Bulletin de sécurité Microsoft MS14-069 - Important
Les vulnérabilités dans Microsoft Office peuvent permettre l’exécution de code à distance (3009710)
Date de publication : 11 novembre 2014
Version : 1.0
Résumé
Cette mise à jour de sécurité résout trois vulnérabilités signalées en privé dans Microsoft Office. Les vulnérabilités peuvent permettre l’exécution de code à distance si un fichier spécialement conçu est ouvert dans une édition affectée de Microsoft Office 2007. Un attaquant qui a réussi à exploiter cette vulnérabilité pourrait obtenir les mêmes droits d’utilisateur que l’utilisateur actuel. Les clients dont les comptes sont configurés pour avoir moins de droits d’utilisateur sur le système peuvent être moins impactés que ceux qui opèrent avec des droits d’utilisateur administratifs.
Cette mise à jour de sécurité est considérée comme importante pour les éditions prises en charge de Microsoft Word 2007, microsoft Word Viewer et le pack de compatibilité Microsoft Office. Pour plus d’informations, consultez la section Logiciels affectés .
La mise à jour de sécurité corrige les vulnérabilités en corrigeant la façon dont Microsoft Office analyse les fichiers spécialement conçus. Pour plus d’informations sur les vulnérabilités, consultez la sous-section Forum aux questions (FAQ) pour connaître les vulnérabilités spécifiques.
Pour plus d’informations sur ce document, consultez l’article 3009710 de la Base de connaissances Microsoft.
Logiciel affecté
Les logiciels suivants ont été testés pour déterminer quelles versions ou éditions sont affectées. Les autres versions ou éditions ont dépassé leur cycle de vie de support ou ne sont pas affectées. Pour déterminer le cycle de vie de prise en charge de votre version ou édition de logiciel, consultez Support Microsoft Cycle de vie.
| Suite Microsoft Office et autres logiciels | Composant | Impact maximal sur la sécurité | Agrégation de l’indice de gravité | Mises à jour remplacé |
|---|---|---|---|---|
| Microsoft Office Suites | ||||
| Microsoft Office 2007 Service Pack 3 | Microsoft Word 2007 Service Pack 3 (2899527) | Exécution de code à distance | Important | 2883032 dans MS14-061 |
| Autres logiciels Microsoft Office | ||||
| Visionneuse Microsoft Word (2899553) | Non applicable | Exécution de code à distance | Important | 2878304 dans MS14-017 |
| Pack de compatibilité Microsoft Office Service Pack 3 (2899526) | Non applicable | Exécution de code à distance | Important | 2883031 dans MS14-061 |
Niveaux de gravité et identificateurs de vulnérabilité
Les évaluations de gravité suivantes supposent l’impact maximal potentiel de la vulnérabilité. Pour plus d’informations sur la probabilité, dans les 30 jours suivant la publication de ce bulletin de sécurité, de l’exploitabilité de la vulnérabilité par rapport à son niveau de gravité et son impact sur la sécurité, consultez l’index d’exploitabilité dans le résumé du bulletin de novembre.
| Évaluation de la gravité des vulnérabilités et impact maximal sur la sécurité par les logiciels affectés | ||||
|---|---|---|---|---|
| Logiciel affecté | Vulnérabilité d’exécution de code à distance à double suppression de Microsoft Office - CVE-2014-6333 | Vulnérabilité d’exécution de code à distance d’index incorrect dans Microsoft Office - CVE-2014-6334 | Vulnérabilité d’exécution de code à distance du pointeur Microsoft Office non valide - CVE-2014-6335 | Agrégation de l’indice de gravité |
| Microsoft Office Suites | ||||
| Microsoft Word 2007 Service Pack 3 | Important\ Exécution de code à distance | Important \ Exécution de code à distance | Important \ Exécution de code à distance | Important |
| Autres logiciels Microsoft Office | ||||
| Visionneuse Microsoft Word | Important \ Exécution de code à distance | Important \ Exécution de code à distance | Important \ Exécution de code à distance | Important |
| Pack de compatibilité Microsoft Office Service Pack 3 | Important\ Exécution de code à distance | Important\ Exécution de code à distance | Important \ Exécution de code à distance | Important |
Vulnérabilité d’exécution de code à distance à double suppression de Microsoft Office - CVE-2014-6333
Il existe une vulnérabilité d’exécution de code à distance dans le contexte de l’utilisateur actuel qui se produit lorsque Microsoft Word ne gère pas correctement les objets en mémoire lors de l’analyse des fichiers Office spécialement conçus. Microsoft a reçu des informations sur la vulnérabilité par le biais de la divulgation coordonnée des vulnérabilités. Lorsque ce bulletin de sécurité a été émis, ****Microsoft n’avait reçu aucune information indiquant que cette vulnérabilité avait été utilisée publiquement pour attaquer les clients. La mise à jour de sécurité corrige la vulnérabilité en corrigeant la façon dont Microsoft Office analyse les fichiers spécialement conçus.
