Risque
Exécution de code arbitraire.
Systèmes affectés
- Microsoft Office XP SP3, 2003 SP3, 2007 SP2 et 2010 ;
- Microsoft Office pour Mac 2004, 2008 et 2011 ;
- Open XML File Format Converter pour Mac.
Résumé
Plusieurs vulnérabilités dans Microsoft Office permettent à un utilisateur malveillant d'exécuter du code avec les droits de l'utilisateur connecté.
Description
Plusieurs vulnérabilités dans Microsoft Office permettent à un utilisateur malveillant d'exécuter du code avec les droits de l'utilisateur connecté :
- une possibilité de débordement de mémoire dans le traitement des fichiers au format RTF est exploitable au moyen d'un fichier spécialement conçu ;
- des corruptions de mémoire dans les traitements de dessin et d'objets graphiques sont exploitables au moyen de fichiers Office spécialement construits ;
- la gestion d'une violation d'accès est également exploitable en utilisant un fichier Office spécialement conçu ;
- l'ordre de recherche des bibliothèques (DLL) est utilisable pour substituer une bibliothèque malveillante.
Solution
À la date du 10 novembre 2010, les correctifs pour Microsoft Office pour Mac 2004 et 2008 et pour Open XML File Format Converter ne sont pas encore disponibles.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS10-087 du 09 novembre 2010 :
http://www.microsoft.com/france/technet/security/Bulletin/MS10-087.mspx
http://www.microsoft.com/technet/security/Bulletin/MS10-087.mspx
- Référence CVE CVE-2010-3333 :
https://www.cve.org/CVERecord?id=CVE-2010-3333
- Référence CVE CVE-2010-3334 :
https://www.cve.org/CVERecord?id=CVE-2010-3334
- Référence CVE CVE-2010-3335 :
https://www.cve.org/CVERecord?id=CVE-2010-3335
- Référence CVE CVE-2010-3336 :
https://www.cve.org/CVERecord?id=CVE-2010-3336
- Référence CVE CVE-2010-3337 :
https://www.cve.org/CVERecord?id=CVE-2010-3337
