CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

KLA10616
Plusieurs vulnérabilités dans Microsoft Office
Mis à jour: 07/05/2018
Date de la détection
?
12/09/2014
Sévérité
?
Critique
Description

Plusieurs vulnérabilités sérieuses ont été trouvées dans les produits Microsoft Office. Les utilisateurs malveillants peuvent exploiter ces vulnérabilités pour exécuter du code arbitraire, provoquer un déni de service, une perte d'intégrité, un contournement de la sécurité, une escalade de privilèges et obtenir des informations sensibles.

Voici une liste complète des vulnérabilités

  1. Microsoft Office gère incorrectement les objets en mémoire lors de l'analyse des fichiers Office créés, ce qui peut entraîner l'exécution de code arbitraire dans le contexte de l'utilisateur actuel. Si l'utilisateur actuel dispose de droits d'administrateur, des utilisateurs malveillants pourraient prendre le contrôle complet du système. Les utilisateurs qui ont moins de droits d'utilisateur pourraient être moins touchés.
  2. Une vulnérabilité dans le composant Microsoft IME (japonais) peut entraîner l'accès au système affecté avec des droits d'utilisateur connectés. Si l'utilisateur actuel dispose de droits d'administrateur, des utilisateurs malveillants pourraient prendre le contrôle complet du système. Les utilisateurs qui ont moins de droits d'utilisateur pourraient être moins touchés.
  3. La bibliothèque de contrôles communs MSCOMCTL n'implémente pas correctement ASLR, ce qui peut conduire à contourner la fonction de sécurité ASLR via un site Web spécialement conçu. Cette vulnérabilité est également appelée "MSCOMCTL ASLR Vulnerability".
  4. Microsoft Office ne gère pas correctement une réponse personnalisée lors de l'ouverture d'un document Office via un site Web, ce qui peut entraîner l'obtention d'informations de jeton sensibles. Cette information peut être utilisée pour authentifier l'utilisateur actuel sur un service en ligne Microsoft ciblé. Cette vulnérabilité est également appelée "Token Reuse Vulnerability".
  5. Une vulnérabilité dans la bibliothèque Microsoft Publisher pubconv.dll peut entraîner l'exécution de code arbitraire en tant qu'utilisateur actuel via des fichiers spécialement créés avec l'extension '.pub'. Cette vulnérabilité est également appelée "Arbitrary Pointer Dereference Vulnerability".
  6. Microsoft Office a alloué de la mémoire incorrecte lors de la conversion de fichiers spécialement conçus dans un format plus récent pouvant conduire à l'exécution de code arbitraire. Si l'utilisateur actuel dispose de droits d'administrateur, des utilisateurs malveillants pourraient prendre le contrôle complet du système. Les utilisateurs qui ont moins de droits d'utilisateur pourraient être moins touchés.
  7. Microsoft Word a une vulnérabilité de débordement de pile-tampon lors de l'ouverture de documents spécialement conçus. Cette vulnérabilité peut conduire à l'exécution de code arbitraire en tant qu'utilisateur actuel. Si l'utilisateur actuel dispose de droits d'administrateur, des utilisateurs malveillants pourraient prendre le contrôle complet du système. Les utilisateurs qui ont moins de droits d'utilisateur pourraient être moins touchés. Cette vulnérabilité est également appelée "Microsoft Word Stack Overflow Vulnerability".
  8. Microsoft Word présente une vulnérabilité d'exécution de code à distance lors de l'analyse de données RTF spécialement conçues. Cette vulnérabilité peut conduire à l'exécution de code arbitraire en tant qu'utilisateur actuel. Si l'utilisateur actuel dispose de droits d'administrateur, des utilisateurs malveillants pourraient prendre le contrôle complet du système.
  9. Microsoft Office a une vulnérabilité d'exécution de code à distance lors de l'ouverture d'un document Office. Cette vulnérabilité peut conduire à l'exécution de code arbitraire et provoquer un déni de service. Les utilisateurs malveillants peuvent également accéder au système affecté avec des droits d'utilisateur connectés. Si l'utilisateur actuel dispose de droits d'administrateur, des utilisateurs malveillants pourraient prendre le contrôle complet du système. Les utilisateurs qui ont moins de droits d'utilisateur pourraient être moins touchés. Cette vulnérabilité est également appelée "Word Memory Corruption Vulnerability".
  10. Microsoft OneNote présente une vulnérabilité d'exécution de code à distance lors de l'ouverture du fichier OneNote. Cette vulnérabilité peut conduire à l'exécution de code arbitraire en tant qu'utilisateur actuel. Si l'utilisateur actuel dispose de droits d'administrateur, des utilisateurs malveillants pourraient prendre le contrôle complet du système. Les utilisateurs qui ont moins de droits d'utilisateur pourraient être moins touchés. Cette vulnérabilité est également appelée "OneNote Remote Code Execution Vulnerability".
  11. Une vulnérabilité dans la bibliothèque usp.dll dans Unicode Script Processor peut conduire à l'exécution de code arbitraire ou entraîner un déni de service. Les utilisateurs malveillants peuvent également prendre le contrôle complet du système. Cette vulnérabilité est également appelée "Unicode Scripts Processor Vulnerability".
  12. Vulnérabilité dans GDI + qui peut conduire à l'exécution de code arbitraire via un fichier image spécialement construit. Les utilisateurs malveillants peuvent également prendre le contrôle complet du système. Cette vulnérabilité est également appelée "GDI + Image Parsing Vulnerability".
Produits concernés

Microsoft Office 2003,
Microsoft Office 2007,
Microsoft Office 2010,
Microsoft Office 2013,
Microsoft Office 2013 RT,
Microsoft Office pour Mac,
Microsoft Word Viewer,
Microsoft Office Web Apps,
Microsoft SharePoint Server,
Microsoft Office Compatibility Pack,
Microsoft Office Web Apps,
Microsoft OneNote.

Solution

Installez les mises à jour nécessaires de la section de la base de connaissances, répertoriées dans votre Windows Update (Windows Update est généralement accessible depuis le panneau de configuration)

Fiches de renseignement originales

MS14-081
MS14-082
MS14-083
MS14-078
MS14-069
MS14-061
MS14-048
MS14-036
MS14-034
MS14-023
MS14-024
MS14-020
MS14-017
MS14-001

Impacts
?
WLF 
[?]

RLF 
[?]

ACE 
[?]

OSI 
[?]

SB 
[?]

PE 
[?]

DoS 
[?]

LoI 
[?]
Produits liés
Microsoft Office
CVE-IDS
?

CVE-2014-2815
CVE-2014-0260
CVE-2014-0259
CVE-2014-0258
CVE-2014-1761
CVE-2014-1758
CVE-2014-1757
CVE-2014-1756
CVE-2014-1808
CVE-2014-1809
CVE-2014-4117
CVE-2014-6335
CVE-2014-6334
CVE-2014-6333
CVE-2014-6361
CVE-2014-6360
CVE-2014-6364
CVE-2014-6357
CVE-2014-4077
CVE-2014-2778
CVE-2014-1817
CVE-2014-1818

Fiches de renseignement officielles de Microsoft
MS14-081
MS14-082
MS14-083
MS14-078
MS14-069
MS14-061
MS14-048
MS14-036
MS14-034
MS14-023
MS14-024
MS14-020
MS14-017
MS14-001
Liste KB

3017301
3017349
3017347
2992719
3009710
3000434
2969261
2961033
2961037
2950145
2949660
2916605
2977201
2967487


Lien vers l'original