 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 12 juillet 2006
No CERTA-2006-AVI-285 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités dans Microsoft Excel
Tableau 1: Gestion du document
| Référence |
CERTA-2006-AVI-285 |
| Titre |
Multiples
vulnérabilités dans Microsoft
Excel |
| Date de la première
version |
12 juillet 2006 |
| Date de la dernière
version |
- |
| Source(s) |
Bulletin de
sécurité Microsoft MS06-037 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Exécution de code arbitraire à distance
;
- déni de service à distance.
- Microsoft Office 2003 Service Pack 1 ;
- Microsoft Office 2003 Service Pack 2 ;
- Microsoft Office XP Service Pack 3 ;
- Microsoft Office 2000 Service Pack 3 ;
- Microsoft Office 2004 pour Mac ;
- Microsoft Office version X pour Mac.
Plusieurs vulnérabilités sont présentes
dans Microsoft Excel. Certaines de ces
vulnérabilités peuvent être
exploitées par un utilisateur distant pour
exécuter du code arbitraire sur le système ayant
la version vulnérable de ce logiciel.
Huit vulnérabilités sont présentes dans le
logiciel Microsoft Excel :
- Deux vulnérabilités existent dans les
enregistrements SELECTION
(CVE-2006-1301 et CVE-2006-1302). Ces
vulnérabilités peuvent être
exploitées par un utilisateur mal intentionné
à partir d'un enregistrement SELECTION dans un fichier Excel pour
exécuter du code arbitraire sur le poste d'un
utilisateur ouvrant le fichier spécialement
construit.
- Une vulnérabilité existe dans les
enregistrements COLINFO
(CVE-2006-1304). Cette vulnérabilité peut
être exploitée par un utilisateur mal
intentionné à partir d'un enregistrement COLINFO dans un fichier Excel pour
exécuter du code arbitraire sur le poste d'un
utilisateur ouvrant le fichier spécialement
construit.
- Une vulnérabilité existe dans les
enregistrements OBJECT
(CVE-2006-1306). Cette vulnérabilité peut
être exploitée par un utilisateur mal
intentionné à partir d'un enregistrement OBJECT dans un fichier Excel pour
exécuter du code arbitraire sur le poste d'un
utilisateur ouvrant le fichier spécialement
construit.
- Une vulnérabilité existe dans les
enregistrements FNGROUPCOUNT
(CVE-2006-1308). Cette vulnérabilité peut
être exploitée par un utilisateur mal
intentionné à partir d'un enregistrement FNGROUPCOUNT dans un fichier Excel pour
exécuter du code arbitraire sur le poste d'un
utilisateur ouvrant le fichier spécialement
construit.
- Une vulnérabilité existe dans les
enregistrements LABEL
(CVE-2006-1309). Cette vulnérabilité peut
être exploitée par un utilisateur mal
intentionné à partir d'un enregistrement LABEL dans un fichier Excel malveillant
pour exécuter du code arbitraire sur le poste d'un
utilisateur ouvrant le fichier malcieusement construit.
- Les deux dernières vulnérabilités
présentes sur Excel peuvent être
exploitées par un utilisateur mal intentionné
à partir d'un fichier Excel malveillant (CVE-2006-2388
CVE-2006-3059). La dernière de ces
vulnérabilité à fait l'objet d'une
alerte au CERTA le 16 juin 2006.
Se référer au bulletin de sécurité
de l'éditeur pour l'obtention des correctifs (cf.
section Documentation).
- 12 juillet 2006
- version initiale.
CERTA
2012-01-04
|
|
)
