S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 13 août 2008 No CERTA-2008-ALE-010-001

Affaire suivie par :

CERTA

Objet : Vulnérabilité dans Microsoft Word

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Exécution de code arbitraire à distance.

2 Systèmes affectés

Microsoft Office Word 2002 Service Pack 3.

3 Résumé

Une vulnérabilité dans Microsoft Word 2002 permet à une personne malintentionnée d'exécuter du code arbitraire à distance.

4 Description

Une vulnérabilité a été identifiée dans Microsoft Word 2002. Une personne malintentionnée peut exécuter du code arbitraire à distance en incitant une victime à ouvrir un document Word spécialement conçu.

Selon Microsoft, la vulnérabilité est actuellement exploitée.

5 Contournement provisoire

Les mesures suivantes sont recommandées :

• utiliser une version plus récente de Microsoft Word ;
• utiliser Word Viewer 2003 SP3 pour visionner et imprimer des fichiers Word ;
• utiliser un logiciel alternatif tel que OpenOffice.org ;
• n'ouvrir que des documents provenant de sources de confiance ;
• utiliser un compte aux droits restreints.

6 Solution

Se référer au bulletin de sécurité MS08-042 de Microsoft pour l'obtention des correctifs (cf. section Documentation).

Ce dernier est détaillé dans l'avis CERTA-2008-AVI-403.

7 Documentation

• Avis du CERTA CERTA-2008-AVI-403 du 13 août 2008 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-403/
  

• Bulletin de sécurité Microsoft 953635 du 08 juillet 2008 :

  http://www.microsoft.com/technet/security/advisory/953635.mspx
  

• Référence CVE CVE-2008-2244 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2244
  

Gestion détaillée du document

09 juillet 2008

version initiale.

13 août 2008

publication du correctif par Microsoft.