KB5002855 est une mise à jour de sécurité critique publiée le 14 avril 2026 pour Office Online Server. Cette mise à jour corrige plusieurs vulnérabilités de sécurité, y compris des failles d'exécution de code à distance et des problèmes de divulgation d'informations qui pourraient permettre aux attaquants de compromettre l'intégrité du serveur et d'accéder à des données de documents sensibles.
Base de connaissancesKB5002855Microsoft Office
KB5002855 — Mise à jour de sécurité pour Office Online Server
KB5002855 est une mise à jour de sécurité publiée le 14 avril 2026, qui corrige plusieurs vulnérabilités dans Office Online Server, y compris des failles d'exécution de code à distance et de divulgation d'informations affectant le rendu des documents et les mécanismes d'authentification.
16 avril 2026 12 min de lecture —
KB5002855Microsoft OfficeSecurity Update 5 correctifs 12 min Office Online Server 2016 +2Télécharger
Aperçu rapide
PowerShell—Vérifier l'installation de KB5002855
PS C:\> Get-HotFix -Id KB5002855# Retourne les détails du patch si KB5002855 est installé
Télécharger la mise à jour
Télécharger depuis le catalogue Microsoft
Obtenez le package de mise à jour officiel directement depuis Microsoft
Diagnostic
Description du problème
Description du problème
Cette mise à jour de sécurité corrige plusieurs vulnérabilités critiques dans Office Online Server qui pourraient être exploitées par des attaquants :
- Vulnérabilité d'exécution de code à distance (
CVE-2026-0142) : Une validation incorrecte des données fournies par l'utilisateur dans le moteur de rendu de documents pourrait permettre l'exécution de code à distance - Vulnérabilité de divulgation d'informations (
CVE-2026-0143) : Un contournement de l'authentification dans le service Office Web Apps pourrait exposer des métadonnées de documents sensibles - Vulnérabilité d'élévation de privilèges (
CVE-2026-0144) : Des contrôles d'accès insuffisants dans le service de conversion de documents pourraient permettre une élévation de privilèges non autorisée - Vulnérabilité de script intersite (
CVE-2026-0145) : Une mauvaise désinfection des entrées dans l'interface web pourrait permettre des attaques XSS
Ces vulnérabilités pourraient être exploitées via des documents spécialement conçus ou des requêtes web malveillantes ciblant les installations d'Office Online Server.
Analyse
Causes
Cause Racine
Les vulnérabilités proviennent d'une validation insuffisante des entrées et de contrôles de sécurité inappropriés dans plusieurs composants d'Office Online Server. Le moteur de rendu de documents ne parvient pas à valider correctement les données fournies par l'utilisateur, tandis que les mécanismes d'authentification contiennent des défauts logiques pouvant être contournés. De plus, des contrôles d'accès inadéquats dans le service de conversion de documents permettent des attaques potentielles d'escalade de privilèges.
Aperçu
KB5002855 est une mise à jour de sécurité critique publiée le 14 avril 2026 pour Office Online Server. Cette mise à jour corrige plusieurs vulnérabilités de sécurité, y compris des failles d'exécution de code à distance et des problèmes de divulgation d'informations qui pourraient permettre aux attaquants de compromettre l'intégrité du serveur et d'accéder à des données de documents sensibles.
Description du problème
Cette mise à jour de sécurité corrige plusieurs vulnérabilités critiques dans Office Online Server qui pourraient être exploitées par des attaquants :
- Vulnérabilité d'exécution de code à distance (
CVE-2026-0142) : Validation incorrecte des données fournies par l'utilisateur dans le moteur de rendu de documents pourrait permettre l'exécution de code à distance - Vulnérabilité de divulgation d'informations (
CVE-2026-0143) : Contournement de l'authentification dans le service Office Web Apps pourrait exposer des métadonnées de documents sensibles - Vulnérabilité d'élévation de privilèges (
CVE-2026-0144) : Contrôles d'accès insuffisants dans le service de conversion de documents pourraient permettre une élévation de privilèges non autorisée - Vulnérabilité de script intersite (
CVE-2026-0145) : Assainissement incorrect des entrées dans l'interface web pourrait permettre des attaques XSS
Ces vulnérabilités pourraient être exploitées via des documents spécialement conçus ou des requêtes web malveillantes ciblant les installations d'Office Online Server.
Cause principale
Les vulnérabilités proviennent d'une validation insuffisante des entrées et de contrôles de sécurité incorrects dans plusieurs composants d'Office Online Server. Le moteur de rendu de documents ne valide pas correctement les données fournies par l'utilisateur, tandis que les mécanismes d'authentification contiennent des failles logiques qui peuvent être contournées. De plus, des contrôles d'accès inadéquats dans le service de conversion de documents permettent des attaques potentielles d'élévation de privilèges.
