Vulnérabilité : (973472) Une vulnérabilité dans Microsoft Office Web Components pourrait permettre l'exécution de code à distance
Retour à la page d'accueil des dernières vulnérabilités
Pour plus d'explications, cliquez sur un terme mis en surbrillance.
| Détails | |
|---|---|
| Nom/brève description de la vulnérabilité | Une vulnérabilité dans Microsoft Office Web Components pourrait permettre l'exécution de code à distance (973472) |
| Nom CVE/CAN | CVE-2009-1136 |
| Niveau de menace éditeur | Critique |
| Niveau de menace SophosLabs | Critique |
| Solution | Aucun correctif n'a encore été publié pour cette vulnérabilité. Veuillez vous reporter à l'avis de sécurité Microsoft (voir la section des références) pour une solution qui désactivera Microsoft Office Web Components. |
| Description de l'éditeur | Microsoft enquête sur cette vulnérabilité Microsoft Office Web Components signalée confidentiellement. Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Lors de l'utilisation de Internet Explorer, l'exécution du code se fait à distance et l'intervention de l'utilisateur n'est pas nécessaire. |
| Commentaires des SophosLabs | Sophos a reçu plusieurs échantillons de failles tentant d'exploiter cette vulnérabilité, certaines parties des kits de failles principalement publiées dans un ensemble de domaines hébergés en Chine. Etant donné la popularité du logiciel affecté, la sévérité et le manque de correctif, les SophosLabs ont attribué à cette vulnérabilité un niveau Critique. |
| Résultat des tests des SophosLabs | N/A |
| Failles actuellement connues | La détection des failles connues sera publiée bientôt sous le nom Exp/OWCRef-A.
|
| Premier échantillon rencontré | 6 juillet 2009 |
| Date de découverte : | 6 juillet 2009 |
| Logiciels affectés | Microsoft Office XP Service Pack 3 Microsoft Office 2003 Service Pack 3 Microsoft Office XP Web Components Service Pack 3 Microsoft Office 2003 Web Components Service Pack 3 Microsoft Office 2003 Web Components pour 2007 Microsoft Office system Service Pack 1 Microsoft Internet Security et Acceleration Server 2004 Standard Edition Service Pack 3 Microsoft Internet Security et Acceleration Server 2004 Enterprise Edition Service Pack 3 Microsoft Internet Security et Acceleration Server 2006 Internet Security et Acceleration Server 2006 Supportability Update Microsoft Internet Security et Acceleration Server 2006 Service Pack 1 Microsoft Office Small Business Accounting 2006 |
| Références | http://www.microsoft.com/technet/security/advisory/973472.mspx |
| Crédits | Programme Microsoft MAPP |
| Révisions | 13 juillet 2009 (avis initial publié) |
Explication des termes
Nom/brève description de la vulnérabilité :
Identifiant de l'éditeur plus brève description du type d'attaque.
Nom CVE/CAN :
Nom CVE couramment attribué. Si aucun nom CVE n'existe, le nom CAN sera utilisé jusqu'à ce qu'un CVE soit attribué.
Niveau de menace éditeur :
Niveau de menace attribué par l'éditeur
Niveau de menace SophosLabs :
Niveau de menace attribué par les SophosLabs
- RISQUE FAIBLE - Il y a peu de chances pour que cette vulnérabilité soit activement exploitée par du malware.
- RISQUE MOYEN - Il y a des chances pour que cette vulnérabilité soit activement exploitée par du malware.
- RISQUE ELEVE - Il y a de fortes chances pour que cette vulnérabilité soit activement exploitée par du malware.
- RISQUE CRITIQUE - Cette vulnérabilité sera presque certainement et activement exploitée par du malware.
Solution :
Identifiant du correctif fourni par l'éditeur et solution recommandée ou, le cas échéant, moyen de contourner le problème.
Description éditeur :
Récapitulatif du la cause et de l'effet potentiel de la vulnérabilité fournie par l'éditeur.
Commentaires des SophosLabs :
Avis et observations de SophosLabs sur la vulnérabilité en question.
Résultat des tests des SophosLabs :
Détails des tests effectués en laboratoire, le cas échéant. Notez que l'environnement de test en laboratoire peut différer énormément des environnements utilisateur.
Failles actuellement connues :
Liste des identités pour les failles connues, le cas échéant.
Première échantillon rencontré :
Date de première rencontre de l'échantillon par les SophosLabs.
Date de découverte :
Date de la toute première mise en garde annoncée publiquement.
Logiciels affectés :
Plates-formes et versions de logiciels vulnérables.
Si vous avez besoin de plus d'informations ou d'instructions, veuillez contacter le support technique.
- ID article : 61024
- Créé le : 13 juil 2009
- Mis à jour le : 13 juil 2009