Facteurs atténuants
L’atténuation fait référence à un paramètre, à une configuration courante ou à une bonne pratique générale, existant dans un état par défaut, qui pourrait réduire la gravité de l’exploitation d’une vulnérabilité. Les facteurs atténuants suivants peuvent être utiles dans votre situation :
- La vulnérabilité ne peut pas être exploitée automatiquement par e-mail. Pour qu’une attaque réussisse, un utilisateur doit ouvrir une pièce jointe envoyée dans un e-mail.
- Dans un scénario d’attaque web, un attaquant peut héberger un site web contenant un fichier Office spécialement conçu qui est utilisé pour tenter d’exploiter cette vulnérabilité. En outre, les sites web compromis et les sites web qui acceptent ou hébergent du contenu ou des publicités fournis par l’utilisateur peuvent contenir du contenu spécialement conçu qui pourrait exploiter cette vulnérabilité. Dans tous les cas, toutefois, un attaquant n’aurait aucun moyen de forcer les utilisateurs à afficher le contenu contrôlé par l’attaquant. Au lieu de cela, une personne malveillante doit convaincre les utilisateurs d’agir, généralement en leur demandant de cliquer sur un lien dans un message électronique ou un message instantané qui amène les utilisateurs vers le site web de l’attaquant, puis les convaincre d’ouvrir le fichier Office spécialement conçu.
- Un attaquant qui a réussi à exploiter cette vulnérabilité pourrait obtenir les mêmes droits d’utilisateur que l’utilisateur actuel. Les clients dont les comptes sont configurés pour avoir moins de droits d’utilisateur sur le système peuvent être moins impactés que ceux qui opèrent avec des droits d’utilisateur administratifs.
Solutions de contournement
Microsoft n’a identifié aucune solution de contournement pour cette vulnérabilité.
Forum aux questions
Qu’est-ce qu’un attaquant peut utiliser la vulnérabilité pour faire ?
Un attaquant qui parvient à exploiter cette vulnérabilité peut exécuter du code arbitraire dans le contexte de l’utilisateur actuel. Si l’utilisateur actuel est connecté avec des droits d’utilisateur administratifs, un attaquant peut prendre le contrôle total du système affecté. Un attaquant peut alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes avec des droits d’utilisateur complets. Les utilisateurs dont les comptes sont configurés avec des droits restreints sur le système sont moins vulnérables que les utilisateurs qui ont des droits administratifs.
Comment un attaquant peut-il exploiter la vulnérabilité ?
L’exploitation de cette vulnérabilité nécessite qu’un utilisateur ouvre un fichier spécialement conçu avec une version affectée du logiciel Microsoft Office.
Dans un scénario d’attaque par e-mail, un attaquant peut exploiter la vulnérabilité en envoyant un fichier spécialement conçu à l’utilisateur et en le convainquant d’ouvrir le fichier dans une version affectée du logiciel Microsoft Office.
Dans un scénario d’attaque web, un attaquant peut héberger un site web qui contient un fichier utilisé pour tenter d’exploiter la vulnérabilité. En outre, les sites web compromis et les sites web qui acceptent ou hébergent du contenu fourni par l’utilisateur peuvent contenir du contenu spécialement conçu qui pourrait exploiter cette vulnérabilité. Un attaquant n’aurait aucun moyen de forcer les utilisateurs à visiter un site web spécialement conçu. Au lieu de cela, un attaquant doit le convaincre de visiter le site web, généralement en l’invitant à cliquer sur un lien dans un message électronique ou un message instantané qui l’amène au site de l’attaquant, puis le convaincre d’ouvrir le fichier spécialement conçu dans une version affectée du logiciel Microsoft Office.
Vulnérabilité d’exécution de code à distance d’index incorrect dans Microsoft Office - CVE-2014-6334
Il existe une vulnérabilité d’exécution de code à distance dans le contexte de l’utilisateur actuel qui se produit lorsque Microsoft Word gère incorrectement les objets en mémoire lors de l’analyse de fichiers Office spécialement conçus. Cela peut endommager la mémoire système de manière à permettre à un attaquant d’exécuter du code arbitraire. Microsoft a reçu des informations sur ces vulnérabilités par le biais de la divulgation coordonnée des vulnérabilités. Lors de la publication de ce bulletin de sécurité,***Microsoft n’avait reçu aucune information indiquant que cette vulnérabilité avait été utilisée publiquement pour attaquer les clients. La mise à jour de sécurité corrige la vulnérabilité en corrigeant la façon dont Microsoft Office analyse les fichiers spécialement conçus.