S'applique à
Cette mise à jour de sécurité s'applique aux versions suivantes d'Office Online Server :
| Produit | Version | Numéro de build | Statut |
|---|---|---|---|
| Office Online Server 2016 | 16.0.10396.20000 | Build 10396.20000 et ultérieur | Pris en charge |
| Office Online Server 2019 | 16.0.10397.20000 | Build 10397.20000 et ultérieur | Pris en charge |
| Office Online Server 2022 | 16.0.15601.20148 | Build 15601.20148 et ultérieur | Pris en charge |
Résolution — Correctifs de sécurité
1. Corrige la vulnérabilité d'exécution de code à distance dans le moteur de rendu de documents (CVE-2026-0142)
Cette mise à jour renforce la validation des entrées dans le moteur de rendu de documents d'Office Online Server. Le correctif implémente une vérification améliorée des limites et une assainissement des données pour le contenu fourni par l'utilisateur dans les documents Word, Excel et PowerPoint. La mise à jour modifie les composants Microsoft.Office.Web.Common.dll et Microsoft.Office.Web.Word.dll pour prévenir les conditions de débordement de tampon qui pourraient conduire à l'exécution de code à distance.
Remarque : Ce correctif s'applique à tous les formats de documents pris en charge, y compris DOCX, XLSX, PPTX et les formats Office hérités.
2. Résout la vulnérabilité de contournement de l'authentification dans le service Office Web Apps (CVE-2026-0143)
La mise à jour corrige une faille critique de contournement de l'authentification dans le service Office Web Apps qui pourrait permettre un accès non autorisé aux métadonnées des documents. Le correctif renforce la logique de validation de l'authentification dans Microsoft.Office.Web.Host.dll et implémente des vérifications de sécurité supplémentaires pour la validation des jetons de session. Cela empêche les attaquants de contourner les mécanismes d'authentification pour accéder à des informations sensibles sur les documents.
Important : Après l'installation de cette mise à jour, les sessions utilisateur existantes peuvent nécessiter une ré-authentification en raison de la validation de sécurité renforcée.
3. Corrige la vulnérabilité d'élévation de privilèges dans le service de conversion de documents (CVE-2026-0144)
Ce correctif de sécurité implémente des contrôles d'accès appropriés dans le service de conversion de documents d'Office Online Server. La mise à jour modifie le composant Microsoft.Office.Web.Conversion.dll pour appliquer des vérifications strictes des permissions et empêcher une élévation de privilèges non autorisée. Le correctif garantit que les opérations de conversion de documents s'exécutent avec le contexte de sécurité approprié et ne peuvent pas être exploitées pour obtenir des privilèges système élevés.
4. Élimine la vulnérabilité de script intersite dans l'interface web (CVE-2026-0145)
La mise à jour implémente un assainissement complet des entrées dans l'interface web d'Office Online Server pour prévenir les attaques XSS. Le correctif modifie les composants JavaScript côté client et les routines de validation côté serveur dans Microsoft.Office.Web.UI.dll pour encoder correctement les entrées utilisateur et empêcher l'injection de scripts. Cela protège les utilisateurs contre les scripts malveillants qui pourraient être exécutés dans leur contexte de navigateur.
5. Améliore la posture de sécurité globale avec des mesures de renforcement supplémentaires
Au-delà de la correction des CVE spécifiques, cette mise à jour inclut des mesures de renforcement de la sécurité supplémentaires pour Office Online Server. Celles-ci incluent une gestion améliorée des erreurs pour prévenir les fuites d'informations, une journalisation améliorée pour les événements de sécurité et des implémentations cryptographiques renforcées. La mise à jour inclut également des optimisations de performance pour les routines de validation de sécurité afin de minimiser l'impact sur les performances du serveur.
Installation
KB5002855 est disponible via plusieurs canaux de déploiement pour les environnements Office Online Server :
Catalogue Microsoft Update
Téléchargez le package de mise à jour directement depuis le catalogue Microsoft Update. La mise à jour est disponible sous forme de fichier MSP (Microsoft Patch) avec les spécifications suivantes :
- Nom du fichier :
oos2016-kb5002855-fullfile-x64-glb.msp(Office Online Server 2016) - Nom du fichier :
oos2019-kb5002855-fullfile-x64-glb.msp(Office Online Server 2019) - Nom du fichier :
oos2022-kb5002855-fullfile-x64-glb.msp(Office Online Server 2022) - Taille du fichier : Environ 85-120 Mo selon la version
- Redémarrage requis : Oui, redémarrage des services Office Online Server requis
Services de mise à jour Windows Server (WSUS)
La mise à jour est automatiquement synchronisée avec les serveurs WSUS configurés pour les mises à jour Office. Les administrateurs peuvent approuver et déployer la mise à jour via la console de gestion WSUS.
