nous veillons pour votre sécurité depuis 1999

vulnérabilités

L'équipe Vigil@nce veille les vulnérabilités qui affectent votre parc informatique, puis propose les correctifs, une base et les outils pour y remédier.

vulnérabilités récentes

produits suivis

fil RSS

vulnérabilité

avis de vulnérabilité CVE-2009-1136

Microsoft Office Web Components : corruption de mémoire

Synthèse de la vulnérabilité

Un attaquant peut inviter la victime à consulter une page HTML illicite afin de corrompre la mémoire d'un ActiveX Microsoft Office Web Components, conduisant à l'exécution de code.
Produits concernés : BizTalk Server, IE, ISA, Office, Access, Excel, Microsoft FrontPage, OneNote, Outlook, PowerPoint, Project, Publisher, Visio, Word, Visual Studio.
Gravité : 4/4.
Date création : 15/07/2009.
Références : 957638, 973472, BID-35642, CVE-2009-1136, FGA-2009-27, MS09-043, VIGILANCE-VUL-8854, VU#545228.

Description de la vulnérabilité

Les Microsoft Office Web Components sont installés avec Office et ISA, et fournissent des ActiveX permettant de publier des tableaux et des graphiques sur un site web.

L'ActiveX OWC10.Spreadsheet affiche un tableur Excel. Ses méthodes Evaluate() et msDataSourceObject() ne gèrent pas correctement les tableaux de nombres, ce qui corrompt la mémoire.

Un attaquant peut donc inviter la victime à consulter une page HTML illicite afin de corrompre la mémoire d'un ActiveX Microsoft Office Web Components, conduisant à l'exécution de code.
Bulletin Vigil@nce complet.... (accès gratuit)

Partagez ce bulletin

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit une gestion de vulnérabilités de systèmes. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique. La veille sécurité Vigil@nce publie des bulletins de vulnérabilités pour les failles qui impactent le système d'information. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités.