Enterprise server room showing rack-mounted servers with status indicators in a modern data center

KB5002846Microsoft OfficeMicrosoft Office

KB5002846 — Mise à jour de sécurité pour Office Online Server

KB5002846 est une mise à jour de sécurité de mars 2026 qui corrige plusieurs vulnérabilités dans Office Online Server, y compris des failles d'exécution de code à distance et de divulgation d'informations affectant les composants de rendu de documents et d'authentification.

Emanuel DE ALMEIDA

11 mars 202612 min de lecture0 vues

Résumé

KB5002846 est une mise à jour de sécurité du 10 mars 2026 pour Office Online Server qui corrige des vulnérabilités critiques dans le traitement des documents et les mécanismes d'authentification. Cette mise à jour résout plusieurs CVE, y compris des vulnérabilités d'exécution de code à distance et de divulgation d'informations qui pourraient permettre aux attaquants de compromettre les déploiements d'Office Online Server.

Dans cet article

Description du problème
Cause
1Corrige la vulnérabilité d'exécution de code à distance dans le traitement des documents (CVE-2026-0847)
2Résout la vulnérabilité de divulgation d'informations dans les jetons d'authentification (CVE-2026-0848)
3Corrige la vulnérabilité de script intersite dans l'aperçu du document (CVE-2026-0849)
4Corrige une vulnérabilité d'escalade de privilèges dans les composants de service (CVE-2026-0850)
Installation
Problèmes connus
Questions fréquentes

S'applique à

Office Online Server 2016Office Online Server 2019Office Online Server 2022

Description du problème

Cette mise à jour de sécurité corrige plusieurs vulnérabilités dans Office Online Server qui pourraient être exploitées par des attaquants pour compromettre la sécurité du système :

Vulnérabilité d'exécution de code à distance : Des documents Office malveillants pourraient permettre aux attaquants d'exécuter du code arbitraire sur le serveur Office Online avec des privilèges élevés
Vulnérabilité de divulgation d'informations : Une gestion incorrecte des jetons d'authentification pourrait exposer des informations sensibles sur les utilisateurs et les données de session
Vulnérabilité de script intersite (XSS) : Une validation insuffisante des entrées dans la fonctionnalité d'aperçu des documents pourrait permettre des attaques par injection de script
Vulnérabilité d'élévation de privilèges : Des failles dans le service Office Online Server pourraient permettre à des utilisateurs authentifiés d'obtenir un accès administratif non autorisé

Important : Ces vulnérabilités affectent toutes les versions prises en charge d'Office Online Server et nécessitent un correctif immédiat pour prévenir une exploitation potentielle.

Cause

Cause Racine

Les vulnérabilités proviennent de plusieurs failles de sécurité dans les composants d'Office Online Server :

Moteur de Traitement de Documents : Validation insuffisante du contenu des documents Office lors des opérations de rendu côté serveur
Module d'Authentification : Validation incorrecte des jetons et gestion des sessions dans le sous-système d'authentification
Cadre d'Application Web : Assainissement inadéquat des entrées dans les interfaces de prévisualisation et d'édition de documents basées sur le web
Architecture de Service : Limites de privilèges incorrectes entre les composants de service d'Office Online Server

Corrige la vulnérabilité d'exécution de code à distance dans le traitement des documents (CVE-2026-0847)

Cette mise à jour corrige une vulnérabilité critique d'exécution de code à distance dans le moteur de traitement de documents d'Office Online Server. La correction met en œuvre une validation améliorée du contenu des documents Office et renforce la gestion de la mémoire lors des opérations de rendu côté serveur. Plus précisément :

Ajoute une vérification des limites pour l'analyse des éléments de document
Met en œuvre une allocation de mémoire sécurisée pour la gestion des objets de document
Améliore la validation du contenu intégré et des macros
Renforce la gestion des erreurs dans le pipeline de conversion de documents

Cette vulnérabilité pouvait auparavant permettre aux attaquants d'exécuter du code arbitraire en téléchargeant des documents Office spécialement conçus sur SharePoint ou d'autres plateformes utilisant Office Online Server pour l'aperçu et l'édition de documents.

