Bulletin de sécurité Microsoft MS15-081 - Critique

Des vulnérabilités dans Microsoft Office pourraient permettre l'exécution de code à distance (3080790)

Date de publication : 11 août 2015 | Date de mise à jour : 13 octobre 2015

Version : 3.0

Synthèse

Cette mise à jour de sécurité corrige des vulnérabilités dans Microsoft Office. La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance si un utilisateur ouvrait un fichier Microsoft Office spécialement conçu. Un attaquant qui parviendrait à exploiter ces vulnérabilités pourrait exécuter du script arbitraire dans le contexte de l'utilisateur actuel. Les clients dont les comptes sont configurés avec des privilèges moins élevés sur le système peuvent subir un impact inférieur à ceux possédant des privilèges d'administrateur.

Pour plus d'informations, consultez la section Logiciels concernés et indices de gravité de la vulnérabilité.

Cette mise à jour de sécurité résout les vulnérabilités en :

  • corrigeant la façon dont Office gère les fichiers en mémoire ;
  • améliorant, avec les mises à jour pour Internet Explorer et Microsoft Windows, la façon dont les programmes Microsoft Office sont exécutés à partir d'Internet Explorer ;
  • corrigeant la façon dont Office valide des modèles Office avant de les utiliser ;
  • corrigeant la façon dont Office gère la vérification des limites de nombre entier.

Pour plus d'informations sur les vulnérabilités, consultez la section Informations par vulnérabilité.

Pour plus d'informations sur cette mise à jour, voir l'Article 3080790 de la Base de connaissances Microsoft.

Logiciels concernés et indices de gravité de la vulnérabilité

Les versions ou éditions répertoriées ci-dessous sont concernées. Les versions ou éditions non répertoriées ont atteint la fin de leur cycle de vie ou ne sont pas concernées. Consultez le site web Politique de Support Microsoft afin de connaître la politique de support Microsoft pour votre version ou édition.

Les indices de gravité suivants considèrent l'impact potentiel maximal de la vulnérabilité. Pour plus d'informations sur les risques dans les 30 jours suivant la publication d'un Bulletin concernant l'exploitabilité de la vulnérabilité par rapport à son indice de gravité et à son impact, consultez l'Indice d'exploitabilité dans la synthèse des Bulletins de sécurité d'août.

Logiciels Microsoft Office

Indice de gravité par vulnérabilité et Impact de sécurité maximal par logiciel concerné

Logiciels concernés

Vulnérabilité de corruption de la mémoire dans Microsoft Office – CVE-2015-1642

Vulnérabilité liée à la transmission d'un paramètre de ligne de commande non sécurisé - CVE-2015-2423

Vulnérabilité d'exécution de code à distance dans Microsoft Office – CVE-2015-2466

Vulnérabilité de corruption de la mémoire dans Microsoft Office – CVE-2015-2467

Vulnérabilité de corruption de la mémoire dans Microsoft Office – CVE-2015-2468

Vulnérabilité de corruption de la mémoire dans Microsoft Office – CVE-2015-2469

Vulnérabilité de dépassement négatif d'entier dans Microsoft Office – CVE-2015-2470

Vulnérabilité de corruption de la mémoire dans Microsoft Office – CVE-2015-2477

Mises à jour remplacées\*

Microsoft Office 2007

Microsoft Office 2007 Service Pack 3
(2687409)

Important Exécution de code à distance

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

2596744 dans le Bulletin MS12-046

Microsoft Office 2007 Service Pack 3
(3054888)

Non applicable

Non applicable

Critique Exécution de code à distance

Important Exécution de code à distance

Non applicable

Non applicable

Non applicable

Non applicable

2965282 dans le Bulletin MS15-046

Microsoft Office 2007 Service Pack 3
(2596650)

Non applicable

Non applicable

Critique Exécution de code à distance

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Aucune

Microsoft Office 2007 Service Pack 3
(2837610)

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Important Exécution de code à distance

Important Exécution de code à distance

2597973 dans le Bulletin MS13-072

Microsoft Excel 2007 Service Pack 3
(3054992)