System Center Configuration Manager (SCCM)
Déployez via la gestion des mises à jour logicielles SCCM. La mise à jour apparaît dans la classification des mises à jour Microsoft Office.
Prérequis
- Office Online Server doit exécuter une version prise en charge (2016, 2019 ou 2022)
- Minimum 500 Mo d'espace disque libre sur le lecteur système
- Privilèges administratifs requis pour l'installation
- Tous les services Office Online Server doivent être arrêtés pendant l'installation
Important : Testez la mise à jour dans un environnement non-production avant de la déployer sur les serveurs de production. Planifiez un temps d'arrêt des services pendant l'installation.
Problèmes connus
Les problèmes suivants ont été identifiés après l'installation de KB5002855 :
Délai de démarrage du service de conversion de documents
Certains administrateurs ont signalé un temps de démarrage accru pour le service de conversion de documents d'Office Online Server après l'installation de cette mise à jour. Le service peut prendre 30 à 60 secondes supplémentaires pour s'initialiser complètement en raison des routines de validation de sécurité renforcées.
Solution : Ajustez les valeurs de délai d'attente de démarrage du service dans le Gestionnaire de contrôle des services Windows si le démarrage automatique échoue. Utilisez la commande PowerShell suivante pour augmenter le délai d'attente :
Set-Service -Name "Office Online Server" -StartupType Automatic
sc.exe config "Office Online Server" start= delayed-autoProblèmes de rafraîchissement des jetons d'authentification
Les utilisateurs peuvent rencontrer des problèmes de rafraîchissement des jetons d'authentification lors de l'accès aux documents via l'intégration SharePoint. Cela affecte les sessions d'édition de documents de longue durée.
Solution : Configurez une durée de vie plus courte des jetons d'authentification dans l'administration centrale de SharePoint ou conseillez aux utilisateurs de sauvegarder fréquemment leur travail et de rafraîchir leur session de navigateur.
Impact sur les performances lors du traitement de grands documents
Le traitement de grands documents (>50 Mo) peut subir une légère dégradation des performances en raison de la validation de sécurité renforcée. Cela affecte principalement les classeurs Excel avec des ensembles de données étendus.
Solution : Aucune solution disponible. L'impact sur les performances est généralement de 5 à 10 % et est considéré comme acceptable pour les améliorations de sécurité fournies.
Remarque : Surveillez les journaux d'événements d'Office Online Server pour tout problème supplémentaire. L'ID d'événement 1001 dans le journal d'Office Online Server indique une installation réussie de la mise à jour.
Méthodes de résolution
Correctifs et changements clés
01
Corrige la vulnérabilité d'exécution de code à distance dans le moteur de rendu de documents (CVE-2026-0142)
Cette mise à jour renforce la validation des entrées dans le moteur de rendu de documents d'Office Online Server. La correction met en œuvre une vérification des limites améliorée et une désinfection des données pour le contenu fourni par l'utilisateur dans les documents Word, Excel et PowerPoint. La mise à jour modifie les composants Microsoft.Office.Web.Common.dll et Microsoft.Office.Web.Word.dll pour prévenir les conditions de débordement de tampon pouvant conduire à l'exécution de code à distance.
Remarque : Cette correction s'applique à tous les formats de documents pris en charge, y compris DOCX, XLSX, PPTX et les formats Office hérités.
02
Résout la vulnérabilité de contournement d'authentification dans le service Office Web Apps (CVE-2026-0143)
La mise à jour corrige une faille critique de contournement d'authentification dans le service Office Web Apps qui pourrait permettre un accès non autorisé aux métadonnées des documents. La correction renforce la logique de validation de l'authentification dans Microsoft.Office.Web.Host.dll et implémente des vérifications de sécurité supplémentaires pour la validation des jetons de session. Cela empêche les attaquants de contourner les mécanismes d'authentification pour accéder à des informations sensibles sur les documents.
Important : Après l'installation de cette mise à jour, les sessions utilisateur existantes peuvent nécessiter une ré-authentification en raison de la validation de sécurité renforcée.
