Bulletin de sécurité Microsoft MS15-012 - Important

Des vulnérabilités dans Microsoft Office pourraient permettre l'exécution de code à distance (3032328)

Date de publication : 10 février 2015

Version : 1.0

Synthèse

Cette mise à jour de sécurité corrige trois vulnérabilités signalées à titre privé dans Microsoft Office. Ces vulnérabilités pourraient permettre l'exécution de code à distance si un utilisateur ouvrait un fichier Microsoft Office spécialement conçu. Un attaquant qui a réussi à exploiter ces vulnérabilités pourrait obtenir les mêmes droits que l'utilisateur actuel. Les clients dont les comptes sont configurés avec des privilèges moins élevés sur le système peuvent subir un impact inférieur à ceux possédant des privilèges d'administrateur.

Cette mise à jour de sécurité est de niveau « important » pour toutes les éditions prises en charge de Microsoft Excel 2007, Microsoft Word 2007, Microsoft Office 2010, Microsoft Excel 2010, Microsoft Word 2010, Microsoft Web Applications 2010, Microsoft Excel 2013, Visionneuse Microsoft Word, Visionneuse Microsoft Excel et Pack de compatibilité Microsoft Office. Pour plus d'informations, consultez la section « Logiciels concernés ».

Cette mise à jour de sécurité corrige la vulnérabilité en modifiant la façon dont Microsoft Excel et Microsoft Word analysent des fichiers spécialement conçus. Pour plus d'informations sur les vulnérabilités, consultez la section Informations par vulnérabilité.

Pour plus d'informations sur cette mise à jour, consultez l'Article 3032328 de la Base de connaissances Microsoft.

Logiciels concernés

Les versions ou éditions répertoriées ci-dessous sont concernées. Les versions ou éditions non répertoriées ont atteint la fin de leurs cycles de vie ou ne sont pas concernées. Consultez le site web Politique de Support Microsoft afin de connaître la politique de support Microsoft pour votre version ou édition.

Suites Microsoft Office et autres logiciels

Composant

Impact de sécurité maximal

Indice de gravité cumulée

Mises à jour remplacées

Microsoft Office 2007

Microsoft Office 2007 Service Pack 3

Microsoft Excel 2007 Service Pack 3
(2920788)

Exécution de code à distance

Important

2984942 dans le Bulletin MS14-083

Microsoft Office 2007 Service Pack 3

Microsoft Word 2007 Service Pack 3
(2956099)

Exécution de code à distance

Important

2920793 dans le Bulletin MS14-081

Microsoft Office 2010

Microsoft Office 2010 Service Pack 2 (éditions 32 bits) (outils de vérification linguistique)
(2956073)

Non applicable

Exécution de code à distance

Important

2878284 dans le Bulletin MS14-023

Microsoft Office 2010 Service Pack 2 (éditions 64 bits) (outils de vérification linguistique)
(2956073)

Non applicable

Exécution de code à distance

Important

2878284 dans le Bulletin MS14-023

Microsoft Office 2010 Service Pack 2 (éditions 32 bits)
(2956058)

Non applicable

Exécution de code à distance

Important

2899518 dans le Bulletin MS14-081

Microsoft Office 2010 Service Pack 2 (éditions 64 bits)
(2956058)

Non applicable

Exécution de code à distance

Important

2899518 dans le Bulletin MS14-081

Microsoft Office 2010 Service Pack 2 (éditions 32 bits)

Microsoft Excel 2010 Service Pack 2 (éditions 32 bits)
(2956081)

Exécution de code à distance

Important

2910902 dans le Bulletin MS14-083

Microsoft Office 2010 Service Pack 2 (éditions 64 bits)

Microsoft Excel 2010 Service Pack 2 (éditions 64 bits)
(2956081)

Exécution de code à distance

Important

2910902 dans le Bulletin MS14-083

Microsoft Office 2010 Service Pack 2 (éditions 32 bits)