Non applicable

Important Divulgation d'informations

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

2965281 dans le Bulletin MS15-070

Microsoft PowerPoint 2007 Service Pack 3
(3055051)

Non applicable

Important Divulgation d'informations

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

2965283 dans le Bulletin MS15-070

Microsoft Visio 2007 Service Pack 3
(2965280)

Non applicable

Important Divulgation d'informations

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

2596595 dans le Bulletin MS13-044

Microsoft Word 2007 Service Pack 3
(3055052)

Non applicable

Important Divulgation d'informations

Non applicable

Non applicable

Important Exécution de code à distance

Important Exécution de code à distance

Non applicable

Non applicable

3054996 dans le Bulletin MS15-070

Microsoft Office 2010

Microsoft Office 2010 Service Pack 2 (éditions 32 bits)
(2965310)

Important Exécution de code à distance

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

2598243 dans le Bulletin MS12-046

Microsoft Office 2010 Service Pack 2 (éditions 64 bits)
(2965310)

Important Exécution de code à distance

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

2598243 dans le Bulletin MS12-046

Microsoft Office 2010 Service Pack 2 (éditions 32 bits)
(3055037)

Non applicable

Important Divulgation d'informations

Non applicable

Non applicable

Important Exécution de code à distance

Important Exécution de code à distance

Non applicable

Non applicable

3054971 dans le Bulletin MS15-070

Microsoft Office 2010 Service Pack 2 (éditions 64 bits)
(3055037)

Non applicable

Important Divulgation d'informations

Non applicable

Non applicable

Important Exécution de code à distance

Important Exécution de code à distance

Non applicable

Non applicable

3054971 dans le Bulletin MS15-070

Microsoft Office 2010 Service Pack 2 (éditions 32 bits)
(2553313)

Non applicable

Non applicable

Critique Exécution de code à distance

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Aucune

Microsoft Office 2010 Service Pack 2 (éditions 64 bits)
(2553313)

Non applicable

Non applicable

Critique Exécution de code à distance

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Aucune

Microsoft Office 2010 Service Pack 2 (éditions 32 bits)
(2598244)

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Important Exécution de code à distance

Non applicable

2589320 dans le Bulletin MS11-089

Microsoft Office 2010 Service Pack 2 (éditions 64 bits)
(2598244)

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Important Exécution de code à distance

Non applicable

2589320 dans le Bulletin MS11-089

Microsoft Excel 2010 Service Pack 2 (éditions 32 bits)
(3055044)

Non applicable

Important Divulgation d'informations

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

3054981 dans le Bulletin MS15-070

Microsoft Excel 2010 Service Pack 2 (éditions 64 bits)
(3055044)

Non applicable

Important Divulgation d'informations

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

3054981 dans le Bulletin MS15-070

Microsoft PowerPoint 2010 Service Pack 2 (éditions 32 bits)
(3055033)

Non applicable

Important Divulgation d'informations

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

3054963 dans le Bulletin MS15-070

Microsoft PowerPoint 2010 Service Pack 2 (éditions 64 bits)
(3055033)

Non applicable

Important Divulgation d'informations

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

3054963 dans le Bulletin MS15-070

Microsoft Visio 2010 Service Pack 2 (éditions 32 bits)
(3054876)

Non applicable

Important Divulgation d'informations

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

2810068 dans le Bulletin MS13-044

Microsoft Visio 2010 Service Pack 2 (éditions 64 bits)
(3054876)

Non applicable

Important Divulgation d'informations

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

2810068 dans le Bulletin MS13-044

Microsoft Word 2010 Service Pack 2 (éditions 32 bits)
(3055039)

Non applicable

Important Divulgation d'informations

Non applicable

Non applicable

Important Exécution de code à distance

Important Exécution de code à distance

Non applicable

Non applicable

3054973 dans le Bulletin MS15-070

Microsoft Word 2010 Service Pack 2 (éditions 64 bits)
(3055039)

Non applicable

Important Divulgation d'informations

Non applicable

Non applicable

Important Exécution de code à distance

Important Exécution de code à distance

Non applicable

Non applicable

3054973 dans le Bulletin MS15-070

Microsoft Office 2013

Microsoft Office 2013 Service Pack 1 (éditions 32 bits)
(3039734)