Facteurs atténuants
L’atténuation fait référence à un paramètre, à une configuration courante ou à une bonne pratique générale, existant dans un état par défaut, qui pourrait réduire la gravité de l’exploitation d’une vulnérabilité. Les facteurs atténuants suivants peuvent être utiles dans votre situation :
- La vulnérabilité ne peut pas être exploitée automatiquement par e-mail. Pour qu’une attaque réussisse, un utilisateur doit ouvrir une pièce jointe envoyée dans un message électronique.
- Dans un scénario d’attaque web, un attaquant peut héberger un site web qui contient un fichier Office spécialement conçu qui est utilisé pour tenter d’exploiter cette vulnérabilité. En outre, les sites web compromis et les sites web qui acceptent ou hébergent du contenu ou des publicités fournis par l’utilisateur peuvent contenir du contenu spécialement conçu qui pourrait exploiter cette vulnérabilité. Dans tous les cas, toutefois, un attaquant n’aurait aucun moyen de forcer les utilisateurs à afficher le contenu contrôlé par l’attaquant. Au lieu de cela, un attaquant devrait convaincre les utilisateurs d’agir, généralement en les faisant cliquer sur un lien dans un message électronique ou un message instantané qui amène les utilisateurs vers le site web de l’attaquant, puis les convaincre d’ouvrir le fichier Office spécialement conçu.
- Un attaquant qui a réussi à exploiter cette vulnérabilité pourrait obtenir les mêmes droits d’utilisateur que l’utilisateur actuel. Les clients dont les comptes sont configurés pour avoir moins de droits d’utilisateur sur le système pourraient être moins impactés que ceux qui fonctionnent avec des droits d’utilisateur administratifs.
Solutions de contournement
Microsoft n’a identifié aucune solution de contournement pour cette vulnérabilité.
Forum aux questions
Qu’est-ce qu’un attaquant peut utiliser la vulnérabilité pour faire ?
Un attaquant qui a réussi à exploiter cette vulnérabilité peut exécuter du code arbitraire dans le contexte de l’utilisateur actuel. Si l’utilisateur actuel est connecté avec des droits d’utilisateur administratifs, un attaquant peut prendre le contrôle total du système affecté. Un attaquant peut alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes avec des droits d’utilisateur complets. Les utilisateurs dont les comptes sont configurés avec des droits restreints sur le système sont moins vulnérables que les utilisateurs qui ont des droits administratifs.
Comment un attaquant peut-il exploiter la vulnérabilité ?
L’exploitation de cette vulnérabilité nécessite qu’un utilisateur ouvre un fichier spécialement conçu avec une version affectée du logiciel Microsoft Office.
Dans un scénario d’attaque par e-mail, un attaquant peut exploiter la vulnérabilité en envoyant un fichier spécialement conçu à l’utilisateur et en convainquant l’utilisateur d’ouvrir le fichier dans une version affectée du logiciel Microsoft Office.
Dans un scénario d’attaque web, un attaquant peut héberger un site web contenant un fichier utilisé pour tenter d’exploiter la vulnérabilité. En outre, les sites web compromis et les sites web qui acceptent ou hébergent du contenu fourni par l’utilisateur peuvent contenir du contenu spécialement conçu qui pourrait exploiter cette vulnérabilité. Un attaquant n’aurait aucun moyen de forcer les utilisateurs à visiter un site web spécialement conçu. Au lieu de cela, un attaquant devrait le convaincre de visiter le site web, généralement en l’invitant à cliquer sur un lien dans un message électronique ou un message instantané qui l’amène au site de l’attaquant, puis le convaincre d’ouvrir le fichier spécialement conçu dans une version affectée du logiciel Microsoft Office.
Vulnérabilité d’exécution de code à distance non valide dans Microsoft Office - CVE-2014-6335
Il existe une vulnérabilité d’exécution de code à distance dans le contexte de l’utilisateur local qui se produit lorsque Microsoft Word ne gère pas correctement les objets en mémoire lors de l’analyse de fichiers Office spécialement conçus. Cela peut endommager la mémoire système de manière à permettre à un attaquant d’exécuter du code arbitraire. Microsoft a reçu des informations sur ces vulnérabilités par le biais de la divulgation coordonnée des vulnérabilités. Lors de la publication de ce bulletin de sécurité,***Microsoft n’avait reçu aucune information indiquant que cette vulnérabilité avait été utilisée publiquement pour attaquer les clients. La mise à jour de sécurité corrige la vulnérabilité en corrigeant la façon dont Microsoft Office analyse les fichiers spécialement conçus.