Microsoft Word 2010 Service Pack 2 (éditions 32 bits)
(2956066)

Exécution de code à distance

Important

2899519 dans le Bulletin MS14-081

Microsoft Office 2010 Service Pack 2 (éditions 64 bits)

Microsoft Word 2010 Service Pack 2 (éditions 64 bits)
(2956066)

Exécution de code à distance

Important

2899519 dans le Bulletin MS14-081

Microsoft Office 2013

Microsoft Office 2013 (éditions 32 bits)

Microsoft Excel 2013 (éditions 32 bits)
(2920753)

Exécution de code à distance

Important

2910929 dans le Bulletin MS14-083

Microsoft Office 2013 (éditions 64 bits)

Microsoft Excel 2013 (éditions 64 bits)
(2920753)

Exécution de code à distance

Important

2910929 dans le Bulletin MS14-083

Microsoft Office 2013 Service Pack 1 (éditions 32 bits)

Microsoft Excel 2013 Service Pack 1 (éditions 32 bits)
(2920753)

Exécution de code à distance

Important

2910929 dans le Bulletin MS14-083

Microsoft Office 2013 Service Pack 1 (éditions 64 bits)

Microsoft Excel 2013 Service Pack 1 (éditions 64 bits)
(2920753)

Exécution de code à distance

Important

2910929 dans le Bulletin MS14-083

Microsoft Office 2013 RT

Microsoft Excel 2013 RT
(2920753)[1]

Exécution de code à distance

Important

2910929 dans le Bulletin MS14-083

Microsoft Office 2013 RT Service Pack 1

Microsoft Excel 2013 RT Service Pack 1
(2920753)[1]

Exécution de code à distance

Important

2910929 dans le Bulletin MS14-083

Autres logiciels Office

Visionneuse Microsoft Word
(2956092)

Non applicable

Exécution de code à distance

Important

2920729 dans le Bulletin MS14-081

Visionneuse Microsoft Excel
(2920791)[2]

Non applicable

Exécution de code à distance

Important

2827328 dans le Bulletin MS13-085

Pack de compatibilité Microsoft Office Service Pack 3
(2956097)

Non applicable

Exécution de code à distance

Important

2920790 dans le Bulletin MS14-083

Pack de compatibilité Microsoft Office Service Pack 3
(2956098)

Non applicable

Exécution de code à distance

Important

2920792 dans le Bulletin MS14-081

[1]Cette mise à jour est disponible via Windows Update.

[2]Cette mise à jour résout également une vulnérabilité décrite dans le Bulletin MS14-083, qui est republié simultanément.

Services Microsoft Office et Microsoft Office Web Apps

Composant

Impact de sécurité maximal

Indice de gravité cumulée

Mises à jour remplacées

Microsoft SharePoint Server 2010

Microsoft SharePoint Server 2010 Service Pack 2

Word Automation Services
(2920810)

Exécution de code à distance

Important

2899581 dans le Bulletin MS14-081

Microsoft Office Web Apps 2010

Microsoft Office Web Apps 2010 Service Pack 2

Microsoft Web Applications 2010 Service Pack 2
(2956070)

Exécution de code à distance

Important

2910892 dans le Bulletin MS14-081

Forum aux questions concernant les mises à jour

Microsoft Word 2010 est installé sur mon système. Pourquoi la mise à jour 2956058 ne m'est-elle pas proposée ?
La mise à jour 2956058 s'applique uniquement aux systèmes exécutant des configurations spécifiques de Microsoft Office 2010. La mise à jour ne sera pas proposée à d'autres systèmes.

Indices de gravité et identificateurs de vulnérabilité

Les indices de gravité suivants considèrent l'impact potentiel maximal de la vulnérabilité. Pour plus d'informations sur les risques dans les 30 jours suivant la publication d'un Bulletin de sécurité concernant l'exploitabilité de la vulnérabilité par rapport à son indice de gravité et à son impact, consultez l'Indice d'exploitabilité dans la synthèse des Bulletins de sécurité de février.

