Microsoft Office Logo Le troisième Patch Tuesday de l'année pour Microsoft aura été marqué du sceau d'Office. L'ensemble des bulletins publiés, tous qualifiés de critiques (vulnérabilités exploitables à distance), concernent en effet la suite bureautique de Microsoft. Particulièrement dans la ligne de mire sécuritaire, le tableur Excel avec pas moins de sept vulnérabilités l'affectant à des degrés divers.


Le cas Excel est réglé
Selon Microsoft, la mise à jour prodiguée pour Excel corrige sept vulnérabilités qui permettent l'exécution de code à distance en cas d'ouverture par l'utilisateur pris pour cible d'un fichier spécialement conçu, avec le risque inhérent de prise de contrôle du système vulnérable. Les vulnérabilités résultent d'erreurs dans la manière dont Excel valide des données lors de l'ouverture d'un fichier, traite les données lors de l'importation de fichiers, traite les formules ou encore les macros.

Au mois de janvier, Microsoft avait d'ailleurs déjà alerté au sujet d'attaques ciblées exploitant une faille 0-day identifiée dans Microsoft Office Excel 2000 SP3, Office Excel 2002 SP3, Office Excel 2003 SP2, Office Excel Viewer 2003 et Office Excel 2004 pour Mac, qui est donc désormais comblée. A noter également que Excel 2007 est aussi concerné par la mise à jour de sécurité.

Outre Excel qui représente la grosse partie du gâteau, des mises à jour sont adressées pour :
  • Outlook : une vulnérabilité due à une erreur de traitement au niveau de certaines URIs " mailto: ". Outlook 2007 est concerné.
  • Office 2000 SP3, XP SP3, 2003 SP2 et Office 2004 pour Mac : deux vulnérabilités.
  • Office Web Components 2000 : deux vulnérabilités dues à des corruptions de mémoire eu égard à la mauvaise gestion de certaines données malformées comme par exemple une URL.