Excel : multiples vulnérabilités

SYNTHESE

Plusieurs vulnérabilités de Excel permettent à un attaquant de faire exécuter du code lors de l'ouverture ou de l'édition d'un document illicite.
Gravité : 3/4. Provenance : document. Confiance : élevé.
Conséquences : accès/droits utilisateur.

PRODUITS CONCERN&EACUTE;S

Microsoft Excel versions 2000, 2000 SP1, 2000 SP2, 2000 SP3, 2001 Mac, X Mac, 2002 XP, 2002 XP SP1, 2002 XP SP2, 2002 XP SP3, 2003, 2003 SP1, 2003 SP2, 2004 Mac, 2004 Mac SP1

DESCRIPTION

Plusieurs vulnérabilités d'Excel permettent à un attaquant de faire exécuter du code lors de l'ouverture ou de l'édition d'un document illicite.

Un champ SELECTION illicite corrompt la mémoire (CVE-2006-1301).
Un champ SELECTION illicite corrompt la mémoire (CVE-2006-1302).
Un champ COLINFO illicite corrompt la mémoire (CVE-2006-1304).
Un champ OBJECT illicite corrompt la mémoire (CVE-2006-1306).
Une valeur FNGROUPCOUNT illicite corrompt la mémoire (CVE-2006-1308).
Un champ LABEL illicite corrompt la mémoire (CVE-2006-1309).
Un commentaire de cellule illicite corrompt la mémoire (CVE-2006-2388).
Un fichier malformé provoque un débordement (CVE-2006-3059).

Références : 917285, CVE-2006-1301, CVE-2006-1302, CVE-2006-1304, CVE-2006-1306, CVE-2006-1308, CVE-2006-1309, CVE-2006-2388, CVE-2006-3059, MS06-037, SA2006-05, SA2006-06, Vulnérabilités Vigilance, ZDI-06-022

SOURCES D'INFORMATIONS

MS06-037 Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (917285) (lien d'origine, sauvé le 12/07/2006)

SOLUTIONS

Excel : patch vulnérabilité

COMPL&EACUTE;MENTS

Documentation : CVE-2006-1302 : SELECTION

SA2006-05 Microsoft Excel SELECTION Record Memory Corruption Vulnerability (lien d'origine, sauvé le 12/07/2006)

Documentation : CVE-2006-1304 : COLINFO

SA2006-06 Microsoft Excel COLINFO Record Memory Corruption Vulnerability (Vulnerabilities Vigilance, sauvé le 12/07/2006)

Documentation : CVE-2006-1306 : OBJECT

Microsoft Excel Array Index Error Remote CodeExecution (Sowhat, 12/07/2006)

Documentation : CVE-2006-1308 : FNGROUPCOUNT

Microsoft Excel Could Allow Remote Code Executionby Malformed FNGROUPCOUNT value Vulnerability (xin ouyang, 12/07/2006)

Documentation : CVE-2006-2388

ZDI-06-022 Microsoft Office Excel File Rebuilding Code Execution Vulnerability (Vulnérabilités Vigilance, sauvé le 12/07/2006)

SUIVI DE CETTE FICHE

12/07/2006 09:25:36

Version initiale.