Origine : bjCSIRT
Numéro : 2025/ALERTE/054
Date de l’alerte : 11/07/2025
APERÇU :
Microsoft Word et Microsoft Excel sont affectés par des vulnérabilités qui permettraient à un acteur malveillant d’exécuter du code à distance sur les systèmes affectés.
DESCRIPTION :
Microsoft Word et Microsoft Excel, développés par Microsoft, sont respectivement des outils de traitement de texte et de tableur. Word permet de créer et modifier des documents textuels, tandis qu’Excel sert à saisir et analyser des données sous forme de tableaux.
Microsoft Word et Microsoft Excel sont affectés par les vulnérabilités libellées respectivement CVE-2025-49703, CVE-2025-49711, qui résultent d’une erreur de gestion de mémoire de type « use-after-free » dans le traitement des fichiers correspondants.
L’exploitation de ces vulnérabilités permettrait à un acteur malveillant non authentifié d’exécuter du code arbitraire sur le système de la victime, via l’ouverture d’un fichier Word ou Excel malveillant.
Ces vulnérabilités sont classées élevées avec un score de sévérité de 7.8 selon le CVSS:3.1.
IMPACT :
- Atteinte à confidentialité des données ;
- Atteinte à l’intégrité des données ;
- Exécution de code arbitraire.
SYSTÈMES AFFECTÉS :
- Microsoft Word 2016 (versions antérieures à 16.0.5508.1001) ;
- Microsoft Word 2019 ;
- Microsoft Word inclus dans Microsoft 365 Apps for Enterprise ;
- Microsoft Word 2021 ;
- Microsoft Excel 2016 (versions antérieures à 16.0.5508.1001) ;
- Microsoft Office 2019 ;
- Microsoft 365 Apps for Enterprise (versions 32 bits, à partir de la version 16.0.1).
MESURES À PRENDRE :
- Appliquer le correctif de sécurité fourni dans la mise à jour KB5002745 relatif à la CVE-2025-49703 ;
- Appliquer le correctif de sécurité fourni dans la mise à jour KB5002749 relatif à la CVE-2025-49711.
RÉFÉRENCES :
