Encore une faille critique sous Microsoft Excel

Microsoft a décidément des problèmes avec son tableur vedette, Excel. A peine a-t-il annoncé se pencher sérieusement sur une première faille critique affectant son logiciel, qu'une nouvelle vulnérabilité est débusquée.


Excel... comme dans Excellence '
Une deuxième faille affectant Microsoft Excel vient donc d'être mise au jour, d'abord par Symantec, lundi, qui estime que seule une fermeture inopinée de l'application est à craindre ; un autre spécialiste de la sécurité informatique, le Danois Secunia, pense au contraire que le problème est plus grave, et que l'exécution arbitraire d'un code malicieux est rendu possible par cette faille, même si aucune exploitation n'a encore été relevée.

En cause, cette fois, la manière dont Excel gère l'insertion d'hyper-liens dans un tableau, au moyen de la DLL "hlink.dll" : un lien soigneusement trafiqué pourrait en effet dans un premier temps entraîner un classique débordement de mémoire tampon, et provoquer le "plantage" de l'application. Tant Symantec que Secunia recommande de ne pas ouvrir de document Microsoft Office à la provenance douteuse, ce qui ne va pas, c'est évident, faciliter la vie des utilisateurs...


Il est urgent d'attendre
Microsoft, qui n'a toujours pas publié de véritable mise à jour pour Excel en réponse à la première faille, ne dit pas encore s'il le fera avant le prochain Patch Tuesday, prévu le 11 juillet. La rumeur et l'expérience pencheraient plutôt pour une réponse négative, et il y a de fortes chances pour que cette seconde faille sous Excel soit elle aussi traitée à l'occasion de la prochaine fournée de correctifs.

D'ici là, ne cliquez pas n'importe où...