Important Exécution de code à distance

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Aucune

Microsoft Office 2013 Service Pack 1 (éditions 64 bits)
(3039734)

Important Exécution de code à distance

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Aucune

Microsoft Office 2013 Service Pack 1 (éditions 32 bits)
(3039798)

Non applicable

Non applicable

Critique Exécution de code à distance

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Aucune

Microsoft Office 2013 Service Pack 1 (éditions 64 bits)
(3039798)

Non applicable

Non applicable

Critique Exécution de code à distance

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Aucune

Microsoft Office 2013 Service Pack 1 (éditions 32 bits)
(3054816)

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Important Exécution de code à distance

Non applicable

Aucune

Microsoft Office 2013 Service Pack 1 (éditions 64 bits)
(3054816)

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Important Exécution de code à distance

Non applicable

Aucune

Microsoft Excel 2013 Service Pack 1 (éditions 32 bits)
(3054991)

Non applicable

Important Divulgation d'informations

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

3054949 dans le Bulletin MS15-070

Microsoft Excel 2013 Service Pack 1 (éditions 64 bits)
(3054991)

Non applicable

Important Divulgation d'informations

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

3054949 dans le Bulletin MS15-070

Microsoft PowerPoint 2013 Service Pack 1 (éditions 32 bits)
(3055029)

Non applicable

Important Divulgation d'informations

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

3054999 dans le Bulletin MS15-070

Microsoft PowerPoint 2013 Service Pack 1 (éditions 64 bits)
(3055029)

Non applicable

Important Divulgation d'informations

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

3054999 dans le Bulletin MS15-070

Microsoft Visio 2013 Service Pack 1 (éditions 32 bits)
(3054929)

Non applicable

Important Divulgation d'informations

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Aucune

Microsoft Visio 2013 Service Pack 1 (éditions 64 bits)
(3054929)

Non applicable

Important Divulgation d'informations

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Aucune

Microsoft Word 2013 Service Pack 1 (éditions 32 bits)
(3055030)

Non applicable

Important Divulgation d'informations

Non applicable

Non applicable

Important Exécution de code à distance

Non applicable

Non applicable

Non applicable

3054990 dans le Bulletin MS15-070

Microsoft Word 2013 Service Pack 1 (éditions 64 bits)
(3055030)

Non applicable

Important Divulgation d'informations

Non applicable

Non applicable

Important Exécution de code à distance

Non applicable

Non applicable

Non applicable

3054990 dans le Bulletin MS15-070

Microsoft Office 2013 RT

Microsoft Office 2013 RT Service Pack 1
(3039798)[1]

Non applicable

Non applicable

Critique Exécution de code à distance

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Aucune

Microsoft Office 2013 RT Service Pack 1
(3054816)[2]

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Important Exécution de code à distance

Non applicable

Aucune

Microsoft Excel 2013 RT Service Pack 1
(3054991)[2]

Non applicable

Important Divulgation d'informations

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

3054949 dans le Bulletin MS15-070

Microsoft PowerPoint 2013 RT Service Pack 1
(3055029)[2]

Non applicable

Important Divulgation d'informations

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Aucune

Microsoft Visio 2013 RT Service Pack 1 (éditions 64 bits)
(3054929)[2]

Non applicable

Important Divulgation d'informations

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Aucune

Microsoft Word 2013 RT Service Pack 1
(3055030)[2]

Non applicable

Important Divulgation d'informations

Non applicable

Non applicable

Important Exécution de code à distance

Non applicable

Non applicable

Non applicable

3054990 dans le Bulletin MS15-070

Microsoft Office 2016

Microsoft Office 2016 (éditions 32 bits)
(3085538)

Non applicable

Non applicable

Critique Exécution de code à distance

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Aucune

Microsoft Office 2016 (éditions 64 bits)
(3085538)

Non applicable

Non applicable

Critique Exécution de code à distance

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Aucune

Microsoft Visio 2016 (éditions 32 bits)
(2920708)