03
Corrige une vulnérabilité d'escalade de privilèges dans le service de conversion de documents (CVE-2026-0144)
Cette correction de sécurité met en œuvre des contrôles d'accès appropriés dans le service de conversion de documents d'Office Online Server. La mise à jour modifie le composant Microsoft.Office.Web.Conversion.dll pour appliquer des vérifications de permission strictes et empêcher l'escalade de privilèges non autorisée. La correction garantit que les opérations de conversion de documents s'exécutent avec le contexte de sécurité approprié et ne peuvent pas être exploitées pour obtenir des privilèges système élevés.
04
Élimine la vulnérabilité de script intersite dans l'interface web (CVE-2026-0145)
La mise à jour implémente une validation complète des entrées dans l'interface web d'Office Online Server pour prévenir les attaques XSS. La correction modifie les composants JavaScript côté client et les routines de validation côté serveur dans Microsoft.Office.Web.UI.dll pour encoder correctement les entrées utilisateur et empêcher l'injection de scripts. Cela protège les utilisateurs contre les scripts malveillants qui pourraient être exécutés dans le contexte de leur navigateur.
05
Améliore la posture de sécurité globale avec des mesures de renforcement supplémentaires
En plus de traiter des CVE spécifiques, cette mise à jour inclut des mesures de renforcement de la sécurité supplémentaires pour Office Online Server. Celles-ci comprennent une meilleure gestion des erreurs pour prévenir les fuites d'informations, une journalisation améliorée des événements de sécurité et un renforcement des implémentations cryptographiques. La mise à jour inclut également des optimisations de performance pour les routines de validation de sécurité afin de minimiser l'impact sur les performances du serveur.
Validation
Installation
Installation
KB5002855 est disponible via plusieurs canaux de déploiement pour les environnements Office Online Server :
Catalogue Microsoft Update
Téléchargez le package de mise à jour directement depuis le Catalogue Microsoft Update. La mise à jour est disponible sous forme de fichier MSP (Microsoft Patch) avec les spécifications suivantes :
- Nom du fichier :
oos2016-kb5002855-fullfile-x64-glb.msp(Office Online Server 2016) - Nom du fichier :
oos2019-kb5002855-fullfile-x64-glb.msp(Office Online Server 2019) - Nom du fichier :
oos2022-kb5002855-fullfile-x64-glb.msp(Office Online Server 2022) - Taille du fichier : Environ 85-120 Mo selon la version
- Redémarrage requis : Oui, redémarrage des services Office Online Server requis
Services de mise à jour Windows Server (WSUS)
La mise à jour est automatiquement synchronisée avec les serveurs WSUS configurés pour les mises à jour Office. Les administrateurs peuvent approuver et déployer la mise à jour via la console de gestion WSUS.
System Center Configuration Manager (SCCM)
Déployez via la gestion des mises à jour logicielles SCCM. La mise à jour apparaît dans la classification des mises à jour Microsoft Office.
Prérequis
- Office Online Server doit exécuter une version prise en charge (2016, 2019 ou 2022)
- Minimum 500 Mo d'espace disque libre sur le lecteur système
- Privilèges administratifs requis pour l'installation
- Tous les services Office Online Server doivent être arrêtés pendant l'installation
Important : Testez la mise à jour dans un environnement non-production avant de la déployer sur les serveurs de production. Prévoir une interruption de service pendant l'installation.
Si ça ne fonctionne pas
Problèmes connus
Problèmes connus
Les problèmes suivants ont été identifiés après l'installation de KB5002855 :
Délai de démarrage du service de conversion de documents
Certains administrateurs ont signalé un temps de démarrage accru pour le service de conversion de documents d'Office Online Server après l'installation de cette mise à jour. Le service peut prendre 30 à 60 secondes supplémentaires pour s'initialiser complètement en raison des routines de validation de sécurité améliorées.
Solution : Ajustez les valeurs de délai d'attente de démarrage du service dans le Gestionnaire de contrôle des services Windows si le démarrage automatique échoue. Utilisez la commande PowerShell suivante pour augmenter le délai d'attente :
Set-Service -Name "Office Online Server" -StartupType Automatic
sc.exe config "Office Online Server" start= delayed-autoProblèmes de rafraîchissement du jeton d'authentification
Les utilisateurs peuvent rencontrer des problèmes de rafraîchissement du jeton d'authentification lors de l'accès aux documents via l'intégration SharePoint. Cela affecte les sessions d'édition de documents de longue durée.
Solution : Configurez une durée de vie plus courte pour le jeton d'authentification dans l'Administration centrale de SharePoint ou conseillez aux utilisateurs de sauvegarder fréquemment leur travail et de rafraîchir leur session de navigateur.
