Les plaies béantes d?Office XP Le "totalement irresponsable" Serge Guninski (encore-lui !) vient de révéler, codes à l?appuis, l?existence de deux failles "responsables" touchant l?agenda et le "composant tableur" d?Office XP (ne pas confondre avec Excel). Ironiquement, Microsoft <http://www.microsoft.com/presspass/events/officexp/images/launch02.jpg> demande à ses usagers de désactiver l?option e-mail HTML et de ne pas sélectionner le traitement de texte Word comme éditeur de messages par défaut (deux caractéristiques dont l?une est implicite, l?autre "fortement suggérée" lors de l?installation). Guninski est un peu plus expéditif et conseille d?utiliser des outils sérieux? heureux qui comprend la face cachée des choses. Mais revenons sur les <http://www.guninski.com/m$oxp-2.html> « hiatus » soulevés par Guninski. Le premier permet d?intégrer un contenu actif (script et objet) au sein d?un courrier, mécanisme qui sera rendu actif sur invocation d?une réponse ou d?une réexpédition : il devient alors possible de forcer l?épistolier (à amorce) d?ouvrir une page située à l?intérieur de la « zone Internet » d?IE. La seconde faille touche le composant tableur, sorte de "mini Excel" intégré, et sa fonction Host() SaveAs() qui permet de créer des fichiers avec n?importe quel nom. Si le document prend une extension exécutable comme .HTA et que ledit fichier se trouve dans le répertoire "démarrage", la mise en branle d?un processus destructeur ou inquisiteur est à la porté de tous. A remarquer l?entête acide de l?exploit Guninski, " Hehe. Triyng to sell trustworthy computing ", révélatrice de l?état d?esprit de certains chasseurs de faille depuis le début de la guerre du " full disclosure ". Si l?on en croit les dires de l?auteur, le problème aurait été signalé à l?éditeur il y a deux semaines. --->>> Shaka( Rudy) HelPC list owner shaka.rudy@xxxxxxxxx