[helpc] Les plaies béantes d'Office XP

  • From: "Shaka( Rudy)" <strub.rudy@xxxxxxxxx>
  • To: <helpc@xxxxxxxxxxxxx>
  • Date: Sat, 6 Apr 2002 19:29:46 +0200

Les plaies béantes d?Office XP
Le "totalement irresponsable" Serge Guninski (encore-lui !) vient de
révéler, codes à l?appuis, l?existence de deux failles "responsables"
touchant l?agenda et le "composant tableur" d?Office XP (ne pas
confondre avec Excel). Ironiquement, Microsoft
<http://www.microsoft.com/presspass/events/officexp/images/launch02.jpg>
demande à ses usagers de désactiver l?option e-mail HTML et de ne pas
sélectionner le traitement de texte Word comme éditeur de messages par
défaut (deux caractéristiques dont l?une est implicite, l?autre
"fortement suggérée" lors de l?installation).
Guninski est un peu plus expéditif et conseille d?utiliser des outils
sérieux? heureux qui comprend la face cachée des choses.
Mais revenons sur les <http://www.guninski.com/m$oxp-2.html>  « hiatus »
soulevés par Guninski. Le premier permet d?intégrer un contenu actif
(script et objet) au sein d?un courrier, mécanisme qui sera rendu actif
sur invocation d?une réponse ou d?une réexpédition : il devient alors
possible de forcer l?épistolier (à amorce) d?ouvrir une page située à
l?intérieur de la « zone Internet » d?IE. La seconde faille touche le
composant tableur, sorte de "mini Excel" intégré, et sa fonction Host()
SaveAs() qui permet de créer des fichiers avec n?importe quel nom. Si le
document prend une extension exécutable comme .HTA et que ledit fichier
se trouve dans le répertoire "démarrage", la mise en branle d?un
processus destructeur ou inquisiteur est à la porté de tous. 
A remarquer l?entête acide de l?exploit Guninski, " Hehe. Triyng to sell
trustworthy computing ", révélatrice de l?état d?esprit de certains
chasseurs de faille depuis le début de la guerre du " full disclosure ".
Si l?on en croit les dires de l?auteur, le problème aurait été signalé à
l?éditeur il y a deux semaines. 
 
 
--->>>
Shaka( Rudy)
HelPC list owner
shaka.rudy@xxxxxxxxx

Other related posts:

  • » [helpc] Les plaies béantes d'Office XP
  1. Home
  2. helpc
  3. Archive
  4. 04-2002