Excel : un bug peut en cacher un autre
La faille Excel qui fit parler d'elle vendredi dernier est désormais accessible publiquement sur une multitude de sites. A commencer par Milw0rm, et non compris une publication sur le full disclosure, censurée pour contenu obscène. Il semblerait en fait que la faille en question ait déjà fait l'objet d'une communication plus « discrète », très probablement connue avant le 12 de ce mois si l'on en juge par cette alerte de Trend Micro à propos du troyen Troj_embed.an. Ce n'était probablement pas assez pour que Microsoft réagisse à ce moment précis. Passé ce léger coup de tabac, qui a fait plus de bruit médiatique que de mal réel -quoique bien les choses peuvent évoluer avant le prochain « patch Tuesday »-, la météo des vulnérabilité nous annonce un second grain en provenance de HackingSpirit, sous la signature de Debasis Mohanti, grand habitué de la liste FD. Il s'agit d'une exécution automatique obtenue par le mariage subtil -et à trois- d'un fichier en Flash, de son script Java, et d'un fichier Excel véhiculant le tout. Aucune « interaction » de l'usager n'est nécessaire. Le PoC et un fichier pdf d'explication sont téléchargeables sur le site susnommé.
