CERTFR-2024-AVI-0974_Multiples vulnerabilites dans Microsoft Office

AVIS CERT

CERT-FR

Publié le 13 novembre 2024 à 16h45 - Mis à jour le 26 mars 2025 à 10h12

Objet

Multiples vulnérabilités dans Microsoft Office

Référence

CERTFR-2024-AVI-0974

Risque(s)

Contournement de la politique de sécurité
Exécution de code arbitraire à distance

Système(s) affecté(s)

Microsoft 365 Apps pour Enterprise pour systèmes 32 bits
Microsoft 365 Apps pour Enterprise pour systèmes 64 bits
Microsoft Excel 2016 (édition 32 bits) versions antérieures à 16.0.5474.1001
Microsoft Excel 2016 (édition 64 bits) versions antérieures à 16.0.5474.1001
Microsoft Excel 2016 Click-to-Run (C2R) pour éditions 32 bits versions antérieures à 16.0.5474.1001
Microsoft Excel 2016 Click-to-Run (C2R) pour éditions 64 bits versions antérieures à 16.0.5474.1001
Microsoft Office 2016 (édition 32 bits) versions antérieures à 16.0.5474.1000
Microsoft Office 2016 (édition 64 bits) versions antérieures à 16.0.5474.1000
Microsoft Office 2019 pour éditions 32 bits
Microsoft Office 2019 pour éditions 64 bits
Microsoft Office LTSC 2021 pour éditions 32 bits
Microsoft Office LTSC 2021 pour éditions 64 bits
Microsoft Office LTSC 2024 pour éditions 32 bits
Microsoft Office LTSC 2024 pour éditions 64 bits
Microsoft Office LTSC pour Mac 2021 versions antérieures à 16.91.24111020
Microsoft Office LTSC pour Mac 2024 versions antérieures à 16.91.24111020
Microsoft Office Online Server versions antérieures à 16.0.10416.20007
Microsoft Word 2016 (édition 32 bits) versions antérieures à 16.0.5474.1000
Microsoft Word 2016 (édition 64 bits) versions antérieures à 16.0.5474.1000

Résumé

De multiples vulnérabilités ont été découvertes dans Microsoft Office. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un contournement de la politique de sécurité.

Solution(s)

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation(s)

Bulletin de sécurité Microsoft Office CVE-2024-49026 du 12 novembre 2024 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49026
Bulletin de sécurité Microsoft Office CVE-2024-49027 du 12 novembre 2024 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49027
Bulletin de sécurité Microsoft Office CVE-2024-49028 du 12 novembre 2024 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49028
Bulletin de sécurité Microsoft Office CVE-2024-49029 du 12 novembre 2024 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49029
Bulletin de sécurité Microsoft Office CVE-2024-49030 du 12 novembre 2024 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49030
Bulletin de sécurité Microsoft Office CVE-2024-49031 du 12 novembre 2024 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49031
Bulletin de sécurité Microsoft Office CVE-2024-49032 du 12 novembre 2024 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49032
Bulletin de sécurité Microsoft Office CVE-2024-49033 du 12 novembre 2024 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49033
Référence CVE CVE-2024-49026 : https://www.cve.org/CVERecord?id=CVE-2024-49026
Référence CVE CVE-2024-49027 : https://www.cve.org/CVERecord?id=CVE-2024-49027
Référence CVE CVE-2024-49028 : https://www.cve.org/CVERecord?id=CVE-2024-49028
Référence CVE CVE-2024-49029 : https://www.cve.org/CVERecord?id=CVE-2024-49029
Référence CVE CVE-2024-49030 : https://www.cve.org/CVERecord?id=CVE-2024-49030
Référence CVE CVE-2024-49031 : https://www.cve.org/CVERecord?id=CVE-2024-49031
Référence CVE CVE-2024-49032 : https://www.cve.org/CVERecord?id=CVE-2024-49032
Référence CVE CVE-2024-49033 : https://www.cve.org/CVERecord?id=CVE-2024-49033

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0974/