Mardi, Microsoft a diffusé ses rustines mensuelles pour corriger neuf vulnérabilités de sécurité. Le compte de neuf n'est toutefois pas suffisant puisque la firme de Redmond a publié lundi un avis de sécurité dans lequel elle indique qu'une vulnérabilité Office non corrigée est actuellement exploitée. Les cybercriminels ont encore frappé, tirant parti de l'après Patch Tuesday et disposent a priori d'une marge de manœuvre de l'ordre d'un mois pour frapper.
Sont des cibles potentielles les utilisateurs d'Office XP et 2003. Office 2000 SP3 n'est pas affecté, au même titre qu'Office 2007 à moins que l'utilisateur ait installé Office 2003 Web Components pour cette version de la suite bureautique.
La société danoise de sécurité Secunia qui qualifie cette vulnérabilité d'extrêmement critique, soit le niveau maximum de dangerosité, donne plus de précisions. Ladite vulnérabilité est due à une erreur non spécifiée dans le contrôle ActiveX Spreadsheet et peut être exploitée pour une corruption de mémoire, d'où le risque d'exécution de code arbitraire. Internet Explorer est donc un vecteur de l'exploitation lors de la consultation d'une page Web spécialement conçue.
À défaut d'un correctif ou de l'utilisation d'un navigateur Web alternatif, Microsoft propose une habituelle mesure de contournement consistant à désactiver le composant ActiveX impliqué.
