"Jamais deux sans trois", dit-on parfois. Microsoft aimerait sans doute que ce dicton n'ait jamais été inventé, car son tableur Excel vient de connaître sa troisième faille en moins de deux semaines.


"Et un !... Et deux !... et..."
L'éditeur californien de solutions de sécurité informatique Symantec était déjà à l'origine de la divulgation de la première vulnérabilité relevée sur le tableur Excel de Microsoft. Il remet le couvert avec une nouvelle faille, la troisième en moins de deux semaines. Cette fois, il est question de la manière dont est gérée l'insertion de fichiers Flash dans une feuille de calcul. Symantec s'est rendu compte que dans certaines situations, un objet animé reprenant le technologie Shockwave Flash d'Adobe Macromedia pourrait être piégé en l'accompagnant d'un code malicieux écrit en JavaScript ; à l'ouverture de la feuille de calcul, l'animation Flash serait automatiquement déclenchée, et avec elle le code malicieux. Selon la version de Shockwave Flash employée, il serait même possible de faire exécuter au PC infecté toutes sortes de commandes, directement à l'ouverture du fichier piégé.


Solutions en demi-teinte
Microsoft prend cette nouvelle menace au sérieux, mais rappelle qu'à l'instar du navigateur Web Internet Explorer, la suite bureautique Office présente une protection contre ce genre d'attaque, sous la forme d'un contrôle ActiveX qui refusera de lancer la lecture d'un objet Shockwave Flash sans l'accord de l'utilisateur. L'éditeur de Redmond a déjà mentionné cette technique dans ses documents de support, et recommande les utilisateurs de s'y référer. Symantec, de son côté, encourage vivement les internautes à filtrer les fichiers Excel qu'ils reçoivent par e-mail, et à les scanner au moyen d'un antivirus avant de les ouvrir.