Description
Plusieurs vulnérabilités sérieuses ont été trouvées dans Microsoft Office. Les utilisateurs malveillants peuvent exploiter ces vulnérabilités pour exécuter du code arbitraire ou mener une attaque XSS.
Voici une liste complète des vulnérabilités
- Une gestion incorrecte des objets mémoire peut être exploitée à distance via un fichier spécialement conçu pour exécuter du code arbitraire;
- L'aseptisation inappropriée des requêtes Web fournies par l'utilisateur sur SharePoint peut être exploitée à distance via un contenu utilisateur spécialement conçu pour effectuer des scripts intersite;
- Une vulnérabilité inconnue peut être exploitée à distance via un fichier EPS spécialement conçu pour exécuter du code arbitraire.
Détails techniques
Pour exploiter la vulnérabilité (2), l' attaquant doit avoir la possibilité de soumettre un contenu malveillant sur un site cible. Dans certaines conditions, le contenu de l'utilisateur ne sera pas nettoyé. Lorsque l'utilisateur visite une page Web contenant du contenu malveillant? script pourrait être exécuté dans le contexte de sécurité de l'utilisateur.
(3) pourrait être exploité via des graphismes EPS spécialement conçus contenues dans le document de bureau ou lorsque l'utilisateur insère ces graphiques dans un document de bureau. De même, si Word est sélectionné comme lecteur de courrier électronique par défaut (par défaut), l'attaquant pourrait envoyer un courrier électronique spécialement conçu contenant des images EPS malveillantes. Dans de telles conditions, les exploitations nécessitent une interaction minimale de l'utilisateur (prévisualiser un courrier électronique malveillant)
Fiches de renseignement originales
Liste CVE
Liste KB
- 3054813
- 3085487
- 3085501
- 3085502
- 3085543
- 3085483
- 3088502
- 3088501
- 3054995
- 3054987
- 3054993
- 3089664
- 3054932
- 3054965
- 3085526
En savoir plus
Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com