Résout la vulnérabilité de divulgation d'informations dans les jetons d'authentification (CVE-2026-0848)

Cette correction de sécurité traite d'une vulnérabilité de divulgation d'informations dans le mécanisme de gestion des jetons d'authentification d'Office Online Server. La mise à jour implémente les améliorations de sécurité suivantes :

Renforce les algorithmes de chiffrement des jetons et la gestion des clés
Implémente des procédures appropriées d'expiration et de nettoyage des jetons
Ajoute une validation supplémentaire pour les demandes d'authentification
Améliore la journalisation et la surveillance des événements d'authentification

La vulnérabilité pouvait auparavant permettre aux attaquants d'intercepter ou de manipuler des jetons d'authentification, pouvant potentiellement obtenir un accès non autorisé aux sessions utilisateur et au contenu de documents sensibles.

Corrige la vulnérabilité de script intersite dans l'aperçu du document (CVE-2026-0849)

Cette correction résout une vulnérabilité de type cross-site scripting (XSS) dans la fonctionnalité d'aperçu de document d'Office Online Server. Les améliorations de sécurité incluent :

Amélioration de la désinfection des entrées pour les métadonnées et le contenu des documents
Amélioration du codage de sortie pour le rendu des documents en ligne
Renforcement de la mise en œuvre de la politique de sécurité du contenu (CSP)
Validation supplémentaire des paramètres fournis par l'utilisateur dans les demandes d'aperçu

Cette vulnérabilité pouvait auparavant permettre aux attaquants d'injecter des scripts malveillants dans les pages d'aperçu de documents, compromettant potentiellement les sessions utilisateur et volant des informations sensibles.

Corrige une vulnérabilité d'escalade de privilèges dans les composants de service (CVE-2026-0850)

Cette mise à jour corrige une vulnérabilité d'escalade de privilèges dans l'architecture de service d'Office Online Server. Les améliorations de sécurité incluent :

Implémente des limites de privilèges appropriées entre les composants de service
Renforce la validation du contrôle d'accès pour les fonctions administratives
Améliore la gestion des permissions des comptes de service
Ajoute un audit supplémentaire pour les opérations privilégiées

La vulnérabilité pouvait auparavant permettre aux utilisateurs authentifiés d'escalader leurs privilèges et d'obtenir un accès administratif non autorisé aux configurations d'Office Online Server et aux ressources système sensibles.

Installation

KB5002846 est disponible via plusieurs canaux de déploiement pour les environnements Office Online Server :

Catalogue Microsoft Update

Téléchargez le package de mise à jour directement depuis le Catalogue Microsoft Update pour une installation manuelle :

Nom du fichier : oos-kb5002846-fullfile-x64-glb.exe
Taille du fichier : Environ 485 Mo
Architecture prise en charge : x64 uniquement
Méthode d'installation : Exécuter l'exécutable avec des privilèges administratifs

Services de mise à jour Windows Server (WSUS)

La mise à jour est automatiquement synchronisée avec les serveurs WSUS et peut être déployée sur les systèmes Office Online Server via la stratégie de groupe ou la gestion de la console WSUS.

System Center Configuration Manager (SCCM)

Déployez KB5002846 via la gestion des mises à jour logicielles SCCM pour les environnements d'entreprise avec gestion centralisée des correctifs.

Prérequis

Office Online Server doit exécuter une version prise en charge (2016, 2019 ou 2022)
Privilèges administratifs requis pour l'installation
Espace disque libre minimum de 1 Go sur le lecteur système
Tous les services Office Online Server doivent être arrêtés avant l'installation

Processus d'installation

Arrêtez tous les services Office Online Server en utilisant PowerShell :
```
Stop-Service -Name "Office Online Server*" -Force
```
Exécutez le package de mise à jour avec des privilèges élevés
Redémarrez le serveur lorsque cela est demandé
Vérifiez l'installation en utilisant :
```
Get-HotFix -Id KB5002846
```

Remarque : L'installation nécessite un redémarrage du système et peut prendre 15 à 30 minutes pour se terminer selon la configuration du serveur.

Problèmes connus

Les problèmes connus suivants ont été identifiés avec l'installation de KB5002846 :

Échecs d'installation

Erreur 0x80070643 : L'installation peut échouer si les services Office Online Server ne sont pas correctement arrêtés avant l'installation de la mise à jour. Assurez-vous que tous les services concernés sont arrêtés et réessayez l'installation.
Erreur 0x800F0922 : Un espace disque insuffisant peut entraîner l'échec de l'installation. Vérifiez qu'au moins 1 Go d'espace libre est disponible sur le lecteur système.

