Excel 2003, Excellent crû à bug
Le bulletin d'alerte 947563 émis par Microsoft concerne un risque d'exploitation à distance par fichier forgé - expédié sous forme de pièce attachée dans un email ou accessible sur un site Web-. Le risque en question semble relativement élevé, puisque le blog du MSRT parle d'exploitation par un vecteur d'attaque activement utilisé ces jours ci. Les versions vulnérables d'Excel sont les éditions 2003 Service Pack 2 et sonViewer 2003, Excel 2002, 2000 et 2004 pour Mac. Les autres versions ne sont pas concernées... du moins pour l'instant. Les principaux « facteurs de mitigation » et recommandations sont, comme à l'habitude, soit vides de sens, soit banals, exception faite du détail suivant : les risques d'attaque peuvent être écartés en installant le Microsoft Office Isolated Conversion Environment (MOICE). Las, cette astuce ne concerne que les programmes de la génération 2003 et ultérieurs. Les éditions 2000 et 2002 ne peuvent supporter Moice. Il n'existe pour l'heure strictement aucune rustine colmatant cette faille. Un filtrage des fichiers Excel ou une ouverture « prudente » sont donc recommandés.
