Jour des nouveaux trous chez Microsoft
C'est devenu une tradition : la veille ou le lendemain des « patch Tuesday » est souvent l'occasion pour certains hackers de publier de nouveaux comptes-rendus de failles, de récents exploits et de tout nouveaux PoC. A commencer par un décryptage tout en finesse d'un enregistrement CVE, lequel laisserait entendre une instabilité d'Excel... mais uniquement des versions Chinoises, Japonaises et Coréennes. A peine plus préoccupant , ce PoC qui assassine Word 2000, 2002 et 2003, via la dll MSO. Ce genre d'attaque n'est pas exploitable à distance, mais il ouvre la voie à d'autres menaces que l'on pourrait découvrir par fuzzing. A cet exploit il faut ajouter un prétendu ZDE (prétendu à l'heure ou nous rédigeons ces lignes) affectant Word 2000. L'auteur déclare que les éditions 2003 du traitement de texte ne paraissent pas touchées par l'imperfection visée. A noter que le bug en question n'est autre que la faille Hlink qui faisait également la hune des actualités sécurité d'Excel la semaine dernière. L'auteur de l'exploit est d'ailleurs le même.
