Excel frappé par une vulnérabilité hautement critique

Une vulnérabilité permettant à un pirate d’accéder à distance à un système a été détectée dans l’application Microsoft Excel. La faille affecte plusieurs versions du logiciel de tableur, notamment Excel 2000, 2002 et 2003, ainsi que les versions de Microsoft Office contenant ces versions. La vulnérabilité peut également être exploitée dans Excel Viewer 2003 et Office 2004 pour Mac.

« Secunia Research a découvert une vulnérabilité dans Microsoft Excel qui peut être exploitée par des personnes mal intentionnées dans le but de compromettre le système d’un utilisateur », indique l’éditeur sur son site Web.

La vulnérabilité est due à une erreur qui se produit lors de la validation d’une valeur d’index dans l’enregistrement rtWnDesk. Elle peut être exploitée pour corrompre la mémoire via un fichier Excel Workspace spécialement créé à cet effet. L’exploitation de cette faille permet l’exécution de code malveillant sur le système d’un utilisateur.

Microsoft a de son côté publié les détails des premiers bugs détectés dans les petites applications fournies avec Windows Vista.

L’éditeur a fourni plusieurs correctifs pour les gadgets de Windows Vista dans le cadre de son cycle normal de mise à jour de sécurité (Patch Tuesday). Les failles qui affectent le flux RSS, les contacts et le gadget météo permettraient l’exécution de code malveillant sur les ordinateurs Vista.

« Si un utilisateur s’est abonné à un flux RSS malveillant via le gadget Feed Headlines, s’il a ajouté un fichier de contacts malveillant dans le gadgets Contacts ou encore s’il a cliqué sur un lien malveillant dans le gadget Weather, un pirate peut exécuter du code sur son système », explique Microsoft.

Traduction d’un article de Vnunet.com en date du 16 août 2007.