S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 15 avril 2009 No CERTA-2009-AVI-147

Affaire suivie par :

CERTA

Objet : Vulnérabilité dans Microsoft Excel

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Exécution de code arbitraire à distance.

2 Systèmes affectés

• Microsoft Office Excel 2000 Service Pack 3 ;
• Microsoft Office Excel 2002 Service Pack 3 ;
• Microsoft Office Excel 2003 Service Pack 3 ;
• Microsoft Office Excel 2007 Service Pack 1 ;
• Microsoft Office Excel Viewer 2003 ;
• Microsoft Office Excel Viewer 2003 Service Pack 3 ;
• Microsoft Office Excel Viewer ;
• Microsoft Office Compatibility Pack pour Word, Excel et Powerpoint 2007, Service Pack 1 ;
• Microsoft Office 2004 pour Mac ;
• Microsoft Office 2008 pour Mac.

3 Résumé

4 Description

Cette vulnérabilité est due à la mauvaise interprétation de certains objets des documents XLS, provoquant ainsi une corruption de mémoire. L'exploitation de cette vulnérabilité permet à une personne malintentionnée d'exécuter du code arbitraire via un document XLS spécialement construit.

5 Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

6 Documentation

• Bulletin de sécurité Microsoft MS09-009 du 14 avril 2009 :

  http://www.microsoft.com/france/technet/security/Bulletin/MS09-009.mspx
  

  http://www.microsoft.com/technet/security/Bulletin/MS09-009.mspx
  

• Référence CVE CVE-2009-0100 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0100
  

• Référence CVE CVE-2009-0238 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0238
  

• Alerte du CERTA numéro CERTA-2009-ALE-002 du 25 février 2009 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2009-ALE-002/index.html
  

Gestion détaillée du document

15 avril 2009

version initiale.