Sécurité: Microsoft présente 12 'patchs' pour Office

Microsoft a encore mis le paquet sur ce ‘mardi des correctifs’, même si le score de février dernier avait mis la barre très haut (11 bulletins, 17 failles…). Cette fois, on compte au total 12 correctifs à opérer sur Office dont une faille déjà exploitée à combler dans Excel. Les 11 premières failles sont considérées comme étant ‘critiques’ et la douzième comme ‘importante’.

Selon plusieurs spécialistes, c’est le bulletin MS08-014, concernant Excel, qui mérite le plus d’attention. Il y résout 7 failles, dont une signalée depuis deux mois, qui commençait à être exploitée par des pirates ou internautes indélicats… Elle est dissimulée dans des macro-commandes du célèbre tableur et permet de lancer du code distant.

Selon plusieurs sources crédibles dont le SANS Institute’s Internet Storm Center (ISC) et le CERT de l’administration centrale américaine Homeland Security), la faille identifiée dans Excel auraient effectivement été exploitée au cours de ces dernières semaines.

Le bulletin MS08-15 est également d’importance. Il corrige une faille touchant toutes les versions d’Outlook (y compris Outlook 2007). Un code distant peut ainsi être lancé via une URI spécifique (un simple lien ‘mailto:’). L’installation à distance de logiciels ou l’exécution de commandes devient alors possible.

Les deux derniers bulletins – MS08-016 et MS08-017 – fixent des problèmes assez semblables. Pour le premier, un fichier Office altéré profitera de la présence de deux failles pour lancer du code distant. Pour le second, deux failles dans les composants web permet l’exécution de code distant à partir d’une simple page web adaptée.