L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Office Excel

avis de vulnérabilité CVE-2015-2434 CVE-2015-2440 CVE-2015-2471

Windows, Office : trois vulnérabilités de XML Core Services

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de XML Core Services de Windows.
Produits concernés : Office, Access, Excel, InfoPath, OneNote, Outlook, PowerPoint, Project, Publisher, Visio, Word, Windows 2008 R0, Windows 2008 R2, Windows 2012, Windows 7, Windows 8, Windows RT, Windows Vista.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 11/08/2015.
Références : 3080129, CERTFR-2015-AVI-338, CVE-2015-2434, CVE-2015-2440, CVE-2015-2471, MS15-084, VIGILANCE-VUL-17634, ZDI-15-381.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans XML Core Services utilisé par Windows/Office.

Un attaquant peut forcer l'utilisation de SSLv2, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2015-2434]

Un attaquant peut deviner l'organisation de la mémoire d'un processus, pour contourner ASLR, afin de faciliter l'attaque suivante. [grav:2/4; CVE-2015-2440, ZDI-15-381]

Un attaquant peut forcer l'utilisation de SSLv2, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2015-2471]
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2015-1642 CVE-2015-2423 CVE-2015-2466

Microsoft Office : huit vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Microsoft Office.
Produits concernés : Office, Access, Office Communicator, Excel, OneNote, Outlook, PowerPoint, Project, Publisher, Visio, Word.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 8.
Date création : 11/08/2015.
Références : 3080790, CERTFR-2015-AVI-335, CERTFR-2015-AVI-342, CVE-2015-1642, CVE-2015-2423, CVE-2015-2466, CVE-2015-2467, CVE-2015-2468, CVE-2015-2469, CVE-2015-2470, CVE-2015-2477, MS15-081, VIGILANCE-VUL-17631.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Microsoft Office.

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée dans CTaskSymbol, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-1642]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-2467]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-2468]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-2469]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-2477]

Un attaquant peut employer, par exemple depuis Internet Explorer, une ligne de commande spéciale sous Windows, afin de faire exécuter certains programmes, comme Notepad ou Office (VIGILANCE-VUL-17638). [grav:2/4; CERTFR-2015-AVI-342, CVE-2015-2423]

Un attaquant peut utiliser un Template malveillant, afin d'exécuter du code. [grav:3/4; CVE-2015-2466]

Un attaquant peut provoquer un débordement d'entier, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-2470]
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2015-2431 CVE-2015-2435 CVE-2015-2455

Microsoft Office : six vulnérabilités de Graphics Component

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Graphics Component de Microsoft Office.
Produits concernés : Office, Access, Office Communicator, Excel, InfoPath, OneNote, Outlook, PowerPoint, Project, Publisher, Visio, Word.
Gravité : 4/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 6.
Date création : 11/08/2015.
Références : 3078662, CERTFR-2015-AVI-334, CVE-2015-2431, CVE-2015-2435, CVE-2015-2455, CVE-2015-2456, CVE-2015-2463, CVE-2015-2464, MS15-080, VIGILANCE-VUL-17628, ZDI-15-387, ZDI-15-388.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Microsoft Office.

Un attaquant peut provoquer une corruption de mémoire dans Office Graphics Library Font, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-2431]

Un attaquant peut provoquer une corruption de mémoire dans TrueType, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-2435, ZDI-15-387]

Un attaquant peut provoquer une corruption de mémoire dans TrueType, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-2455, ZDI-15-388]

Un attaquant peut provoquer une corruption de mémoire dans TrueType, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-2456]

Un attaquant peut provoquer une corruption de mémoire dans TrueType, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-2463]

Un attaquant peut provoquer une corruption de mémoire dans TrueType, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-2464]
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2015-2375 CVE-2015-2376 CVE-2015-2377

Microsoft Office : huit vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Microsoft Office.
Produits concernés : Office, Access, Office Communicator, Excel, OneNote, Outlook, PowerPoint, Project, Publisher, Visio, Word.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 8.
Date création : 15/07/2015.
Références : 3072620, CERTFR-2015-AVI-297, CVE-2015-2375, CVE-2015-2376, CVE-2015-2377, CVE-2015-2378, CVE-2015-2379, CVE-2015-2380, CVE-2015-2415, CVE-2015-2424, MS15-070, VIGILANCE-VUL-17360, ZDI-15-326, ZDI-15-327, ZDI-15-328.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Microsoft Office.

