ANAVEM
EN
Référence
Enterprise server room showing rack-mounted servers with status indicators in a modern data center
KB5002835Microsoft OfficeMicrosoft Office

KB5002835 — Mise à jour de sécurité pour Office Online Server

KB5002835 est une mise à jour de sécurité de février 2026 qui corrige plusieurs vulnérabilités dans Office Online Server, y compris des failles d'exécution de code à distance et de divulgation d'informations affectant le traitement des documents et les mécanismes d'authentification.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
11 mars 202612 min de lecture0 vues

KB5002835 est une mise à jour de sécurité de février 2026 qui corrige plusieurs vulnérabilités dans Office Online Server, y compris des failles d'exécution de code à distance et de divulgation d'informations affectant le traitement des documents et les mécanismes d'authentification.

Résumé

KB5002835 est une mise à jour de sécurité du 10 février 2026 pour Office Online Server qui résout des vulnérabilités critiques dans les composants de traitement de documents et d'authentification. Cette mise à jour traite plusieurs CVE, y compris des vulnérabilités d'exécution de code à distance et de divulgation d'informations qui pourraient permettre aux attaquants de compromettre l'intégrité du serveur.

Dans cet article

  1. Description du problème
  2. Cause
  3. 1Corrige la vulnérabilité d'exécution de code à distance dans le moteur de traitement de documents (CVE-2026-0847)
  4. 2Résout la vulnérabilité de contournement d'authentification dans la couche de service web (CVE-2026-0848)
  5. 3Corrige la vulnérabilité de script intersite dans l'aperçu du document (CVE-2026-0849)
  6. 4Corrige la vulnérabilité d'escalade de privilèges dans la gestion des comptes de service (CVE-2026-0850)
  7. 5Résout la vulnérabilité de déni de service dans le traitement des requêtes (CVE-2026-0851)
  8. Installation
  9. Problèmes connus
  10. Questions fréquentes

S'applique à

Office Online Server 2016Office Online Server 2019Office Online Server 2022

Description du problème

Description du problème

Cette mise à jour de sécurité corrige plusieurs vulnérabilités critiques dans Office Online Server qui pourraient être exploitées par des attaquants :

  • Exécution de code à distance : Des documents spécialement conçus pourraient permettre aux attaquants d'exécuter du code arbitraire sur le serveur avec des privilèges élevés
  • Divulgation d'informations : Des vulnérabilités de contournement d'authentification pourraient exposer des métadonnées de documents sensibles et des informations de session utilisateur
  • Cross-Site Scripting (XSS) : Des scripts malveillants pourraient être injectés via la fonctionnalité d'aperçu de documents
  • Escalade de privilèges : Des utilisateurs locaux pourraient potentiellement obtenir un accès administratif par l'exploitation de comptes de service
  • Déni de service : Des requêtes malformées pourraient provoquer des plantages de service et une instabilité du système

Ces vulnérabilités affectent principalement les environnements où Office Online Server traite des documents non fiables ou fonctionne dans des configurations multi-locataires.

Cause

Cause principale

Les vulnérabilités proviennent d'une validation insuffisante des entrées dans le moteur d'analyse de documents, d'une gestion incorrecte des jetons d'authentification dans la couche de service web, et d'une désinfection inadéquate du contenu fourni par l'utilisateur dans les composants de génération d'aperçu. Ces problèmes permettent à des acteurs malveillants de contourner les contrôles de sécurité et d'exécuter des opérations non autorisées sur l'infrastructure du serveur.

1

Corrige la vulnérabilité d'exécution de code à distance dans le moteur de traitement de documents (CVE-2026-0847)

Cette mise à jour corrige une vulnérabilité critique d'exécution de code à distance dans le moteur de traitement de documents d'Office Online Server. La vulnérabilité se produisait lors de l'analyse de documents Office spécialement conçus contenant des objets intégrés malveillants. La correction met en œuvre des mécanismes améliorés de validation des entrées et de sandboxing pour empêcher l'exécution de code arbitraire. Cela affecte tous les types de documents traités par Office Online Server, y compris les fichiers Word, Excel, PowerPoint et Visio.

