Une vulnérabilité, classée comme critique par la société anti-malware Sophos, a été découverte dans un ActiveX qui fait partie des composants Web de Microsoft Office 10 et 11, et qui est déjà utilisé dans des attaques en ligne et pourrait avoir déjà fait partie d’un kit d’exploitation. L’information provient de Vanja Svajcer dans un article pour le blog de Sophos Lab.
Il est intéressant de noter que les deux versions n’ont pas la vulnérabilité dans leur installation par défaut. Toutefois, les personnes qui ont installé les produits suivants, énumérés ci-dessous, seront vulnérables. C’est eux :
Office XP SP3 ;
Bureau 2003 SP3 ;
Composants Web Office XP SP3 ;
Office 2003 Web Components SP3 ;
Composants Web Office 2003 pour le système Microsoft Office SP1 2007 ;
Internet Security and Acceleration Server 2004 Standard Edition SP3 ;
Internet Security and Acceleration Server 2004 Enterprise Edition SP3 ;
Internet Security and Acceleration Server 2006 ;
Internet Security and Acceleration Server 2006 SP1 ;
Office Small Business Accounting 2006.
L’ActiveX intégré dans les composants Web de l’Office permet de visualiser des feuilles de calcul, ainsi que des bases de données et des tableaux, directement depuis Internet. Avec l’exploit, si l’utilisateur accède au site malveillant en utilisant Internet Explorer, l’attaquant peut obtenir tous les droits d’utilisateur et exécuter le code malveillant librement.
La recommandation pour ceux qui disposent de votre système vulnérable est de le mettre à niveau dès qu’il est disponible. En attendant, évitez de visiter des sites inconnus ou choisissez un meilleur navigateur. [BetaNews]