Non applicable

Important Divulgation d'informations

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Aucune

Microsoft Visio 2016 (éditions 64 bits)
(2920708)

Non applicable

Important Divulgation d'informations

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Aucune

Microsoft Word 2016 (éditions 32 bits)
(2920691)

Non applicable

Important Divulgation d'informations

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Aucune

Microsoft Word 2016 (éditions 64 bits)
(2920691)

Non applicable

Important Divulgation d'informations

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Aucune

Microsoft Office pour Mac 2011

Microsoft Office pour Mac 2011
(3081349)

Non applicable

Non applicable

Non applicable

Non applicable

Important Exécution de code à distance

Important Exécution de code à distance

Important Exécution de code à distance

Important Exécution de code à distance

3073865 dans le Bulletin MS15-070

Microsoft Office pour Mac 2016

Microsoft Office pour Mac 2016
(3082420)

Non applicable

Non applicable

Non applicable

Non applicable

Important Exécution de code à distance

Non applicable

Non applicable

Important Exécution de code à distance

Aucune

Autres logiciels Office

Pack de compatibilité Microsoft Office Service Pack 3
(2986254)

Non applicable

Non applicable

Non applicable

Non applicable

Important Exécution de code à distance

Non applicable

Non applicable

Non applicable

2965210 dans le Bulletin MS15-033

Visionneuse Microsoft Word
(3055053)

Non applicable

Non applicable

Non applicable

Non applicable

Important Exécution de code à distance

Non applicable

Non applicable

Non applicable

3054958 dans le Bulletin MS15-070

Visionneuse Microsoft Word
(3055054)

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Important Exécution de code à distance

Important Exécution de code à distance

Aucune

[1]Depuis le 2 septembre 2015, cette mise à jour est disponible via Windows Update.

[2]Cette mise à jour est disponible via Windows Update.

*La colonne Mises à jour remplacées n'affiche que la dernière mise à jour d'une série de mises à jour remplacées. Pour obtenir la liste complète des mises à jour remplacées, accédez au Catalogue Microsoft Update, recherchez le numéro d'article de la Base de connaissances, puis consultez les détails de la mise à jour (les informations sur les mises à jour remplacées figurent sous l'onglet Détails du package).

Services Microsoft Office et Microsoft Office Web Apps

Indice de gravité par vulnérabilité et Impact de sécurité maximal par logiciel concerné

Logiciels concernés

Vulnérabilité de corruption de la mémoire dans Microsoft Office – CVE-2015-1642

Vulnérabilité liée à la transmission d'un paramètre de ligne de commande non sécurisé - CVE-2015-2423

Vulnérabilité d'exécution de code à distance dans Microsoft Office – CVE-2015-2466

Vulnérabilité de corruption de la mémoire dans Microsoft Office – CVE-2015-2467

Vulnérabilité de corruption de la mémoire dans Microsoft Office – CVE-2015-2468

Vulnérabilité de corruption de la mémoire dans Microsoft Office – CVE-2015-2469

Vulnérabilité de dépassement négatif d'entier dans Microsoft Office – CVE-2015-2470

Vulnérabilité de corruption de la mémoire dans Microsoft Office – CVE-2015-2477

Mises à jour remplacées\*

Microsoft SharePoint Server 2010

Word Automation Services sur Microsoft SharePoint Server 2010 Service Pack 2
(3054960)

Non applicable

Non applicable

Non applicable

Non applicable

Important Exécution de code à distance

Non applicable

Non applicable

Non applicable

3054833 dans le Bulletin MS15-046

Microsoft SharePoint Server 2013

Word Automation Services sur Microsoft SharePoint Server 2013 Service Pack 1
(3054858)

Non applicable

Non applicable

Non applicable

Non applicable

Important Exécution de code à distance

Non applicable

Non applicable

Non applicable

3023055 dans le Bulletin MS15-046

Microsoft Office Web Apps 2010

Microsoft Word Web Apps 2010 Service Pack 2
(3054974)

Non applicable

Non applicable

Non applicable

Non applicable

Important Exécution de code à distance

Non applicable

Non applicable

Non applicable

3054843 dans le Bulletin MS15-046

Microsoft Office Web Apps 2013

Microsoft Office Web Apps Server 2013 Service Pack 1
(3055003)