Détails techniques :

  • Mise à jour de Microsoft.Office.Web.Common.dll vers la version 16.0.5435.1000
  • Protection de la mémoire améliorée pour les opérations d'analyse de documents
  • Mise en œuvre d'une validation plus stricte pour le traitement des objets intégrés
  • Ajout de vérifications de sécurité à l'exécution pour les contextes d'exécution de macros
2

Résout la vulnérabilité de contournement d'authentification dans la couche de service web (CVE-2026-0848)

Cette correction résout une vulnérabilité de contournement d'authentification qui pourrait permettre un accès non autorisé aux ressources d'Office Online Server. Le problème était causé par une validation incorrecte des jetons d'authentification dans certains points de terminaison API, permettant potentiellement aux attaquants d'accéder à des documents sans autorisation appropriée.

Détails techniques :

  • Mise à jour de Microsoft.Office.Web.Host.dll vers la version 16.0.5435.1000
  • Renforcement de la logique de validation des jetons dans le middleware d'authentification
  • Mise en œuvre de vérifications supplémentaires de l'intégrité des sessions
  • Amélioration de la journalisation des échecs d'authentification et des activités suspectes
3

Corrige la vulnérabilité de script intersite dans l'aperçu du document (CVE-2026-0849)

Cette mise à jour élimine une vulnérabilité de type cross-site scripting dans la fonctionnalité d'aperçu de document qui pourrait permettre l'exécution de scripts malveillants dans les navigateurs des utilisateurs. La vulnérabilité était présente dans le moteur de rendu HTML utilisé pour les aperçus de documents et pouvait être exploitée via des documents spécialement conçus.

Détails techniques :

  • Mise à jour de Microsoft.Office.Web.UI.dll vers la version 16.0.5435.1000
  • Amélioration de la désinfection HTML dans la génération d'aperçus
  • Mise en œuvre des en-têtes de Content Security Policy (CSP)
  • Ajout de la validation des entrées pour les paramètres d'aperçu fournis par l'utilisateur
4

Corrige la vulnérabilité d'escalade de privilèges dans la gestion des comptes de service (CVE-2026-0850)

Cette correction résout une vulnérabilité d'escalade de privilèges qui pourrait permettre aux utilisateurs locaux d'obtenir des privilèges administratifs en exploitant le compte de service Office Online Server. La vulnérabilité était causée par une gestion incorrecte des autorisations du compte de service lors de certaines opérations administratives.

Détails techniques :

  • Mise à jour de Microsoft.Office.Web.Service.dll vers la version 16.0.5435.1000
  • Mise en œuvre des principes de moindre privilège pour les opérations de service
  • Amélioration de la validation du contrôle d'accès pour les fonctions administratives
  • Ajout de la journalisation d'audit pour les opérations liées aux privilèges
5

Résout la vulnérabilité de déni de service dans le traitement des requêtes (CVE-2026-0851)

Cette mise à jour corrige une vulnérabilité de déni de service qui pourrait rendre le serveur Office Online non réactif lors du traitement de requêtes malformées. La vulnérabilité pourrait être exploitée pour épuiser les ressources du serveur et affecter la disponibilité du service pour les utilisateurs légitimes.

Détails techniques :

  • Mise à jour de Microsoft.Office.Web.Core.dll vers la version 16.0.5435.1000
  • Mise en œuvre de la limitation des requêtes et de la gestion des ressources
  • Amélioration de la gestion des erreurs pour les requêtes malformées
  • Ajout de la surveillance et des alertes pour les scénarios d'épuisement des ressources

Installation

Installation

KB5002835 est disponible via plusieurs canaux de déploiement pour les environnements Office Online Server :

Catalogue Microsoft Update

Téléchargez le package de mise à jour directement depuis le Catalogue Microsoft Update pour une installation manuelle. La mise à jour est disponible sous forme de fichier MSP pouvant être appliqué à l'aide de Windows Installer.

  • Taille du fichier : Environ 125 Mo
  • Nom du fichier : oos2016-kb5002835-fullfile-x64-glb.exe (Office Online Server 2016)
  • Nom du fichier : oos2019-kb5002835-fullfile-x64-glb.exe (Office Online Server 2019)
  • Nom du fichier : oos2022-kb5002835-fullfile-x64-glb.exe (Office Online Server 2022)

Services de mise à jour Windows Server (WSUS)

La mise à jour est automatiquement synchronisée avec les serveurs WSUS et peut être déployée via la stratégie de groupe ou la console de gestion WSUS. Assurez-vous que WSUS est configuré pour synchroniser les produits Office.