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-2376, ZDI-15-326]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-2377, ZDI-15-327]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-2379]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-2380]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-2415]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-2424]

Un attaquant peut deviner l'organisation de la mémoire d'un processus Microsoft Excel, pour contourner ASLR, afin de faciliter l'attaque suivante. [grav:2/4; CVE-2015-2375, ZDI-15-328]

Un attaquant peut inviter la victime à ouvrir un document Excel à partir d'un répertoire contenant une DLL malveillante, afin d'exécuter du code. [grav:3/4; CVE-2015-2378]
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2015-1759 CVE-2015-1760 CVE-2015-1770

Microsoft Office : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Microsoft Office.
Produits concernés : Office, Access, Excel, OneNote, Outlook, PowerPoint, Project, Publisher, Visio, Word.
Gravité : 3/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, déni de service du client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 10/06/2015.
Références : 3064949, CERTFR-2015-AVI-246, CVE-2015-1759, CVE-2015-1760, CVE-2015-1770, MS15-059, VIGILANCE-VUL-17091.

Description de la vulnérabilité

Trois vulnérabilités ont été annoncées dans Microsoft Office.

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-1759]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-1760]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-1770]
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2015-1682 CVE-2015-1683

Microsoft Office : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Microsoft Office.
Produits concernés : Office, Access, Office Communicator, Excel, InfoPath, OneNote, Outlook, PowerPoint, Project, Publisher, MOSS, Visio, Word.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 12/05/2015.
Références : 3057181, CERTFR-2015-AVI-211, CVE-2015-1682, CVE-2015-1683, MS15-046, VIGILANCE-VUL-16887, ZDI-15-182.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Microsoft Office.

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-1682, ZDI-15-182]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-1683]
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2015-1639 CVE-2015-1641 CVE-2015-1649

Microsoft Office : cinq vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Microsoft Office.
Produits concernés : Office, Access, Office Communicator, Excel, OneNote, Outlook, PowerPoint, Project, Publisher, MOSS, Visio, Word.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, accès/droits client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 5.
Date création : 14/04/2015.
Références : 3048019, CERTFR-2015-AVI-151, CVE-2015-1639, CVE-2015-1641, CVE-2015-1649, CVE-2015-1650, CVE-2015-1651, MS15-033, VIGILANCE-VUL-16596, ZDI-15-132.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Microsoft Office.

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-1641]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-1649]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-1650, ZDI-15-132]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-1651]

Un attaquant peut provoquer un Cross Site Scripting dans Microsoft Outlook App for Mac, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2015-1639]
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2015-0085 CVE-2015-0086 CVE-2015-0097

Microsoft Office, SharePoint : cinq vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Microsoft Office.
Produits concernés : Office, Access, Excel, OneNote, Outlook, PowerPoint, Project, Publisher, MOSS, Visio, Word.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 5.
Date création : 10/03/2015.
Références : 3038999, CERTFR-2015-AVI-098, CVE-2015-0085, CVE-2015-0086, CVE-2015-0097, CVE-2015-1633, CVE-2015-1636, MS15-022, VIGILANCE-VUL-16366, ZDI-15-088.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Microsoft Office.

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée dans Office, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-0085, ZDI-15-088]

Un attaquant peut provoquer une corruption de mémoire dans Office, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-0086]

Un attaquant peut provoquer une corruption de mémoire dans Office, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-0097]

Un attaquant peut provoquer un Cross Site Scripting dans SharePoint, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2015-1633]

Un attaquant peut provoquer un Cross Site Scripting dans SharePoint, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2015-1636]
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2014-6362

Microsoft Office : contournement de ASLR

Synthèse de la vulnérabilité

Un attaquant peut contourner ASLR via Microsoft Office, afin de faciliter l'exploitation d'une autre vulnérabilité.
Produits concernés : Office, Access, Excel, InfoPath, OneNote, Outlook, PowerPoint, Project, Publisher, Visio, Word.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Date création : 10/02/2015.
Références : 3033857, CERTFR-2015-AVI-064, CVE-2014-6362, MS15-013, VIGILANCE-VUL-16163.

Description de la vulnérabilité

Les systèmes utilisent ASLR afin de rendre aléatoire les adresses mémoire utilisées par les programmes et les bibliothèques.

Cependant, Microsoft Office permet à un attaquant de contourner cette mesure de sécurité.

Un attaquant peut donc contourner ASLR via Microsoft Office, afin de faciliter l'exploitation d'une autre vulnérabilité.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2015-0063 CVE-2015-0064 CVE-2015-0065

Microsoft Office : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Microsoft Office.
Produits concernés : Office, Access, Excel, InfoPath, OneNote, Outlook, PowerPoint, Project, Publisher, Visio, Word.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 10/02/2015.
Références : 3032328, CERTFR-2015-AVI-063, CVE-2015-0063, CVE-2015-0064, CVE-2015-0065, MS15-012, VIGILANCE-VUL-16162.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Microsoft Office.

Un attaquant peut provoquer une corruption de mémoire dans Excel, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-0063]

Un attaquant peut provoquer une corruption de mémoire dans Word, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-0064]

Un attaquant peut provoquer une corruption de mémoire dans Word OneTableDocumentStream, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-0065]
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Office Excel :