Non applicable

Non applicable

Non applicable

Non applicable

Important Exécution de code à distance

Non applicable

Non applicable

Non applicable

3039748 dans le Bulletin MS15-046

*La colonne Mises à jour remplacées n'affiche que la dernière mise à jour d'une série de mises à jour remplacées. Pour obtenir la liste complète des mises à jour remplacées, accédez au Catalogue Microsoft Update, recherchez le numéro d'article de la Base de connaissances, puis consultez les détails de la mise à jour (les informations sur les mises à jour remplacées figurent sous l'onglet Détails du package).

Forum aux questions concernant les mises à jour

La vulnérabilité CVE-2015-2423 décrite dans ce Bulletin est également abordée dans d'autres Bulletins publiés en août. Dois-je installer plusieurs mises à jour pour être protégé contre cette vulnérabilité ?
Oui. Pour être protégés contre la vulnérabilité CVE-2015-2423, les clients doivent appliquer toutes les mises à jour fournies dans ce Bulletin pour leurs logiciels concernés, ainsi que la mise à jour d'Internet Explorer fournie dans le Bulletin MS15-079. De même, les clients exécutant une version concernée de Microsoft Windows doivent également installer les mises à jour applicables fournies dans le Bulletin MS15-088. Les clients qui n'installent pas toutes les mises à jour disponibles pour leurs logiciels concernés ne seront pas entièrement protégés contre cette vulnérabilité.

Les Bulletins MS15-080, MS15-081 et MS15-084 corrigent tous des vulnérabilités de Microsoft Office. Les mises à jour de sécurité mentionnées dans ces trois Bulletins sont-elles liées ?
Non. Les mises à jour de sécurité des Bulletins MS15-080, MS15-081 et MS15-084 ne sont pas liées. Les clients doivent installer les mises à jour fournies dans ces deux Bulletins pour les logiciels installés sur leurs systèmes.

Cette mise à jour comporte-t-elle d'autres modifications de sécurité affectant les fonctionnalités?
Oui. Outre les changements indiqués relatifs aux vulnérabilités décrites dans ce Bulletin, cette mise à jour inclut des mises à jour de défense en profondeur afin de contribuer à sécuriser Microsoft Office.

Microsoft Word 2010 est installé sur mon système. Pourquoi la mise à jour 3055037 ne m'est-elle pas proposée ?
La mise à jour 3055037 s'applique uniquement aux systèmes exécutant des configurations spécifiques de Microsoft Office 2010. La mise à jour ne sera pas proposée à certaines configurations.

Plusieurs packages de mise à jour sont disponibles pour certains des logiciels concernés. Dois-je installer toutes les mises à jour répertoriées dans le tableau « Logiciels concernés » pour le logiciel ?
Oui. Les clients doivent appliquer toutes les mises à jour proposées pour les logiciels installés sur leur système.

On me propose cette mise à jour pour un logiciel qui n'est pas répertorié spécifiquement dans le tableau « Logiciels concernés et indices de gravité de la vulnérabilité ». Pourquoi me propose-t-on de procéder à cette mise à jour ?
Lorsqu'une mise à jour corrige du code vulnérable qui existe dans un composant partagé entre plusieurs produits Microsoft Office ou entre plusieurs versions du même produit Microsoft Office, cette mise à jour est considérée comme applicable à tous les produits et toutes les versions prises en charge qui contiennent ce composant vulnérable.

Par exemple, lorsqu'une mise à jour s'applique aux produits Microsoft Office 2007, il se peut que seul Microsoft Office 2007 soit répertorié spécifiquement dans le tableau « Logiciels concernés ». Toutefois, la mise à jour peut s'appliquer à Microsoft Word 2007, Microsoft Excel 2007, Microsoft Visio 2007, au Pack de compatibilité Microsoft, à Microsoft Excel Viewer ou à tout autre produit Microsoft Office 2007 pourtant non répertorié spécifiquement dans le tableau « Logiciels concernés ».