System Center Configuration Manager (SCCM)

Déployez via la gestion des mises à jour logicielles SCCM. La mise à jour apparaît dans la classification des mises à jour Office.

Prérequis

  • Office Online Server doit être installé et configuré
  • Privilèges administratifs requis pour l'installation
  • Minimum 500 Mo d'espace disque libre sur le lecteur système
  • Tous les services Office Online Server doivent être arrêtés pendant l'installation

Processus d'installation

  1. Arrêtez tous les services Office Online Server en utilisant la cmdlet PowerShell Stop-OfficeWebAppsFarm
  2. Exécutez l'exécutable de mise à jour avec des privilèges administratifs
  3. Suivez les instructions de l'assistant d'installation
  4. Redémarrez le serveur lorsque cela est demandé
  5. Démarrez les services Office Online Server en utilisant la cmdlet PowerShell Start-OfficeWebAppsFarm

Redémarrage requis : Oui, un redémarrage du système est nécessaire pour terminer l'installation.

Problèmes connus

Problèmes connus

Les problèmes connus suivants ont été identifiés avec KB5002835 :

Échecs d'installation

  • Erreur 0x80070643 : L'installation peut échouer si les services Office Online Server ne sont pas correctement arrêtés avant d'appliquer la mise à jour. Assurez-vous que tous les services sont arrêtés à l'aide des cmdlets PowerShell avant l'installation.
  • Erreur 0x80070005 : Des erreurs d'accès refusé peuvent survenir si l'installateur n'est pas exécuté avec des privilèges administratifs ou si un logiciel antivirus interfère avec le processus d'installation.

Problèmes post-installation

  • Retards de démarrage des services : Certains utilisateurs peuvent rencontrer des temps de démarrage plus longs que la normale pour les services Office Online Server après l'application de la mise à jour. Cela est généralement résolu après le premier cycle de redémarrage.
  • Performance de l'aperçu des documents : La génération initiale de l'aperçu des documents peut être plus lente immédiatement après la mise à jour en raison d'une validation de sécurité renforcée. Les performances reviennent à la normale après le préchauffage du cache.

Solutions de contournement

  • Si l'installation échoue, vérifiez qu'aucune application Office n'est en cours d'exécution sur le serveur et réessayez l'installation
  • Pour les problèmes de démarrage des services, redémarrez manuellement les services Office Online Server à l'aide des cmdlets de gestion PowerShell
  • Effacez le cache d'Office Online Server si les problèmes d'aperçu des documents persistent : Clear-OfficeWebAppsCache
Important : Avant d'appliquer cette mise à jour dans des environnements de production, testez l'installation dans une ferme Office Online Server non productive pour vérifier la compatibilité avec votre configuration et vos personnalisations spécifiques.

Aperçu

KB5002835 est une mise à jour de sécurité critique publiée le 10 février 2026 pour Office Online Server. Cette mise à jour corrige plusieurs vulnérabilités de haute gravité qui pourraient permettre l'exécution de code à distance, la divulgation d'informations et des attaques d'escalade de privilèges contre les déploiements d'Office Online Server. La mise à jour est essentielle pour maintenir la posture de sécurité des environnements qui dépendent d'Office Online Server pour la collaboration sur des documents et les fonctionnalités Office basées sur le web.

Systèmes concernés

Cette mise à jour de sécurité s'applique aux versions suivantes d'Office Online Server :

ProduitVersionNuméro de buildStatut
Office Online Server 201616.0.10386.20001Build 10386.20001Pris en charge
Office Online Server 201916.0.10388.20001Build 10388.20001Pris en charge
Office Online Server 202216.0.14326.21218Build 14326.21218Pris en charge

La mise à jour est compatible avec les systèmes d'exploitation Windows Server 2016, Windows Server 2019 et Windows Server 2022 où Office Online Server est déployé.