Indice de gravité par vulnérabilité et Impact de sécurité maximal par logiciel concerné

Logiciels concernés

Vulnérabilité d'exécution de code à distance dans Excel - CVE-2015-0063

Vulnérabilité d'exécution de code à distance dans Office - CVE-2015-0064

Vulnérabilité d'exécution de code à distance dans OneTableDocumentStream - CVE-2015-0065

Indice de gravité cumulée

Microsoft Office 2007

Microsoft Excel 2007 Service Pack 3
(2920788)

Important
Exécution de code à distance

Non applicable

Non applicable

Important

Microsoft Word 2007 Service Pack 3
(2956099)

Non applicable

Important
Exécution de code à distance

Important
Exécution de code à distance

Important

Microsoft Office 2010

Microsoft Office 2010 Service Pack 2 (éditions 32 bits) (outils de vérification linguistique)
(2956073)

Important
Exécution de code à distance

Non applicable

Non applicable

Important

Microsoft Office 2010 Service Pack 2 (éditions 64 bits) (outils de vérification linguistique)
(2956073)

Important
Exécution de code à distance

Non applicable

Non applicable

Important

Microsoft Office 2010 Service Pack 2 (éditions 32 bits)
(2956058)

Non applicable

Important
Exécution de code à distance

Non applicable

Important

Microsoft Office 2010 Service Pack 2 (éditions 64 bits)
(2956058)

Non applicable

Important
Exécution de code à distance

Non applicable

Important

Microsoft Excel 2010 Service Pack 2 (éditions 32 bits)
(2956081)

Important
Exécution de code à distance

Non applicable

Non applicable

Important

Microsoft Excel 2010 Service Pack 2 (éditions 64 bits)
(2956081)

Important
Exécution de code à distance

Non applicable

Non applicable

Important

Microsoft Word 2010 Service Pack 2 (éditions 32 bits)
(2956066)

Non applicable

Important
Exécution de code à distance

Non applicable

Important

Microsoft Word 2010 Service Pack 2 (éditions 64 bits)
(2956066)

Non applicable

Important
Exécution de code à distance

Non applicable

Important

Microsoft Excel 2013 et Microsoft Excel 2013 RT

Microsoft Excel 2013 (éditions 32 bits)
(2920753)

Important
Exécution de code à distance

Non applicable

Non applicable

Important

Microsoft Excel 2013 Service Pack 1 (éditions 32 bits)
(2920753)

Important
Exécution de code à distance

Non applicable

Non applicable

Important

Microsoft Excel 2013 (éditions 64 bits)
(2920753)

Important
Exécution de code à distance

Non applicable

Non applicable

Important

Microsoft Excel 2013 Service Pack 1 (éditions 64 bits)
(2920753)

Important
Exécution de code à distance

Non applicable

Non applicable

Important

Microsoft Excel 2013 RT
(2920753)

Important
Exécution de code à distance

Non applicable

Non applicable

Important

Microsoft Excel 2013 RT Service Pack 1
(2920753)

Important
Exécution de code à distance

Non applicable

Non applicable

Important

Microsoft SharePoint Server 2010

Word Automation Services
(2920810)

Non applicable

Important
Exécution de code à distance

Non applicable

Important

Microsoft Office Web Apps 2010

Microsoft Web Applications 2010 Service Pack 2
(2956070)

Non applicable

Important
Exécution de code à distance

Non applicable

Important

Autres logiciels Office

Visionneuse Microsoft Word
(2956092)

Non applicable

Important
Exécution de code à distance

Non applicable

Important

Visionneuse Microsoft Excel
(2920791)

Important
Exécution de code à distance

Non applicable

Non applicable

Important

Pack de compatibilité Microsoft Office Service Pack 3
(2956097)

