CERTFR-2025-AVI-0038_Multiples vulnerabilites dans Microsoft Office

AVIS CERT

CERT-FR

Publié le 15 janvier 2025 à 16h34 - Mis à jour le 10 février 2025 à 15h10

Objet

Multiples vulnérabilités dans Microsoft Office

Référence

CERTFR-2025-AVI-0038

Risque(s)

Contournement de la politique de sécurité
Exécution de code arbitraire à distance

Système(s) affecté(s)

Microsoft 365 Apps pour Enterprise pour systèmes 32 bits
Microsoft 365 Apps pour Enterprise pour systèmes 64 bits
Microsoft Access 2016 (édition 32 bits) versions antérieures à 16.0.5483.1001
Microsoft Access 2016 (édition 64 bits) versions antérieures à 16.0.5483.1001
Microsoft Excel 2016 (édition 32 bits) versions antérieures à 16.0.5483.1001
Microsoft Excel 2016 (édition 64 bits) versions antérieures à 16.0.5483.1001
Microsoft Office 2016 (édition 32 bits) versions antérieures à 16.0.5483.1000
Microsoft Office 2016 (édition 64 bits) versions antérieures à 16.0.5483.1000
Microsoft Office 2019 pour éditions 32 bits
Microsoft Office 2019 pour éditions 64 bits
Microsoft Office LTSC 2021 pour éditions 32 bits
Microsoft Office LTSC 2021 pour éditions 64 bits
Microsoft Office LTSC 2024 pour éditions 32 bits
Microsoft Office LTSC 2024 pour éditions 64 bits
Microsoft Office LTSC pour Mac 2021 versions antérieures à 16.93.25011212
Microsoft Office LTSC pour Mac 2024 versions antérieures à 16.93.25011212
Microsoft Office pour Android versions antérieures à 16.0.18429.20000
Microsoft Office pour iOS versions antérieures à 2.93.24123014
Microsoft Office pour Mac versions antérieures à 16.93.25011212
Microsoft Office pour Universal versions antérieures à 16.0.14326.22175
Microsoft OneNote pour Mac versions antérieures à 16.92.24120731
Microsoft Outlook 2016 (édition 32 bits) versions antérieures à 16.0.5483.1000
Microsoft Outlook 2016 (édition 64 bits) versions antérieures à 16.0.5483.1000
Microsoft Outlook pour Mac versions antérieures à 16.93
Office Online Server versions antérieures à 16.0.10416.20047

Résumé

De multiples vulnérabilités ont été découvertes dans Microsoft Office. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un contournement de la politique de sécurité.

Solution(s)

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation(s)

Bulletin de sécurité Microsoft Office CVE-2025-21186 du 14 janvier 2025 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21186
Bulletin de sécurité Microsoft Office CVE-2025-21338 du 14 janvier 2025 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21338
Bulletin de sécurité Microsoft Office CVE-2025-21345 du 14 janvier 2025 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21345
Bulletin de sécurité Microsoft Office CVE-2025-21346 du 14 janvier 2025 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21346
Bulletin de sécurité Microsoft Office CVE-2025-21354 du 14 janvier 2025 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21354
Bulletin de sécurité Microsoft Office CVE-2025-21356 du 14 janvier 2025 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21356
Bulletin de sécurité Microsoft Office CVE-2025-21357 du 14 janvier 2025 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21357
Bulletin de sécurité Microsoft Office CVE-2025-21361 du 14 janvier 2025 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21361
Bulletin de sécurité Microsoft Office CVE-2025-21362 du 14 janvier 2025 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21362
Bulletin de sécurité Microsoft Office CVE-2025-21363 du 14 janvier 2025 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21363
Bulletin de sécurité Microsoft Office CVE-2025-21364 du 14 janvier 2025 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21364
Bulletin de sécurité Microsoft Office CVE-2025-21365 du 14 janvier 2025 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21365
Bulletin de sécurité Microsoft Office CVE-2025-21366 du 14 janvier 2025 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21366
Bulletin de sécurité Microsoft Office CVE-2025-21395 du 14 janvier 2025 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21395
Bulletin de sécurité Microsoft Office CVE-2025-21402 du 14 janvier 2025 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21402
Référence CVE CVE-2025-21186 : https://www.cve.org/CVERecord?id=CVE-2025-21186
Référence CVE CVE-2025-21338 : https://www.cve.org/CVERecord?id=CVE-2025-21338
Référence CVE CVE-2025-21345 : https://www.cve.org/CVERecord?id=CVE-2025-21345
Référence CVE CVE-2025-21346 : https://www.cve.org/CVERecord?id=CVE-2025-21346
Référence CVE CVE-2025-21354 : https://www.cve.org/CVERecord?id=CVE-2025-21354
Référence CVE CVE-2025-21356 : https://www.cve.org/CVERecord?id=CVE-2025-21356
Référence CVE CVE-2025-21357 : https://www.cve.org/CVERecord?id=CVE-2025-21357
Référence CVE CVE-2025-21361 : https://www.cve.org/CVERecord?id=CVE-2025-21361
Référence CVE CVE-2025-21362 : https://www.cve.org/CVERecord?id=CVE-2025-21362
Référence CVE CVE-2025-21363 : https://www.cve.org/CVERecord?id=CVE-2025-21363
Référence CVE CVE-2025-21364 : https://www.cve.org/CVERecord?id=CVE-2025-21364
Référence CVE CVE-2025-21365 : https://www.cve.org/CVERecord?id=CVE-2025-21365
Référence CVE CVE-2025-21366 : https://www.cve.org/CVERecord?id=CVE-2025-21366
Référence CVE CVE-2025-21395 : https://www.cve.org/CVERecord?id=CVE-2025-21395
Référence CVE CVE-2025-21402 : https://www.cve.org/CVERecord?id=CVE-2025-21402

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0038/