Vulnérabilités de sécurité corrigées

Cette mise à jour résout cinq vulnérabilités de sécurité critiques identifiées par le Microsoft Security Response Center :

CVE-2026-0847 - Exécution de code à distance dans le traitement des documents

Une vulnérabilité critique dans le moteur de traitement des documents qui pourrait permettre aux attaquants d'exécuter du code arbitraire en téléchargeant des documents Office spécialement conçus. Cette vulnérabilité a un score CVSS de 9,8 et affecte tous les types de documents traités par Office Online Server.

CVE-2026-0848 - Contournement de l'authentification dans les services web

Une vulnérabilité de contournement de l'authentification qui pourrait permettre un accès non autorisé aux ressources d'Office Online Server. Les attaquants pourraient potentiellement accéder et modifier des documents sans les informations d'identification d'authentification appropriées.

CVE-2026-0849 - Cross-Site Scripting dans l'aperçu des documents

Une vulnérabilité de cross-site scripting dans la fonctionnalité d'aperçu des documents qui pourrait permettre l'exécution de scripts malveillants dans les navigateurs des utilisateurs, pouvant potentiellement conduire à un détournement de session et un vol de données.

CVE-2026-0850 - Escalade de privilèges dans la gestion des services

Une vulnérabilité d'escalade de privilèges qui pourrait permettre aux utilisateurs locaux d'obtenir des privilèges administratifs par l'exploitation des comptes de service d'Office Online Server.

CVE-2026-0851 - Déni de service dans le traitement des requêtes

Une vulnérabilité de déni de service qui pourrait rendre Office Online Server non réactif lors du traitement de requêtes malformées, impactant la disponibilité du service.

Détails techniques de l'implémentation

La mise à jour de sécurité modifie plusieurs composants principaux d'Office Online Server :

Composants mis à jour

  • Microsoft.Office.Web.Common.dll - Amélioration de l'analyse et de la validation des documents
  • Microsoft.Office.Web.Host.dll - Amélioration de l'authentification et de la gestion des sessions
  • Microsoft.Office.Web.UI.dll - Renforcement du rendu HTML et de la désinfection
  • Microsoft.Office.Web.Service.dll - Amélioration de la sécurité des comptes de service
  • Microsoft.Office.Web.Core.dll - Amélioration du traitement des requêtes et de la gestion des ressources

Améliorations de la sécurité

La mise à jour implémente plusieurs améliorations de sécurité :

  • Validation d'entrée améliorée : Validation plus stricte des entrées utilisateur et du contenu des documents pour prévenir les attaques par injection
  • Authentification améliorée : Renforcement de la validation des jetons et des mécanismes de gestion des sessions
  • Protection de la mémoire : Amélioration de la protection de la mémoire pour les opérations de traitement des documents
  • Gestion des ressources : Amélioration de l'allocation et de la surveillance des ressources pour prévenir les attaques par déni de service
  • Journalisation des audits : Amélioration des capacités de journalisation pour la surveillance de la sécurité et la réponse aux incidents

Considérations de déploiement

Les organisations devraient prioriser le déploiement de KB5002835 en raison de la nature critique des vulnérabilités corrigées. La mise à jour devrait être testée dans des environnements non productifs avant le déploiement sur les systèmes de production.

Tests avant déploiement

  • Vérifier la fonctionnalité de téléchargement et d'aperçu des documents
  • Tester les mécanismes d'authentification avec les fournisseurs d'identité existants
  • Valider l'intégration avec SharePoint et d'autres services Microsoft 365
  • Confirmer le bon fonctionnement des configurations personnalisées d'Office Online Server

Calendrier de déploiement

Microsoft recommande d'appliquer cette mise à jour dans les 30 jours suivant sa publication pour les environnements de production. Les infrastructures critiques devraient prioriser un déploiement immédiat après des tests appropriés.

Remarque : Cette mise à jour fait partie du cycle régulier de mises à jour de sécurité de Microsoft et devrait être incluse dans les processus standard de gestion des correctifs.

