Bulletins de sécurité du 11 mars

Voici un résumé des bulletins de sécurité publiés mardi 11 mars. Seulement 4 bulletins ce mois-ci, et aucun ne concerne Windows ! Seule la famille Office est concernée, donc les serveurs sont beaucoup moins impactés que les postes de travail.

• Synthèse en français
• Synthèse en anglais
• Résumé de l'Internet Storm Center

MS08-014 - Des vulnérabilités dans Microsoft Excel pourraient permettre l’exécution de code à distance (949029)

Ce bulletin concerne 7 vulnérabilités dans diverses versions d'Excel : 2000 SP3, 2002 SP3(*), 2003 SP2, 2007, ainsi que dans les viewers et packs de compatibilité correspondants, sans oublier les versions pour Mac : 2004 et 2008. Le bulletin est critique uniquement pour Excel 2000 SP3.

D'après le MSRC, une de ces vulnérabilités aurait déjà été utilisée pour des attaques cliblées, ce qui rend ce bulletin particulièrement urgent.

A noter toutefois que les versions 2003 SP3 et 2007 SP1 ne sont pas impactées (de l'intérêt de déployer rapidement les derniers Service Packs.)

MS08-015 - Une vulnérabilité dans Microsoft Outlook pourrait permettre l'exécution de code à distance (949031)

Ce bulletin concerne une vulnérabilité critique dans le traitement par Outlook des URI "mailto". Cliquer sur un lien "mailto" dans une page web alors qu'Outlook est votre client de messagerie par défaut suffirait à exploiter la vulnérabilité. Les versions concernées sont Outlook 2000 SP3, 2002 SP3(*), 2003 SP2, 2003 SP3 et 2007. Encore une fois, Outlook 2007 SP1 n'est pas concerné.

MS08-016 - Des vulnérabilités dans Microsoft Office pourraient permettre l'exécution de code à distance (949030)

Ce bulletin concerne 2 vulnérabilités de corruption de mémoire dans Office 2000 SP3 (critique), XP SP3, 2003 SP2, Excel Viewer 2003 et 2003 SP3, et Office 2004 pour Mac. Office 2003 SP3, 2007 et 2007 SP1 ne sont pas concernés.

MS08-017 - Des vulnérabilités dans Microsoft Office Web Components pourraient permettre l'exécution de code à distance (933103)

Ce bulletin est le seul de ce mois qui risque de concerner des serveurs. Il concerne 2 vulnérabilités critiques dans les Office Web Components 2000. On trouve ces composants dans divers prouits : Office 2000 SP3 et XP SP3, Visual Studio .NET 2002 SP1 et 2003 SP1, Biztalk Server 2000 et 2002, Commerce Server 2000 et ISA Server 2000 SP2. Ces versions sont assez anciennes, et les produits actuels ne sont pas concernés par ces vulnérabilités.

En résumé, si vous utilisez des versions récentes des produits (Office 2003 SP3 ou 2007 SP1), vous n'êtes quasiment pas impactés ce mois-ci. Si ce n'est pas le cas, vérifiez en détail si vos versions sont concernées et patchez rapidement.

(*) Les versions 2002 correspondent à Office XP.