Important
Exécution de code à distance

Non applicable

Non applicable

Important

Pack de compatibilité Microsoft Office Service Pack 3
(2956098)

Non applicable

Important
Exécution de code à distance

Non applicable

Important

Informations par vulnérabilité

Vulnérabilité d'exécution de code à distance dans Excel - CVE-2015-0063

Une vulnérabilité d'exécution de code à distance existe dans Microsoft Excel lorsqu'Excel traite les objets en mémoire de façon incorrecte lors de l'analyse de fichiers Office spécialement conçus. Ceci pourrait corrompre la mémoire système de manière à permettre à un attaquant d'exécuter du code arbitraire.

Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du script arbitraire dans le contexte de l'utilisateur actuel. Si l'utilisateur actuel est connecté avec des privilèges d'administrateur, un attaquant pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec moins de droits sur le système pourraient être moins touchés que ceux qui disposent de privilèges d'administrateur.

L'exploitation de cette vulnérabilité nécessite qu'un utilisateur ouvre un fichier spécialement conçu avec une version affectée de Microsoft Excel. Dans le cas d'une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant un fichier spécialement conçu à l'utilisateur et en persuadant celui-ci d'ouvrir le fichier. Dans le cas d'une attaque web, l'attaquant pourrait héberger un site web (ou exploiter un site web compromis qui accepte ou héberge du contenu provenant d'utilisateurs) contenant le fichier spécialement conçu pour exploiter cette vulnérabilité. Un attaquant n'aurait aucun moyen de forcer un utilisateur à visiter le site web. Il devrait le convaincre de visiter ce site web, généralement en l'incitant à cliquer sur un lien menant à son site dans un message électronique ou un message instantané, puis l'amener à ouvrir le fichier spécialement conçu.

Cette mise à jour de sécurité corrige la vulnérabilité en modifiant la façon dont Microsoft Excel analyse des fichiers. Les systèmes sur lesquels le logiciel Microsoft Office affecté est utilisé, y compris les postes de travail et les serveurs Terminal Server, sont les plus exposés à cette vulnérabilité. Les serveurs peuvent être plus exposés si les administrateurs autorisent les utilisateurs à ouvrir une session sur ces serveurs et à y exécuter des programmes. Toutefois, les meilleures pratiques recommandent vivement de ne pas autoriser cela.

Microsoft a été informée de cette vulnérabilité par une divulgation de vulnérabilité coordonnée. Lors de la publication de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de cette vulnérabilité dans le but d'attaquer des clients.

Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité.

Solutions

Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité.

Vulnérabilité d'exécution de code à distance dans Office - CVE-2015-0064

Une vulnérabilité d'exécution de code à distance existe dans Microsoft Word lorsque Word traite les objets en mémoire de façon incorrecte lors de l'analyse de fichiers Office spécialement conçus. Ceci pourrait corrompre la mémoire système de manière à permettre à un attaquant d'exécuter du code arbitraire.

Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du script arbitraire dans le contexte de l'utilisateur actuel. Si l'utilisateur actuel est connecté avec des privilèges d'administrateur, un attaquant pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec moins de droits sur le système pourraient être moins touchés que ceux qui disposent de privilèges d'administrateur.

L'exploitation de cette vulnérabilité nécessite qu'un utilisateur ouvre un fichier spécialement conçu avec une version affectée de Microsoft Word. Dans le cas d'une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant un fichier spécialement conçu à l'utilisateur et en persuadant celui-ci d'ouvrir le fichier. Notez que le volet de visualisation n'est pas un vecteur d'attaque pour cette vulnérabilité. Dans le cas d'une attaque web, l'attaquant pourrait héberger un site web (ou exploiter un site web compromis qui accepte ou héberge du contenu provenant d'utilisateurs) contenant un fichier spécialement conçu pour exploiter cette vulnérabilité. Un attaquant n'aurait aucun moyen de forcer un utilisateur à visiter le site web. Il devrait le convaincre de visiter ce site web, généralement en l'incitant à cliquer sur un lien menant à son site dans un message électronique ou un message instantané, puis l'amener à ouvrir le fichier spécialement conçu.