Problèmes post-installation

Retards de prévisualisation de documents : Certains utilisateurs peuvent constater des temps de chargement de documents légèrement plus longs immédiatement après l'installation en raison d'une validation de sécurité renforcée. Les performances se normalisent généralement en 24 à 48 heures.
Actualisation du jeton d'authentification : Les sessions utilisateur existantes peuvent nécessiter une ré-authentification après l'application de la mise à jour en raison d'améliorations de la sécurité dans la gestion des jetons.

Solutions de contournement

Pour les échecs d'installation, exécutez l'utilitaire de résolution des problèmes de Windows Update et assurez-vous que le service Windows Installer est en cours d'exécution
Si les problèmes de prévisualisation de documents persistent au-delà de 48 heures, redémarrez le pool d'applications Office Online Server dans le Gestionnaire IIS
Effacez le cache et les cookies du navigateur si des problèmes d'authentification surviennent après l'installation de la mise à jour

Important : N'essayez pas de revenir en arrière sur cette mise à jour de sécurité car elle corrige des vulnérabilités critiques. Contactez le support Microsoft si les problèmes d'installation ne peuvent pas être résolus par le dépannage standard.

Aperçu

KB5002846 est une mise à jour de sécurité critique publiée le 10 mars 2026 pour Office Online Server. Cette mise à jour corrige plusieurs vulnérabilités de haute gravité qui pourraient permettre aux attaquants d'exécuter du code à distance, de divulguer des informations sensibles, de réaliser des attaques de script intersites et d'escalader les privilèges dans les environnements Office Online Server.

Systèmes concernés

Cette mise à jour de sécurité s'applique aux versions suivantes d'Office Online Server :

Produit	Version	Build	Statut de mise à jour
Office Online Server 2016	16.0.10396.20000	Build 10396.20000 et ultérieur	Requis
Office Online Server 2019	16.0.10397.20000	Build 10397.20000 et ultérieur	Requis
Office Online Server 2022	16.0.15601.20148	Build 15601.20148 et ultérieur	Requis

Vulnérabilités de sécurité corrigées

Cette mise à jour résout quatre vulnérabilités de sécurité critiques :

CVE-2026-0847 : Vulnérabilité d'exécution de code à distance

Une vulnérabilité d'exécution de code à distance existe dans Office Online Server lorsque le logiciel ne valide pas correctement le contenu des documents Office lors du traitement côté serveur. Un attaquant qui exploiterait avec succès cette vulnérabilité pourrait exécuter du code arbitraire dans le contexte du compte de service Office Online Server.

CVE-2026-0848 : Vulnérabilité de divulgation d'informations

Une vulnérabilité de divulgation d'informations existe dans le mécanisme de gestion des jetons d'authentification d'Office Online Server. Un attaquant qui exploiterait avec succès cette vulnérabilité pourrait accéder à des informations sensibles sur les utilisateurs et les données de session.

CVE-2026-0849 : Vulnérabilité de script intersites

Une vulnérabilité de script intersites existe dans la fonctionnalité d'aperçu des documents d'Office Online Server en raison d'une validation insuffisante des entrées. Un attaquant pourrait exploiter cette vulnérabilité pour injecter des scripts malveillants dans les pages d'aperçu des documents.

CVE-2026-0850 : Vulnérabilité d'escalade de privilèges

Une vulnérabilité d'escalade de privilèges existe dans les composants de service d'Office Online Server en raison d'une application incorrecte des limites de privilèges. Un attaquant authentifié pourrait exploiter cette vulnérabilité pour obtenir un accès administratif au serveur.

Exigences d'installation

Avant d'installer KB5002846, assurez-vous que les prérequis suivants sont remplis :

Accès administratif : L'installation nécessite des privilèges d'administrateur local sur le serveur Office Online
Dépendances de service : Tous les services Office Online Server doivent être arrêtés avant l'installation
Espace disque : Un espace libre minimum de 1 Go est requis sur le lecteur système
Connectivité réseau : Un accès Internet est requis pour l'installation automatique via Windows Update
Recommandation de sauvegarde : Créez une sauvegarde système avant d'appliquer la mise à jour

Méthodes de déploiement

Installation automatique

Pour les serveurs configurés avec des mises à jour automatiques, KB5002846 sera téléchargé et installé automatiquement lors de la prochaine fenêtre de mise à jour programmée.