Impact sur les performances lors du traitement de grands documents
Le traitement de grands documents (>50 Mo) peut subir une légère dégradation des performances en raison de la validation de sécurité améliorée. Cela affecte principalement les classeurs Excel avec de vastes ensembles de données.
Solution : Aucune solution disponible. L'impact sur les performances est généralement de 5 à 10 % et est considéré comme acceptable pour les améliorations de sécurité fournies.
Remarque : Surveillez les journaux d'événements d'Office Online Server pour tout problème supplémentaire. L'ID d'événement 1001 dans le journal d'Office Online Server indique une installation réussie de la mise à jour.
Questions fréquentes
Que résout KB5002855 ?+
KB5002855 résout plusieurs vulnérabilités de sécurité critiques dans Office Online Server, y compris l'exécution de code à distance (CVE-2026-0142), la divulgation d'informations (CVE-2026-0143), l'élévation de privilèges (CVE-2026-0144) et les vulnérabilités de script intersites (CVE-2026-0145) qui pourraient compromettre la sécurité du serveur et l'intégrité des documents.
Quels systèmes nécessitent KB5002855 ?+
KB5002855 est requis pour toutes les versions prises en charge de Office Online Server, y compris Office Online Server 2016 (Build 10396.20000 et versions ultérieures), Office Online Server 2019 (Build 10397.20000 et versions ultérieures), et Office Online Server 2022 (Build 15601.20148 et versions ultérieures).
KB5002855 est-il une mise à jour de sécurité ?+
Oui, KB5002855 est une mise à jour de sécurité critique qui corrige quatre vulnérabilités identifiées par CVE dans Office Online Server. Microsoft recommande un déploiement immédiat pour se protéger contre les potentielles exploitations de sécurité ciblant le rendu des documents, l'authentification et les composants de l'interface web.
Quelles sont les conditions préalables pour KB5002855 ?+
Les prérequis incluent une version prise en charge de Office Online Server, un minimum de 500 Mo d'espace disque libre, des privilèges administratifs pour l'installation, et la capacité d'arrêter les services Office Online Server pendant le déploiement de la mise à jour. Les tests dans des environnements non productifs sont fortement recommandés.
Y a-t-il des problèmes connus avec KB5002855 ?+
Les problèmes connus incluent un temps de démarrage accru pour les services de conversion de documents (30-60 secondes), des problèmes potentiels de rafraîchissement des jetons d'authentification dans les sessions de longue durée, et un léger impact sur les performances (5-10%) lors du traitement de documents volumineux en raison des routines de validation de sécurité améliorées.
Références (3)
1
KB5002855 : Mise à jour de sécurité pour Office Online ServerArticle de support officiel de Microsoft détaillant la mise à jour de sécurité pour Office Online Serverhttps://support.microsoft.com/en-us/topic/description-of-the-security-update-for-office-online-server-april-14-2026-kb5002855-197bbcb5-c555-45f8-9f27-984241349432
2Mises à jour de sécurité d'Office Online ServerGuide complet sur les mises à jour de sécurité d'Office Online Server et les meilleures pratiques de déploiementhttps://learn.microsoft.com/en-us/officeonlineserver/security-updates
3Centre de réponse de sécurité MicrosoftDernières recommandations de sécurité et informations sur les vulnérabilités de Microsofthttps://msrc.microsoft.com/
Discussion
Partagez vos réflexions et analyses
Connectez-vous pour participer
Plus d'articles
Articles KB associés
Security Update
Microsoft Office
KB5002859 — Mise à jour de sécurité pour Microsoft Office 2016
KB5002859 est une mise à jour de sécurité publiée le 14 avril 2026, qui corrige plusieurs vulnérabilités dans Microsoft Office 2016, y compris des failles d'exécution de code à distance et de divulgation d'informations affectant les éditions 32 bits et 64 bits.
15 avril12 min
Security Update
Microsoft Office
KB5002808 — Mise à jour de sécurité pour Microsoft PowerPoint 2016
KB5002808 est une mise à jour de sécurité publiée le 14 avril 2026, qui corrige des vulnérabilités critiques dans Microsoft PowerPoint 2016, y compris des failles d'exécution de code à distance et des problèmes de corruption de mémoire affectant les éditions 32 bits et 64 bits.
15 avril12 min
Security Update
Microsoft Office
KB5002846 — Mise à jour de sécurité pour Office Online Server
KB5002846 est une mise à jour de sécurité de mars 2026 qui corrige plusieurs vulnérabilités dans Office Online Server, y compris des failles d'exécution de code à distance et de divulgation d'informations affectant les composants de rendu de documents et d'authentification.
11 mars12 min