Cette mise à jour de sécurité corrige la vulnérabilité en modifiant la façon dont Microsoft Word analyse des fichiers. Les systèmes sur lesquels le logiciel Microsoft Office affecté est utilisé, y compris les postes de travail et les serveurs Terminal Server, sont les plus exposés à cette vulnérabilité. Les serveurs peuvent être plus exposés si les administrateurs autorisent les utilisateurs à ouvrir une session sur ces serveurs et à y exécuter des programmes. Toutefois, les meilleures pratiques recommandent vivement de ne pas autoriser cela.

Microsoft a été informée de cette vulnérabilité par une divulgation de vulnérabilité coordonnée. Lors de la publication de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de cette vulnérabilité dans le but d'attaquer des clients.

Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité.

Solutions

Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité.

Vulnérabilité d'exécution de code à distance dans OneTableDocumentStream - CVE-2015-0065

Une vulnérabilité d'exécution de code à distance existe dans Microsoft Word lorsque Word traite les objets en mémoire de façon incorrecte lors de l'analyse de fichiers Office spécialement conçus. Ceci pourrait corrompre la mémoire système de manière à permettre à un attaquant d'exécuter du code arbitraire.

Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du script arbitraire dans le contexte de l'utilisateur actuel. Si l'utilisateur actuel est connecté avec des privilèges d'administrateur, un attaquant pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec moins de droits sur le système pourraient être moins touchés que ceux qui disposent de privilèges d'administrateur.

L'exploitation de cette vulnérabilité nécessite qu'un utilisateur ouvre un fichier spécialement conçu avec une version affectée de Microsoft Word. Dans le cas d'une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant un fichier spécialement conçu à l'utilisateur et en persuadant celui-ci d'ouvrir le fichier. Dans le cas d'une attaque web, l'attaquant pourrait héberger un site web (ou exploiter un site web compromis qui accepte ou héberge du contenu provenant d'utilisateurs) contenant un fichier spécialement conçu pour exploiter cette vulnérabilité. Un attaquant n'aurait aucun moyen de forcer un utilisateur à visiter le site web. Il devrait le convaincre de visiter ce site web, généralement en l'incitant à cliquer sur un lien menant à son site dans un message électronique ou un message instantané, puis l'amener à ouvrir le fichier spécialement conçu.

Cette mise à jour de sécurité corrige la vulnérabilité en modifiant la façon dont Microsoft Word analyse des fichiers. Les systèmes sur lesquels le logiciel Microsoft Office affecté est utilisé, y compris les postes de travail et les serveurs Terminal Server, sont les plus exposés à cette vulnérabilité. Les serveurs peuvent être plus exposés si les administrateurs autorisent les utilisateurs à ouvrir une session sur ces serveurs et à y exécuter des programmes. Toutefois, les meilleures pratiques recommandent vivement de ne pas autoriser cela.

Microsoft a été informée de cette vulnérabilité par une divulgation de vulnérabilité coordonnée. Lors de la publication de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de cette vulnérabilité dans le but d'attaquer des clients.

Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité.

Solutions

Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité.

Déploiement des mises à jour de sécurité

Pour plus d'informations sur le déploiement des mises à jour de sécurité, consultez l'article de la Base de connaissances Microsoft référencé ici dans la synthèse.

Remerciements

Microsoft reconnaît les efforts des professionnels de la sécurité qui contribuent à protéger les clients par une divulgation coordonnée des vulnérabilités. Reportez-vous à la page Remerciements pour plus d'informations.

Dédit de responsabilité

Les informations contenues dans la Base de connaissances Microsoft sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas, la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.

Révisions

  • V1.0 (10 février 2015) : Bulletin publié.

Page generated 06/02/2015 13:41Z-08:00.