Pour toutes les versions d'Office, Microsoft a corrigé mardi une vulnérabilité de type exécution de code à distance au niveau de dangerosité jugé non critique. Il s'avère que cette faille était cachée dans la suite bureautique depuis 17 ans.
La vulnérabilité se situait dans l'exécutable Microsoft Equation Editor (eqnedt32.exe) permettant d'ajouter et éditer des équations dans des documents Word en tant qu'objet OLE (Object Linking and Embedding).
Le bug de sécurité a été découvert par des chercheurs de Embedi. Ils expliquent que Microsoft Equation Editor remonte à novembre 2000 pour sa compilation. Ce composant a fait partie d'Office 2000 à 2003.
À partir d'Office 2007, les méthodes pour l'affichage et l'édition d'équations ont changé. Le composant est devenu obsolète, mais il n'a pas été supprimé. Probablement dans un souci de compatibilité en rapport avec OLE et d'anciens documents.
Les chercheurs ont notamment trouvé un moyen d'exploiter la vulnérabilité en utilisant des dépassements de tampon s'appuyant sur des objets OLE. C'est presque un comble, le souci a été identifié grâce à l'outil BinScope de Microsoft qui permet d'analyser des fichiers afin de déterminer s'ils respectent ses standards de développement de logiciels sécurisés.
En plus de l'application du patch de Microsoft, Embedi recommande tout de même aux administrateurs de désactiver eqnedt32.exe dans la base de registre de Windows.
