Vulnérabilités

Une vulnérabilité zero-day exploitée dans Microsoft Office Acesss

Par Jerome Saiz, le 08 juil 2008 à 11:11:24.

Un contrôle ActiveX vulnérable livré avec Microsoft Office Access permet l'exécution de code depuis Internet Explorer à la visite d'une page web piégée. Microsoft recommande la désactivation du composant, en attendant le correctif.

Le composant Snapshot Viewer est livré avec toutes les versions de Microsoft Office Access (sauf Office 2007). Il permet la lecture de rapports Access sans installer la base de données. Et selon Microsoft, il permettrait aussi l'exécution de code via Internet Explorer. La vulnérabilité serait actuellement exploitée par des pirates via des pages web piégées, dans le cadre d'attaques ciblées.

Aucun correctif n'est encore disponible et Microsoft recommande de désactiver l'exécution des contrôles ActiveX lorsque cela est possible, ou tout du moins d'en limiter l'usage aux seuls sites nécessaires.

Attention, Snapshot Viewer peut également être installé seul, sans Office. Il peut ainsi se retrouver sur des machines sur lesquelles il n'est pas censé être installé.

Plus d'information

Le bulletin d'alerte de Microsoft (en anglais)

Une vulnérabilité pour Adobe Reader exploitée, pas détectée (09 fév 2008)
Vingt-deux nouvelles vulnérabilités chez Microsoft. (13 oct 2004)

Cartes blanches

Organisation et sécurité: en finir avec le cloisonnement ! Bruno Vincent DSI,RSSI et Métiers ont encore du mal à collaborer efficacement. Pourtant, l'organisation s'avère être, une fois de plus, la pierre angulaire d'un Système d'Information sûr et aux coûts maîtrisés.	Les RSSI du monde bancaire à l'aube d'une vague de démissions ? Monsieur RSSI Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Rififi en vue chez les identités Bruno Vincent Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.	Sécurité et contrôle dans les banques : un échec ? Monsieur RSSI Face à un constat d'échec des contrôles internes dans les banques, un RSSI propose 5 règles à adopter d'urgence.
>> Plus de Cartes Blanches

Les dossiers Les thématiques

Quel socle de connaissances pour le RSSI ?Les services managés de sécurité à l’age adulte Les botnets se mettent au Web 2.0 Antivirus : la révolution in the cloud

Gestion des Identités et des Accès Prévention des fuites de données (DLP)Virtualisation

espace partenaires

Livres Blancs

Guides

Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.

Espace membres