Par exemple, lorsqu'une mise à jour s'applique aux produits Microsoft Office 2010, il se peut que seul Microsoft Office 2010 soit répertorié spécifiquement dans le tableau « Logiciels concernés ». Toutefois, la mise à jour peut s'appliquer à Microsoft Word 2010, Microsoft Excel 2010, Microsoft Visio 2010, Microsoft Visio Viewer ou à tout autre produit Microsoft Office 2010 pourtant non répertorié spécifiquement dans le tableau « Logiciels concernés ».

Par exemple, lorsqu'une mise à jour s'applique aux produits Microsoft Office 2013, il se peut que seul Microsoft Office 2013 soit répertorié spécifiquement dans le tableau « Logiciels concernés ». Toutefois, la mise à jour peut s'appliquer à Microsoft Word 2013, Microsoft Excel 2013, Microsoft Visio 2013, ou à tout autre produit Microsoft Office 2013 pourtant non répertorié spécifiquement dans le tableau « Logiciels concernés ».

Informations par vulnérabilité

Vulnérabilités de corruption de mémoire dans Microsoft Office

Il existe des vulnérabilités d'exécution de code à distance dans un logiciel Microsoft Office lorsque celui-ci ne parvient pas à traiter correctement des objets en mémoire. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait utiliser un fichier spécialement conçu pour exécuter des actions dans le contexte de sécurité de l'utilisateur actuel. Le fichier pourrait alors, par exemple, effectuer des opérations au nom de l'utilisateur connecté avec les mêmes autorisations que ce dernier. L'exploitation de cette vulnérabilité nécessite qu'un utilisateur ouvre un fichier spécialement conçu avec une version affectée d'un logiciel Microsoft Office.

Dans le cas d'une attaque par courrier électronique, un attaquant pourrait exploiter ces vulnérabilités en envoyant un fichier spécialement conçu à l'utilisateur et en persuadant celui-ci d'ouvrir le fichier. Dans le cas d'une attaque web, l'attaquant pourrait héberger un site web (ou exploiter un site web compromis qui accepte ou héberge du contenu provenant d'utilisateurs) contenant un fichier spécialement conçu pour exploiter ces vulnérabilités. Un attaquant n'aurait aucun moyen de forcer un utilisateur à visiter le site web. Il devrait le convaincre, généralement par le biais d'une sollicitation envoyée par message électronique ou message instantané, puis l'amener à ouvrir le fichier spécialement conçu.

La mise à jour corrige la vulnérabilité en modifiant la façon dont Microsoft Office traite les fichiers en mémoire.

Les tableaux suivants contiennent des liens vers l'entrée standard correspondant à chaque vulnérabilité dans la liste Common Vulnerabilities and Exposures (CVE) :

Titre de la vulnérabilité Numéro CVE Révélée publiquement Exploitée
Vulnérabilité de corruption de mémoire dans Microsoft Office CVE-2015-1642 Non Oui
Vulnérabilité de corruption de mémoire dans Microsoft Office CVE-2015-2467 Non Non
Vulnérabilité de corruption de mémoire dans Microsoft Office CVE-2015-2468 Non Non
Vulnérabilité de corruption de mémoire dans Microsoft Office CVE-2015-2469 Non Non
Vulnérabilité de corruption de mémoire dans Microsoft Office CVE-2015-2477 Non Non

Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour ces vulnérabilités.

Solutions de contournement

Microsoft n'a identifié aucune solution de contournement pour ces vulnérabilités.

Vulnérabilité liée à la transmission d'un paramètre de ligne de commande non sécurisé - CVE-2015-2423

Une vulnérabilité de divulgation d'informations existe dans Microsoft Windows, Internet Explorer et Microsoft Office lorsque des fichiers à un niveau d'intégrité moyen deviennent accessibles par Internet Explorer en mode de protection améliorée (EPM).

Pour exploiter cette vulnérabilité, un attaquant devrait d'abord utiliser une autre vulnérabilité et exécuter du code dans Internet Explorer avec EPM, puis exécuter Excel, le Bloc-notes, PowerPoint, Visio ou Word en utilisant un paramètre de ligne de commande non sécurisé. La mise à jour corrige la vulnérabilité en améliorant l'exécution du Bloc-notes et des programmes Microsoft Office à partir d'Internet Explorer.

