Encore une faille critique sous Microsoft Excel

Le par  |  7 commentaire(s)
Microsoft Excel manuel (Small)

Microsoft a décidément des problèmes avec son tableur vedette, Excel.

Microsoft a décidément des problèmes avec son tableur vedette, Excel. A peine a-t-il annoncé se pencher sérieusement sur une première faille critique affectant son logiciel, qu'une nouvelle vulnérabilité est débusquée.


Excel... comme dans Excellence '
Microsoft excel manuel smallUne deuxième faille affectant Microsoft Excel vient donc d'être mise au jour, d'abord par Symantec, lundi, qui estime que seule une fermeture inopinée de l'application est à craindre ; un autre spécialiste de la sécurité informatique, le Danois Secunia, pense au contraire que le problème est plus grave, et que l'exécution arbitraire d'un code malicieux est rendu possible par cette faille, même si aucune exploitation n'a encore été relevée.

En cause, cette fois, la manière dont Excel gère l'insertion d'hyper-liens dans un tableau, au moyen de la DLL "hlink.dll" : un lien soigneusement trafiqué pourrait en effet dans un premier temps entraîner un classique débordement de mémoire tampon, et provoquer le "plantage" de l'application. Tant Symantec que Secunia recommande de ne pas ouvrir de document Microsoft Office à la provenance douteuse, ce qui ne va pas, c'est évident, faciliter la vie des utilisateurs...


Il est urgent d'attendre
Microsoft, qui n'a toujours pas publié de véritable mise à jour pour Excel en réponse à la première faille, ne dit pas encore s'il le fera avant le prochain Patch Tuesday, prévu le 11 juillet. La rumeur et l'expérience pencheraient plutôt pour une réponse négative, et il y a de fortes chances pour que cette seconde faille sous Excel soit elle aussi traitée à l'occasion de la prochaine fournée de correctifs.

D'ici là, ne cliquez pas n'importe où...


Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #114899
Franchement, ça fait plaisir de payer.
Si si, ça fait se sentir en sécurité et c'est la condition d'une réactivité hors pair.
Le #114921
C'est la saint Microsoft aujourd'hui '
Ange-G. >Ta new fait un peu doublon avec celle de jérome, entre parenthèse...
Le #114937
Jicebe : oui... et non, car moi je parle de la DLL, moi, môssieur...

(ce qu'on pourrait traduire par : "oups...")
Le #114953
Excellent !

Jamis deux sans TROIS !

Mais la plus grosse faille c'est Balmer qui reste au commande chez Microsoft !
Le #114964
ericle >Le rapport entre Balmer et Excel '''
ps: Trouve un tueur sur le web!! (sous contrat!)
Le #115018
maintenant qu'il est de plus en plus rare de trouver des failles sous ie, les pirates s'attaquent à office qui n'a jamais été conçu dans une optique de sécurité (open office non plus d'ailleurs), et évidemment il y a certainement des centaines de failles de type buffer overflow à exploiter et qui n'attendent que d'etre découvertes!

et l'ironie dans tout ça c'est que microsoft utilise le moteur de rendu html de word dans outlook 2007, et plus celui de IE... finalement ce n'est peut etre pas une bonne idée ce changement

"Mais la plus grosse faille c'est Balmer qui reste au commande chez Microsoft !"

je suis sûr que si on comparait le QI d'ericle à celui de steve balmer, ericle aurait une mauvaise surprise!
Le #115026
LEs deux dernieres failles Excel ont été decouvertes par Symantec.

De source tres bien informée, symantec a prevu de coordonner la decouverte de failles dans les produits Microsoft avec la sortie de la suite Microsoft de securité.

De bonne guerre commerciale mais assez indelicat pour les utilisateurs.

Bref, il se pourrait bien qu'il en sorte encore dans les jours qui viennent.
Ce n'est pas un hasard est tout est parfaitement coodonné. Et comme IE est maintenant surveillé de prés, ils s'attaquent à Office.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]