Deux vulnérabilités jugées "extrêmement critiques" frappent Excel. Aucun correctif n'est disponible à ce jour. L'une de ces failles est déjà exploitée à travers Internet pour prendre le contrôle des PC vulnérables, et l'autre pourrait l'être rapidement tant elle est particulièrement simple à mettre en oeuvre. Méfiance, donc, vis-à-vis des documents Excel d'origine inconnue !

au sommaire

    Logo d'Excel 2003

    Logo d'Excel 2003

    Et de deux pour Excel ! Après une première faille jugée extrêmement critique découverte la semaine dernière, le tableur remet ça aujourd'hui. Comme la précédente, la vulnérabilité permet d'exécuter du code à loisir sur le PC. Mais là où la première faille peut-être exploitée à l'ouverture d'un document Excel piégé, la nouvelle ne peut l'être qu'en cliquant sur un lien au sein de la feuille de calcul.

    Plus qu'Excel lui-même, l'erreur affecte en effet un composant de Windows (la librairie hlink.dll) chargé d'interpréter les URL. Ainsi, avant d'être concerné par cette vulnérabilité, il faudra donc non seulement ouvrir le document, mais aussi cliquer sur une adresse particulièrement longue.

    MicrosoftMicrosoft communique certes sur le sujet, mais ne semble pas décidé pour autant à publier un correctif avant la prochaine livraison mensuelle. En attendant, donc, l'antivirusantivirus sera votre ami : les éditeurs ont pour la plupart publié la signature du cheval de Troiecheval de Troie actuellement distribué via à une feuille Excel piégée (pour ce qui est de la première faille). Mais rien ne dit bien sûr que la vulnérabilité ne sera pas exploitée par un autre code malicieux d'ici là.

    En ce qui concerne la seconde faille, et bien... ne cliquez sur aucun lien dans une feuille Excel pendant un mois...