Important Pour être protégés contre cette vulnérabilité, les clients doivent appliquer les mises à jour fournies dans ce Bulletin, ainsi que la mise à jour d'Internet Explorer fournie dans le Bulletin MS15-079. De même, les clients exécutant une version concernée de Microsoft Windows doivent également installer les mises à jour applicables fournies dans le Bulletin MS15-088.

Cette vulnérabilité a été signalée publiquement. Elle a reçu le numéro « Common Vulnerability and Exposure » CVE-2015-2423. Lors de la publication initiale de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de ce problème dans le but d'attaquer des clients.

Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité.

Solutions de contournement

La solution de contournement suivante peut être utile, selon votre situation :

  • Supprimer les stratégies d'élévation de privilèges d'IE pour Word, Excel, PowerPoint et Visio

    Avertissement Toute utilisation incorrecte de l'Éditeur du Registre peut générer des problèmes graves, pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir qu'il soit possible de résoudre des problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil.

    1. Cliquez sur Démarrer, sur Exécuter, tapez Regedit dans la zone Ouvrir, puis cliquez sur OK.
    2. Accédez à l'emplacement de la sous-clé de Registre suivante :
            HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy          
    
    1. Pour chacune des sous-clés suivantes, effectuez les opérations suivantes :

      {000209FF-0000-0000-C000-000000000046}

      {2BBE903C-2776-4574-9855-EC1597ABE3D6}

      {63F463ED-322A-4DE8-8E6F-65DD293F7461}

      {FC88B53C-9B2A-1A25-5867-C8612E79DBF6}

      1. Sélectionnez la sous-clé.
      2. Cliquez sur le menu Fichier, puis cliquez sur Exporter.
      3. Dans la boîte de dialogue Exporter un fichier du Registre, tapez <un nom de fichier unique>, puis cliquez sur Enregistrer.

        Remarque Par défaut, ceci crée une sauvegarde de cette clé de Registre dans le dossier « Mes Documents ».

      4. Cliquez sur le menu Fichier, puis sélectionnez Supprimer.

      5. Cliquez sur Oui.
      6. Fermez les sessions de tous les utilisateurs avant de les ouvrir à nouveau ou redémarrez l'ordinateur.

    Procédure d'annulation de la solution de contournement

    1. Cliquez sur Démarrer, sur Exécuter, tapez Regedit dans la zone Ouvrir, puis cliquez sur OK.
    2. Accédez à l'emplacement de la sous-clé de Registre suivante :
            HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy          
    
    1. Pour chacun des quatre fichiers .reg, procédez comme suit :
      1. Cliquez sur le menu Fichier, puis sélectionnez Importer.
      2. Dans la boîte de dialogue Importer un fichier du Registre, sélectionnez le fichier approprié, puis cliquez sur Ouvrir.
      3. Quittez l'Éditeur du Registre.
      4. Redémarrez l'ordinateur.

Vulnérabilité d'exécution de code à distance dans Microsoft Office – CVE-2015-2466

Il existe une vulnérabilité d'exécution de code à distance dans un logiciel Microsoft Office lorsque celui-ci ne parvient pas à valider correctement des modèles. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du script arbitraire dans le contexte de l'utilisateur actuel. L'exploitation de cette vulnérabilité nécessite qu'un utilisateur ouvre un fichier de modèle spécialement conçu avec une version affectée d'un logiciel Microsoft Office.

Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur actuel. Si l'utilisateur actuel est connecté avec des privilèges d'administrateur, un attaquant pourrait prendre le contrôle intégral du système affecté. L'attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec moins de droits sur le système pourraient être moins touchés que ceux qui disposent de privilèges d'administrateur.

Dans le cas d'une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant un fichier spécialement conçu à l'utilisateur et en persuadant celui-ci d'ouvrir le fichier.

