Enfin corrigé ! Microsoft colmate, parmi les 8 correctifs publiés lors de ce mardi de Pâques, une faille Excel vieille de plus de deux mois et exploitée par quelques malwares depuis une bonne trentaine de jours. Au total, l’on compte ce mois-ci 6 bouchons s’appliquant à Windows XP, à ISA Server, aux services http (des stations aux serveurs, de 2000 à 2008), l’incontournable « cumulatif Internet Explorer », le trou Excel et un patch Office corrigeant les outils de conversion de format de texte.
Les deux failles affectant les produits bureautique ( convertisseur de texte et Excel ) sont qualifiées de critiques et doivent être corrigées d’urgence compte-tenu des risques d’attaques réels. Egalement critique, un défaut DirectShow qui touche toutes les versions de 2000 à 2003 Server, à l’exception semble-t-il de Vista et de 2008. Critique encore le défaut dans les services http, et critique toujours l’éternel correctif I.E., qui compte ce mois-ci pas moins de 6 alertes CVE.
Les commentaires de l’équipe de sécurité de Microsoft aiguillent sur le blog du MSRC/Msec, qui pointe à son tour sur une série d’articles décrivant soit les défauts colmatés, soit les moyens déployés pour résoudre le problème. A noter dans ce déluge d’information un article consacré au fameux « bug du convertisseur de formats de texte », dans lequel les auteurs s’étendent sur l’art de désactiver, ré-activer, installer, désinstaller, bloquer les convertisseurs en question. Certaines de ces explications ne sont pas d’une simplicité absolue. Une fois de plus, l’équipe milite en faveur du téléchargement et de l’usage de Moice, le convertisseur de format « standard Office 2007 ». En effectuant cette conversion, Moice élimine de facto les risques les plus connus reposant sur les anciens documents de la gamme Office.