SecunewsMicrosoft annonce qu'une faille des composants Web de la suite bureautique Office (et d'autres modules) permettrait à des individus malintentionnés de s'emparer du contrôle à distance d'un PC par le biais d'une page Web spécialement conçue pour exploiter cette brèche.
Microsoft indique qu'un pirate distant pourrait exploiter la faille des composants Web d'Office XP et 2003 pour obtenir les droits d'un utilisateur local.
Selon le bulletin de sécurité de microsoft, les utilisateurs d'Outlook et Outlook Express sont partiellement protégés des exploitations par mail, car la configuration par défaut empêche l'exécution automatique de scripts ou de modules ActiveX.
Cependant, le géant de Redmond signale que ces mesures pourraient être outrepassées si l'utilisateur clique sur un lien malveillant.
Microsoft indique également qu'Internet Explorer pourrait permettre l'exécution d'instructions à distance sur des pages Web exploitant cette brèche de sécurité.
Cette faille serait déjà exploitée sur Internet, notamment grâce à l'affichage des feuilles de calcul Excel intégrées à des sites Web.
La faille des composants Web, décrite dans "l'avertissement de sécurité kb973472", affecte les logiciels suivants:
- Microsoft Office XP Service Pack 3
- Microsoft Office 2003 Service Pack 3
- Microsoft Office XP Web Components Service Pack 3
- Microsoft Office 2003 Web Components Service Pack 3
- Microsoft Office 2003 Web Components for the 2007 microsoft Office system Service Pack 1
- Microsoft Internet Security and Acceleration Server 2004 Standard Edition Service Pack 3
- Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition Service Pack 3
- Microsoft Internet Security and Acceleration Server 2006
- Internet Security and Acceleration Server 2006 Supportability Update
- Microsoft Internet Security and Acceleration Server 2006 Service Pack 1
- Microsoft Office Small Business Accounting 2006
Il n'existe pas encore de correctif à l'heure actuelle, mais l'exploitation de la brèche peut être contrecarrée par une solution de contournement proposée par Microsoft.
Fix-it Microsoft, solution de contournement - KB973472
@+
