 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 12 juillet 2006
No CERTA-2006-AVI-284 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Vulnérabilités de
certains filtres de Microsoft Office
Tableau 1: Gestion du document
| Référence |
CERTA-2006-AVI-284 |
| Titre |
Vulnérabilités de
certains filtres de Microsoft Office |
| Date de la première
version |
12 juillet 2006 |
| Date de la dernière
version |
- |
| Source(s) |
Bulletin de
sécurité de Microsoft du 11 juillet
2006 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
Exécution de code arbitraire à distance.
- Microsoft Office 2003 Service Pack 1 et Service Pack 2
;
- Microsoft Office XP Service Pack 3 ;
- Microsoft Office 2000 Service Pack 3 ;
- Microsoft Project 2002 ;
- Microsoft Project 2000 ;
- Microsoft Works Suites : 2004, 2005 et 2006.
Les visionneuses Microsoft Office, ainsi que Microsoft
Office 2004 et Microsoft Office v. X pour MacOS ne sont pas
concernées.
Deux vulnérabilités ont été
identifiées dans Microsoft Office. Elles concernent le
filtrage de certains fichiers :
- la première vise le format PNG. Microsoft
Office ne vérifie pas correctement l'allocation de
l'espace mémoire. Une personne malveillante peut donc
construire un fichier .PNG mal formé
exploitant cette vulnérabilité, dans le but
d'exécuter des commandes arbitraires sur le
système vulnérable, quand l'utilisateur ouvrira
ce fichier via Microsoft Office.
- la seconde vise le format GIF. Microsoft Office
ne vérifie pas correctement l'allocation de l'espace
mémoire lorsqu'il ouvre un fichier GIF. Un utilisateur
malveillant peut construire un fichier spécial
contenant une chaîne de caractères mal
formée, afin d'exécuter du code arbitraire sur
le système affecté.
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 12 juillet 2006
- version initiale.
CERTA
2012-01-04
|
|
)