Dans le cas d'une attaque web, l'attaquant pourrait héberger un site web ou un partage de fichiers (ou exploiter un site web compromis qui accepte ou héberge du contenu provenant d'utilisateurs) contenant un fichier spécialement conçu pour exploiter cette vulnérabilité. Un attaquant n'aurait aucun moyen de forcer un utilisateur à visiter le site web ou le partage de fichiers. Il devrait le convaincre, généralement par le biais d'une sollicitation envoyée par message électronique ou message instantané, puis l'amener à ouvrir le fichier spécialement conçu.

Un attaquant pourrait également lancer une attaque d'interception (intercepter le trafic entre la source et la destination) et modifier le contenu du modèle de manière à inclure du code malveillant.

La mise à jour de sécurité corrige la vulnérabilité en modifiant la manière dont Office valide les modèles Office avant de les utiliser.

Microsoft a été informée de cette vulnérabilité par une divulgation de vulnérabilité coordonnée. Lors de la publication de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de cette vulnérabilité dans le but d'attaquer des clients.

Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité.

Solutions de contournement

Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité.

Vulnérabilité de dépassement négatif d'entier dans Microsoft Office – CVE-2015-2470

Une vulnérabilité d'exécution de code à distance existe lorsqu'Office diminue la valeur d'un entier au-delà de sa valeur minimale. L'exploitation de cette vulnérabilité nécessite qu'un utilisateur ouvre un fichier Office spécialement conçu avec une version affectée d'un logiciel Microsoft Office.

Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur actuel. Si l'utilisateur actuel est connecté avec des privilèges d'administrateur, un attaquant pourrait prendre le contrôle intégral du système affecté. L'attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec moins de droits sur le système pourraient être moins touchés que ceux qui disposent de privilèges d'administrateur.

Dans le cas d'une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant un fichier spécialement conçu à l'utilisateur et en persuadant celui-ci d'ouvrir le fichier.

Dans le cas d'une attaque web, l'attaquant pourrait héberger un site web (ou exploiter un site web compromis qui accepte ou héberge du contenu provenant d'utilisateurs) contenant un fichier spécialement conçu pour exploiter cette vulnérabilité. Un attaquant n'aurait aucun moyen de forcer un utilisateur à visiter le site web. Il devrait le convaincre, généralement par le biais d'une sollicitation envoyée par message électronique ou message instantané, puis l'amener à ouvrir le fichier spécialement conçu.

Cette mise à jour de sécurité corrige la vulnérabilité en modifiant la façon dont Office gère la vérification des limites de nombre entier.

Microsoft a été informée de cette vulnérabilité par une divulgation de vulnérabilité coordonnée. Lors de la publication de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de cette vulnérabilité dans le but d'attaquer des clients.

Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité.

Solutions de contournement

Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité.

Déploiement des mises à jour de sécurité

Pour plus d'informations sur le déploiement des mises à jour de sécurité, consultez l'article de la Base de connaissances Microsoft référencé ici dans la synthèse.

Remerciements

Microsoft reconnaît les efforts des professionnels de la sécurité qui contribuent à protéger les clients par une divulgation coordonnée des vulnérabilités. Reportez-vous à la page Remerciements pour plus d'informations.

Dédit de responsabilité

Les informations contenues dans la Base de connaissances Microsoft sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas, la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.

Révisions

  • V1.0 (11 août 2015) : Bulletin publié.
  • V2.0 (2 septembre 2015) : Bulletin mis à jour pour annoncer la disponibilité de la mise à jour 3039798 pour Microsoft Office 2013 RT Service Pack 1 via Windows Update.
  • V3.0 (13 octobre 2015) : Bulletin mis à jour pour annoncer la disponibilité de packages de mise à jour pour Microsoft Office 2016, Microsoft Visio 2016 et Microsoft Word 2016. Les clients utilisant Microsoft Office 2016 Microsoft Visio 2016 ou Microsoft Word 2016 doivent appliquer les mises à jour respectives pour être protégés des vulnérabilités décrites dans ce Bulletin. La majorité de nos clients chez lesquels les mises à jour automatiques sont activées n'auront pas besoin d'entreprendre de nouvelle action, car les mises à jour seront téléchargées et installées automatiquement.

Page générée le 07/10/2015 11:03:00-07:00.