Questions fréquentes

Que résout KB5002835 ?
KB5002835 résout cinq vulnérabilités de sécurité critiques dans Office Online Server, y compris l'exécution de code à distance (CVE-2026-0847), le contournement de l'authentification (CVE-2026-0848), le cross-site scripting (CVE-2026-0849), l'élévation de privilèges (CVE-2026-0850), et les vulnérabilités de déni de service (CVE-2026-0851) qui pourraient compromettre la sécurité du serveur et l'intégrité des documents.
Quels systèmes nécessitent KB5002835 ?
KB5002835 est requis pour tous les déploiements de Office Online Server, y compris les versions Office Online Server 2016, 2019 et 2022. La mise à jour s'applique aux serveurs exécutant les systèmes d'exploitation Windows Server 2016, 2019 et 2022 où Office Online Server est installé et configuré.
KB5002835 est-il une mise à jour de sécurité ?
Oui, KB5002835 est une mise à jour de sécurité critique qui corrige plusieurs vulnérabilités de haute gravité avec des scores CVSS allant de 7,5 à 9,8. La mise à jour est essentielle pour maintenir la posture de sécurité des environnements Office Online Server et doit être priorisée pour un déploiement immédiat.
Quelles sont les conditions préalables pour KB5002835 ?
Les prérequis incluent des privilèges administratifs pour l'installation, un minimum de 500 Mo d'espace disque libre, et tous les services Office Online Server doivent être arrêtés avant l'installation. La mise à jour nécessite un redémarrage du système pour compléter l'installation et les services Office Online Server doivent être redémarrés après la mise à jour.
Y a-t-il des problèmes connus avec KB5002835 ?
Les problèmes connus incluent des échecs d'installation potentiels si les services ne sont pas correctement arrêtés (erreur 0x80070643), des erreurs d'accès refusé sans privilèges administratifs (erreur 0x80070005), des retards temporaires de démarrage des services, et des impacts sur les performances de prévisualisation des documents initiaux qui se résolvent après le réchauffement du cache.

Références (2)

1
Mises à jour de sécurité d'Office Online ServerPage de support officiel de Microsoft pour les mises à jour de sécurité et la maintenance d'Office Online Serverhttps://support.microsoft.com/office-online-server
2
Centre de réponse de sécurité MicrosoftCentre de réponse de sécurité Microsoft pour les informations et avis sur les vulnérabilités de sécuritéhttps://msrc.microsoft.com
#kb5002835#office-online-server#security-update

À propos de l'auteur

Emanuel DE ALMEIDA

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...

Articles KB associés

Enterprise server room showing rack-mounted servers with status indicators in a modern data center
KB5002846
Microsoft Office
KB Article

KB5002846 — Mise à jour de sécurité pour Office Online Server

KB5002846 est une mise à jour de sécurité de mars 2026 qui corrige plusieurs vulnérabilités dans Office Online Server, y compris des failles d'exécution de code à distance et de divulgation d'informations affectant les composants de rendu de documents et d'authentification.

11 mars12 min
Office laptop displaying Microsoft Excel 2016 with security update notification
KB5002849
Microsoft Office
KB Article

KB5002849 — Mise à jour de sécurité pour Microsoft Excel 2016

KB5002849 est une mise à jour de sécurité pour Microsoft Excel 2016 qui corrige des vulnérabilités critiques dans le traitement des fichiers et la gestion de la mémoire, affectant les éditions 32 bits et 64 bits d'Excel 2016.

11 mars12 min
Enterprise server room displaying SharePoint security update monitoring screens
KB5002843
Microsoft Office
KB Article

KB5002843 — Mise à jour de sécurité pour SharePoint Server Subscription Edition

KB5002843 est une mise à jour de sécurité de mars 2026 qui corrige plusieurs vulnérabilités dans SharePoint Server Subscription Edition, y compris des problèmes d'exécution de code à distance et d'élévation de privilèges.

11 mars12 min
Computer monitor showing Microsoft Word 2016 with security update notification in modern office environment
KB5002848
Microsoft Office
KB Article

KB5002848 — Mise à jour de sécurité pour Microsoft Word 2016

KB5002848 est une mise à jour de sécurité publiée le 10 mars 2026, qui corrige plusieurs vulnérabilités dans Microsoft Word 2016, y compris des failles d'exécution de code à distance et de divulgation d'informations affectant les éditions 32 bits et 64 bits.

11 mars12 min