Facteurs atténuants
L’atténuation fait référence à un paramètre, à une configuration courante ou à une bonne pratique générale, existant dans un état par défaut, qui pourrait réduire la gravité de l’exploitation d’une vulnérabilité. Les facteurs atténuants suivants peuvent être utiles dans votre situation :
- La vulnérabilité ne peut pas être exploitée automatiquement par e-mail. Pour qu’une attaque réussisse, un utilisateur doit ouvrir une pièce jointe envoyée dans un message électronique.
- Dans un scénario d’attaque web, un attaquant peut héberger un site web qui contient un fichier Office spécialement conçu qui est utilisé pour tenter d’exploiter cette vulnérabilité. En outre, les sites web compromis et les sites web qui acceptent ou hébergent du contenu ou des publicités fournis par l’utilisateur peuvent contenir du contenu spécialement conçu qui pourrait exploiter cette vulnérabilité. Dans tous les cas, toutefois, un attaquant n’aurait aucun moyen de forcer les utilisateurs à afficher le contenu contrôlé par l’attaquant. Au lieu de cela, un attaquant devrait convaincre les utilisateurs d’agir, généralement en les faisant cliquer sur un lien dans un message électronique ou un message instantané qui amène les utilisateurs vers le site web de l’attaquant, puis les convaincre d’ouvrir le fichier Office spécialement conçu.
- Un attaquant qui a réussi à exploiter cette vulnérabilité pourrait obtenir les mêmes droits d’utilisateur que l’utilisateur actuel. Les clients dont les comptes sont configurés pour avoir moins de droits d’utilisateur sur le système pourraient être moins impactés que ceux qui fonctionnent avec des droits d’utilisateur administratifs.
Solutions de contournement
Microsoft n’a identifié aucune solution de contournement pour cette vulnérabilité.
Forum aux questions
Qu’est-ce qu’un attaquant peut utiliser la vulnérabilité pour faire ?
Un attaquant qui a réussi à exploiter cette vulnérabilité peut exécuter du code arbitraire dans le contexte de l’utilisateur actuel. Si l’utilisateur actuel est connecté avec des droits d’utilisateur administratifs, un attaquant peut prendre le contrôle total du système affecté. Un attaquant peut alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes avec des droits d’utilisateur complets. Les utilisateurs dont les comptes sont configurés avec des droits restreints sur le système sont moins vulnérables que les utilisateurs qui ont des droits administratifs.
Comment un attaquant peut-il exploiter la vulnérabilité ?
L’exploitation de cette vulnérabilité nécessite qu’un utilisateur ouvre un fichier spécialement conçu avec une version affectée du logiciel Microsoft Office.
Dans un scénario d’attaque par e-mail, un attaquant peut exploiter la vulnérabilité en envoyant un fichier spécialement conçu à l’utilisateur et en convainquant l’utilisateur d’ouvrir le fichier dans une version affectée du logiciel Microsoft Office.
Dans un scénario d’attaque web, un attaquant peut héberger un site web contenant un fichier utilisé pour tenter d’exploiter la vulnérabilité. En outre, les sites web compromis et les sites web qui acceptent ou hébergent du contenu fourni par l’utilisateur peuvent contenir du contenu spécialement conçu qui pourrait exploiter cette vulnérabilité. Un attaquant n’aurait aucun moyen de forcer les utilisateurs à visiter un site web spécialement conçu. Au lieu de cela, un attaquant devrait le convaincre de visiter le site web, généralement en l’invitant à cliquer sur un lien dans un message électronique ou un message instantané qui l’amène au site de l’attaquant, puis le convaincre d’ouvrir le fichier spécialement conçu dans une version affectée du logiciel Microsoft Office.
Déploiement des mises à jour de sécurité
Pour plus d’informations sur le déploiement des mises à jour de sécurité, consultez l’article de la Base de connaissances Microsoft référencé dans le Résumé exécutif.
Remerciements
Microsoft reconnaît les efforts des membres de la communauté de la sécurité qui nous aident à protéger les clients par le biais de la divulgation coordonnée des vulnérabilités. Pour plus d’informations, consultez Accusés de réception.
Clause d'exclusion de responsabilité
Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie d’aucune sorte. Microsoft rejette toutes les garanties, expresses ou implicites, y compris les garanties de qualité marchande et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne peuvent être tenus responsables de quelque dommage que ce soit, y compris direct, indirect, accessoire, consécutif, perte de bénéfices commerciaux ou dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages. Certains États n’autorisent pas l’exclusion ou la limitation de la responsabilité pour les dommages indirects ou accessoires, de sorte que la limitation ci-dessus peut ne pas s’appliquer.
Révisions
- V1.0 (11 novembre 2014) : Bulletin publié.
Page générée 2015-01-14 11:46Z-08:00.