CERTA-2001-AVI-111
Vulnerability from certfr_avis

Un utilisateur mal intentionné peut composer un document Excel ou PowerPoint contenant des macros spécifiques permettant d'exécuter du code arbitraire sur la machine cible.

Description

Un module spécifique permet d'informer l'utilisateur de la présence d'une ou plusieurs macros lors de l'ouverture d'un document PowerPoint ou Excel. Un utilisateur mal intentionné peut, par le biais d'un document judicieusement composé, contourner ce module et exécuter des macros à l'insu de l'utilisateur.

Ce type de vulnérabilité peut servir pour exécuter du code arbitraire, comme par exemple des virus, des chevaux de Troie, etc.

Solution

Télécharger le correctif correspondant au logiciel utilisé sur le site Microsoft :

  • Microsoft Excel 2000 pour Windows :

    http://download.microsoft.com/download/excel2000/e2kmac/1/w98nt42kme/en-us/e2kmac.exe

  • Microsoft Excel 2002 pour Windows :

    http://download.microsoft.com/download/excel2002/exc1001/1/w98nt42kme/en-us/exc1001.exe

  • Microsoft Excel 98 pour Macintosh :

    http://www.microsoft.com/mac/download/office98/pptxlmacro.asp

  • Microsoft Excel 2001 pour Macintosh :

    http://www.microsoft.com/mac/download/office2001/pptxlmacro.asp

  • Microsoft PowerPoint 2000 pour Windows :

    http://download.microsoft.com/download/powerpoint2000/p2kmac/1/w98nt42kme/en-us/p2kmac.exe

  • Microsoft PowerPoint 2002 pour Windows :

    http://download.microsoft.com/download/powerpoint2002/ppt1001/1/w98nt42kme/en-us/ppt1001.exe

  • Microsoft PowerPoint 98 pour Macintosh :

    http://www.microsoft.com/mac/download/office98/pptxlmacro.asp

  • Microsoft PowerPoint 2001 pour Macintosh :

    http://www.microsoft.com/mac/download/office2001/pptxlmacro.asp
None
Impacted products
Vendor Product Description
Microsoft Windows Microsoft PowerPoint 2000 pour Windows ;
Microsoft N/A Microsoft Excel 98 pour Macintosh ;
Microsoft N/A Microsoft PowerPoint 98 pour Macintosh ;
Microsoft N/A Microsoft Excel 2001 pour Macintoch ;
Microsoft N/A Microsoft PowerPoint 2001 pour Macintoch ;
Microsoft Windows Microsoft Excel 2002 pour Windows ;
Microsoft Windows Microsoft Excel 2000 pour Windows ;
Microsoft Windows Microsoft PowerPoint 2002 pour Windows ;
References
Bulletin Microsoft MS01-050 None vendor-advisory
Bulletin Microsoft : - other

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Microsoft PowerPoint 2000 pour Windows ;",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Excel 98 pour Macintosh ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft PowerPoint 98 pour Macintosh ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Excel 2001 pour Macintoch ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft PowerPoint 2001 pour Macintoch ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Excel 2002 pour Windows ;",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Excel 2000 pour Windows ;",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft PowerPoint 2002 pour Windows ;",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "content": "## Description\n\nUn module sp\u00e9cifique permet d\u0027informer l\u0027utilisateur de la pr\u00e9sence\nd\u0027une ou plusieurs macros lors de l\u0027ouverture d\u0027un document PowerPoint\nou Excel. Un utilisateur mal intentionn\u00e9 peut, par le biais d\u0027un\ndocument judicieusement compos\u00e9, contourner ce module et ex\u00e9cuter des\nmacros \u00e0 l\u0027insu de l\u0027utilisateur.\n\nCe type de vuln\u00e9rabilit\u00e9 peut servir pour ex\u00e9cuter du code arbitraire,\ncomme par exemple des virus, des chevaux de Troie, etc.\n\n## Solution\n\nT\u00e9l\u00e9charger le correctif correspondant au logiciel utilis\u00e9 sur le site\nMicrosoft :\n\n-   Microsoft Excel 2000 pour Windows :\n\n        http://download.microsoft.com/download/excel2000/e2kmac/1/w98nt42kme/en-us/e2kmac.exe\n\n-   Microsoft Excel 2002 pour Windows :\n\n        http://download.microsoft.com/download/excel2002/exc1001/1/w98nt42kme/en-us/exc1001.exe\n\n-   Microsoft Excel 98 pour Macintosh :\n\n        http://www.microsoft.com/mac/download/office98/pptxlmacro.asp\n\n-   Microsoft Excel 2001 pour Macintosh :\n\n        http://www.microsoft.com/mac/download/office2001/pptxlmacro.asp\n\n-   Microsoft PowerPoint 2000 pour Windows :\n\n        http://download.microsoft.com/download/powerpoint2000/p2kmac/1/w98nt42kme/en-us/p2kmac.exe\n\n-   Microsoft PowerPoint 2002 pour Windows :\n\n        http://download.microsoft.com/download/powerpoint2002/ppt1001/1/w98nt42kme/en-us/ppt1001.exe\n\n-   Microsoft PowerPoint 98 pour Macintosh :\n\n        http://www.microsoft.com/mac/download/office98/pptxlmacro.asp\n\n-   Microsoft PowerPoint 2001 pour Macintosh :\n\n        http://www.microsoft.com/mac/download/office2001/pptxlmacro.asp\n",
  "cves": [],
  "initial_release_date": "2001-10-05T00:00:00",
  "last_revision_date": "2001-10-05T00:00:00",
  "links": [
    {
      "title": "Bulletin Microsoft :",
      "url": "http://www.microsoft.com/technet/security/bulletin/MS01-050.asp"
    }
  ],
  "reference": "CERTA-2001-AVI-111",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2001-10-05T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire"
    },
    {
      "description": "Risque de propagation de virus"
    }
  ],
  "summary": "Un utilisateur mal intentionn\u00e9 peut composer un document Excel ou\nPowerPoint contenant des macros sp\u00e9cifiques permettant d\u0027ex\u00e9cuter du\ncode arbitraire sur la machine cible.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans les logiciels Excel et PowerPoint de Microsoft",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin Microsoft MS01-050",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.