Microsoft corrige une faille critique dans un ActiveX utilisé par Office

Tous les Office 32 bits concernés 6
Par
le mercredi 11 avril 2012 à 16:57
Vincent Hermann
Microsoft a publié hier les derniers bulletins de sécurité, comme chaque deuxième mardi de chaque mois. On trouve cette fois six bulletins, dont quatre critiques et deux importants. Parmi les failles critiques, une en particulier fait déjà l’objet d’attaques recensées.

activex office bulletins

Les six nouveaux bulletins sont les suivants :

Critiques :
  • MS12-023 : Mise à jour cumulative pour Internet Explorer. Corrige plusieurs failles dont au moins une est critique.
  • MS12-024 : Corrige une faille qui peut permettre l'exécution de code à distance si un utilisateur ou une application exécutait ou installait un fichier exécutable portable (PE) signé et spécialement conçu sur un système affecté.
  • MS12-025 : Corrige une faille dans le framework .NET pouvant permettre une exécution de code à distance. Toutes les versions en cours de support, de la 1.0 SP3 à l’actuelle 4.0, sont concernées.
  • MS12-027 : Corrige une faille dans MSCOMCTL.OCX, l’ActiveX Windows Common Controls. Le fichier est en fait remplacé par une nouvelle version. Toutes les versions 32 bits d’Office sont touchées, ainsi que d’autres produits tels que SQL Server.
Importants :
  • MS12-026 : Corrige plusieurs vulnérabilités dans Forefront Unified Access Gateway (UAG). Exploitées, ces failles pourraient permettre une divulgation d’informations.
  • MS12-028 : Corrige une faille dans Office 2007, Works 9 et le convertisseur de fichiers Works 6-9. L’exploitation de la faille passe par un document Works spécialement conçu.
Parmi tous ces bulletins, le plus important est le MS12-027. La faille est en effet déjà exploitée à l’aide de documents Office spécialement conçus. Il existe toutefois plusieurs facteurs limitants en fonction du produit installé sur la machine. Premièrement, seules les versions 32 bits des logiciels sont touchées. Deuxièmement, l’ouverture des documents dans Office 2010 affiche toujours par défaut une vue protégée en mode lecture seule. L’activation du contrôle ActiveX passe obligatoirement par le bouton « Permettre la modification ».

Si pour une raison ou une autre vous ne pouvez pas installer la mise à jour, il reste la possibilité de couper complètement l’utilisation des contrôles ActiveX au sein d’Office. Pour cela, il faut se rendre dans les options d’un des logiciels de la suite bureautique puis sélectionner le centre de gestion de la confidentialité.

activex office bulletins

Dans la fenêtre qui s’ouvre, sélectionner « Paramètres ActiveX » puis le premier réglage de la liste : « Désactiver tous les contrôles sans notification ». Il s’agit d’une mesure extrême mais qui garantit la sécurité. Sachez toutefois que des fonctionnalités avancées de certains documents ne pourront plus fonctionner, par exemple un tableau Excel utilisant le contrôle listbox pour une sélection :

excel activex 

Si vous êtes toutefois un utilisateur « classique » d’Office, ces fonctions ne devraient pas trop vous manquer. L’installation de la mise à jour reste évidemment la meilleure solution.