{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Microsoft Office 2000 pour Windows ;","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Office XP pour Windows.","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Excel 2002 pour Windows ;","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Word 2002 pour Windows ;","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Excel 2000 pour Windows ;","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\nUn module sp\u00e9cifique permet d'informer l'utilisateur de la pr\u00e9sence\nd'une ou plusieurs macros lors de l'ouverture d'un document Excel ou\nWord. Un utilisateur mal intentionn\u00e9 peut, par le biais d'un document\njudicieusement compos\u00e9, contourner ce module et ex\u00e9cuter des macros \u00e0\nl'insu de l'utilisateur.  \n  \nMicrosoft a cr\u00e9\u00e9 le syst\u00e8me DDE (Dynamic Data Exchange) pour pouvoir\nutiliser des donn\u00e9es partag\u00e9es entre plusieurs applications.\nNormalement, chaque application v\u00e9rifie et informe l'utilisateur si une\nmacro doit \u00eatre ex\u00e9cut\u00e9e. Mais il arrive qu'une macro soit ex\u00e9cut\u00e9e dans\nun objet import\u00e9 gr\u00e2ce \u00e0 DDE sans que l'utilisateur n'en soit averti.  \n  \nQuatre nouvelles vuln\u00e9rabilit\u00e9s de ce type ont \u00e9t\u00e9 d\u00e9couvertes :\n\n-   Si un objet contenant une macro est import\u00e9 dans une feuille de\n    calcul Excel, le fait de cliquer sur cet objet ex\u00e9cute la macro sans\n    que l'utilisateur n'en soit averti ;\n-   si un dessin est pourvu d'un lien pointant sur une feuille de calcul\n    Excel, une macro contenue dans cette feuille de calcul est ex\u00e9cut\u00e9e\n    sans que l'utilisateur n'en soit averti ;\n-   si une feuille de calcul Excel au format XSL contient du script\n    HTML, ce script est ex\u00e9cut\u00e9 sans en avertir l'utilisateur ;\n-   Word peut utiliser Access pour en extraire des donn\u00e9es. Si la base\n    Access contient une macro, celle-ci est ex\u00e9cut\u00e9e sans en avertir\n    l'utilisateur.\n\nCe type de vuln\u00e9rabilit\u00e9 peut servir \u00e0 ex\u00e9cuter du code arbitraire,\ncomme par exemple des virus ou des chevaux de Troie.\n\n## Solution\n\nDes correctifs sont disponibles en t\u00e9l\u00e9chargement sur le site web de\nMicrosoft :\n\n    http://www.microsoft.com/technet/security/bulletin/MS02-031.asp\n","cves":[],"links":[],"reference":"CERTA-2002-AVI-132","revisions":[{"description":"version initiale.","revision_date":"2002-06-21T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire"},{"description":"Risque de propagation de virus"}],"summary":"Un utilisateur mal intentionn\u00e9 peut composer un document Excel ou Word\ncontenant des macros sp\u00e9cifiques permettant d'ex\u00e9cuter du code\narbitraire sur la machine cible.\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans Excel et Word pour Windows","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 #MS02-031 de Microsoft","url":"http://www.microsoft.com/technet/security/bulletin/MS02-031.asp"}]}