Description
Plusieurs vulnérabilités sérieuses ont été trouvées dans les produits Microsoft Office. Les utilisateurs malveillants peuvent exploiter ces vulnérabilités pour exécuter du code arbitraire, provoquer un déni de service, une perte d'intégrité, un contournement de la sécurité, une escalade de privilèges et obtenir des informations sensibles.
Voici une liste complète des vulnérabilités
- Microsoft Office gère incorrectement les objets en mémoire lors de l'analyse des fichiers Office créés, ce qui peut entraîner l'exécution de code arbitraire dans le contexte de l'utilisateur actuel. Si l'utilisateur actuel dispose de droits d'administrateur, des utilisateurs malveillants pourraient prendre le contrôle complet du système. Les utilisateurs qui ont moins de droits d'utilisateur pourraient être moins touchés.
- Une vulnérabilité dans le composant Microsoft IME (japonais) peut entraîner l'accès au système affecté avec des droits d'utilisateur connectés. Si l'utilisateur actuel dispose de droits d'administrateur, des utilisateurs malveillants pourraient prendre le contrôle complet du système. Les utilisateurs qui ont moins de droits d'utilisateur pourraient être moins touchés.
- La bibliothèque de contrôles communs MSCOMCTL n'implémente pas correctement ASLR, ce qui peut conduire à contourner la fonction de sécurité ASLR via un site Web spécialement conçu. Cette vulnérabilité est également appelée "MSCOMCTL ASLR Vulnerability".
- Microsoft Office ne gère pas correctement une réponse personnalisée lors de l'ouverture d'un document Office via un site Web, ce qui peut entraîner l'obtention d'informations de jeton sensibles. Cette information peut être utilisée pour authentifier l'utilisateur actuel sur un service en ligne Microsoft ciblé. Cette vulnérabilité est également appelée "Token Reuse Vulnerability".
- Une vulnérabilité dans la bibliothèque Microsoft Publisher pubconv.dll peut entraîner l'exécution de code arbitraire en tant qu'utilisateur actuel via des fichiers spécialement créés avec l'extension '.pub'. Cette vulnérabilité est également appelée "Arbitrary Pointer Dereference Vulnerability".
- Microsoft Office a alloué de la mémoire incorrecte lors de la conversion de fichiers spécialement conçus dans un format plus récent pouvant conduire à l'exécution de code arbitraire. Si l'utilisateur actuel dispose de droits d'administrateur, des utilisateurs malveillants pourraient prendre le contrôle complet du système. Les utilisateurs qui ont moins de droits d'utilisateur pourraient être moins touchés.
- Microsoft Word a une vulnérabilité de débordement de pile-tampon lors de l'ouverture de documents spécialement conçus. Cette vulnérabilité peut conduire à l'exécution de code arbitraire en tant qu'utilisateur actuel. Si l'utilisateur actuel dispose de droits d'administrateur, des utilisateurs malveillants pourraient prendre le contrôle complet du système. Les utilisateurs qui ont moins de droits d'utilisateur pourraient être moins touchés. Cette vulnérabilité est également appelée "Microsoft Word Stack Overflow Vulnerability".
- Microsoft Word présente une vulnérabilité d'exécution de code à distance lors de l'analyse de données RTF spécialement conçues. Cette vulnérabilité peut conduire à l'exécution de code arbitraire en tant qu'utilisateur actuel. Si l'utilisateur actuel dispose de droits d'administrateur, des utilisateurs malveillants pourraient prendre le contrôle complet du système.
- Microsoft Office a une vulnérabilité d'exécution de code à distance lors de l'ouverture d'un document Office. Cette vulnérabilité peut conduire à l'exécution de code arbitraire et provoquer un déni de service. Les utilisateurs malveillants peuvent également accéder au système affecté avec des droits d'utilisateur connectés. Si l'utilisateur actuel dispose de droits d'administrateur, des utilisateurs malveillants pourraient prendre le contrôle complet du système. Les utilisateurs qui ont moins de droits d'utilisateur pourraient être moins touchés. Cette vulnérabilité est également appelée "Word Memory Corruption Vulnerability".
- Microsoft OneNote présente une vulnérabilité d'exécution de code à distance lors de l'ouverture du fichier OneNote. Cette vulnérabilité peut conduire à l'exécution de code arbitraire en tant qu'utilisateur actuel. Si l'utilisateur actuel dispose de droits d'administrateur, des utilisateurs malveillants pourraient prendre le contrôle complet du système. Les utilisateurs qui ont moins de droits d'utilisateur pourraient être moins touchés. Cette vulnérabilité est également appelée "OneNote Remote Code Execution Vulnerability".
- Une vulnérabilité dans la bibliothèque usp.dll dans Unicode Script Processor peut conduire à l'exécution de code arbitraire ou entraîner un déni de service. Les utilisateurs malveillants peuvent également prendre le contrôle complet du système. Cette vulnérabilité est également appelée "Unicode Scripts Processor Vulnerability".
- Vulnérabilité dans GDI + qui peut conduire à l'exécution de code arbitraire via un fichier image spécialement construit. Les utilisateurs malveillants peuvent également prendre le contrôle complet du système. Cette vulnérabilité est également appelée "GDI + Image Parsing Vulnerability".
Fiches de renseignement originales
- MS14-082
- MS14-083
- MS14-078
- MS14-069
- MS14-061
- MS14-048
- MS14-036
- MS14-034
- MS14-023
- MS14-024
- MS14-020
- MS14-017
- MS14-001
Liste CVE
Liste KB
En savoir plus
Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com
Vous avez trouvé une inexactitude dans la description de cette vulnérabilité ? Faites-le nous savoir !