp\u00e9cialement con\u00e7u, permet\nl\u0027ex\u00e9cution de code arbitraire. Le code est ex\u00e9cut\u00e9 avec les droits de\nl\u0027utilisateur qui ouvre le document malveillant. L\u0027utilisateur\nmalveillant doit inciter l\u0027utilisateur du logiciel vuln\u00e9rable \u00e0 ouvrir\nun document malveillant.\n\nCette vuln\u00e9rabilit\u00e9 serait exploit\u00e9e, \u00e0 la date de r\u00e9daction de cette\nalerte.\n\nLes versions suivantes d\u0027Excel ne seraient pas vuln\u00e9rables :\n\n- 2003 SP3 ;\n- 2007 ;\n- 2008 pour Mac.\n\nCette vuln\u00e9rabilit\u00e9 est corrig\u00e9e et mentionn\u00e9e dans le bulletin\nMicrosoft MS08-014 publi\u00e9 le 11 mars 2008. Ce dernier est d\u00e9taill\u00e9 dans\nl\u0027avis CERTA-2008-AVI-125.\n\n## Contournement provisoire\n\nDans l\u0027attente d\u0027un correctif, plusieurs mesures permettent de r\u00e9duire\nl\u0027impact de l\u0027exploitation de cette vuln\u00e9rabilit\u00e9 :\n\n- utiliser une version non vuln\u00e9rable ou un logiciel alternatif\n (visualisateur, tableur ou suite bureautique) ;\n- n\u0027ouvrir que des documents de confiance ;\n- \u00eatre circonspect \u00e0 l\u0027\u00e9gard des pi\u00e8ces jointes de courriels et des\n documents t\u00e9l\u00e9charg\u00e9s ;\n- travailler avec un compte aux droits restreints (principe du moindre\n privil\u00e8ge).\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 MS08-014 de Microsoft pour\nl\u0027obtention des correctifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2008-0081",
"url": "https://www.cve.org/CVERecord?id=CVE-2008-0081"
}
],
"initial_release_date": "2008-01-16T00:00:00",
"last_revision_date": "2008-03-12T00:00:00",
"links": [
{
"title": "Bulletin de s\u00e9curit\u00e9 Microsoft 947563 du 15 janvier 2008 :",
"url": "http://www.microsoft.com/technet/security/advisory/947563.mspx"
},
{
"title": "Avis CERTA-2008-AVI-125 du 12 mars 2008 :",
"url": "http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-125/"
}
],
"reference": "CERTA-2008-ALE-003",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2008-01-16T00:00:00.000000"
},
{
"description": "ajout des r\u00e9f\u00e9rences au bulletin MS08-14 et \u00e0 l\u0027avis correspondant.",
"revision_date": "2008-03-12T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 dans plusieurs versions du tableur Excel permet une\nex\u00e9cution de code arbitraire.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans Excel",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin Microsoft 947563 du 15 janvier 2008",
"url": null
}
]
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
- Confirmed: The vulnerability is confirmed from an analyst perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
- Patched: This vulnerability was successfully patched by the user reporting the sighting.
- Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
- Not confirmed: The user expresses doubt about the veracity of the vulnerability.
- Not patched: This vulnerability was not successfully patched by the user reporting the sighting.
Loading…
Loading…