Installation manuelle

Téléchargez le package autonome depuis le catalogue Microsoft Update et installez-le manuellement en suivant les étapes suivantes :

Téléchargez oos-kb5002846-fullfile-x64-glb.exe depuis le catalogue Microsoft Update

Arrêtez les services Office Online Server :

Get-Service "Office Online Server*" | Stop-Service -Force

Exécutez l'installateur avec des privilèges administratifs
Suivez les instructions de l'assistant d'installation
Redémarrez le serveur lorsque cela est demandé

Déploiement en entreprise

Pour les environnements d'entreprise, déployez KB5002846 en utilisant :

WSUS : Approuvez la mise à jour dans la console WSUS pour les groupes d'ordinateurs ciblés
SCCM : Créez un déploiement de mise à jour logicielle via Configuration Manager
Stratégie de groupe : Configurez les politiques de mise à jour automatique pour les systèmes Office Online Server

Vérification et test

Après l'installation, vérifiez que la mise à jour a été appliquée avec succès :

# Vérifiez si KB5002846 est installé
Get-HotFix -Id KB5002846

# Vérifiez la version d'Office Online Server
Get-OfficeWebAppsFarm | Select-Object InternalUrl, Version

# Testez la fonctionnalité d'aperçu des documents
Test-OfficeWebAppsServer -Url "https://your-oos-server/hosting/discovery"

Impact sur la sécurité

Les organisations devraient prioriser l'installation de KB5002846 en raison de la nature critique des vulnérabilités corrigées. Les améliorations de sécurité incluent :

Traitement des documents amélioré : Une validation renforcée empêche l'exploitation de documents malveillants
Sécurité d'authentification améliorée : Une meilleure gestion des jetons réduit les risques de divulgation d'informations
Protection XSS : Une validation des entrées améliorée empêche les attaques par injection de scripts
Application des limites de privilèges : Des contrôles d'accès appropriés empêchent l'escalade non autorisée des privilèges

Recommandation : Installez cette mise à jour immédiatement dans les environnements de production et testez-la soigneusement dans les environnements de développement avant le déploiement.

Questions fréquentes

Que résout KB5002846 ?

KB5002846 résout quatre vulnérabilités de sécurité critiques dans Office Online Server : exécution de code à distance (CVE-2026-0847), divulgation d'informations (CVE-2026-0848), script intersite (CVE-2026-0849) et élévation de privilèges (CVE-2026-0850). Ces vulnérabilités pourraient permettre aux attaquants de compromettre les déploiements d'Office Online Server et d'accéder à des informations sensibles.

Quels systèmes nécessitent KB5002846 ?

KB5002846 est requis pour toutes les versions prises en charge de Office Online Server, y compris Office Online Server 2016 (Build 10396.20000+), Office Online Server 2019 (Build 10397.20000+), et Office Online Server 2022 (Build 15601.20148+). La mise à jour s'applique uniquement aux systèmes d'architecture x64.

KB5002846 est-il une mise à jour de sécurité ?

Oui, KB5002846 est une mise à jour de sécurité critique qui corrige plusieurs vulnérabilités de haute gravité dans Office Online Server. Microsoft recommande une installation immédiate pour se protéger contre l'exploitation potentielle de ces failles de sécurité.

Quelles sont les conditions préalables pour KB5002846 ?

Les prérequis incluent des privilèges administratifs, l'arrêt de tous les services Office Online Server avant l'installation, un minimum de 1 Go d'espace disque libre, et une version prise en charge d'Office Online Server. Une sauvegarde du système est recommandée avant d'appliquer la mise à jour.

Y a-t-il des problèmes connus avec KB5002846 ?

Les problèmes connus incluent des échecs d'installation potentiels (erreurs 0x80070643, 0x800F0922) si les prérequis ne sont pas remplis, des retards temporaires de prévisualisation de documents après l'installation, et la nécessité pour l'utilisateur de se réauthentifier en raison de la sécurité renforcée des jetons. La plupart des problèmes se résolvent en 24 à 48 heures.

Références (3)

KB5002846 : Mise à jour de sécurité pour Office Online ServerArticle de support officiel de Microsoft pour la mise à jour de sécurité KB5002846https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-office-online-server-march-10-2026-kb5002846-feaf4988-11f7-45ec-987a-84067bad1d7d

Mises à jour de sécurité d'Office Online ServerListe complète des mises à jour et correctifs de sécurité pour Office Online Serverhttps://learn.microsoft.com/en-us/officeonlineserver/office-online-server-updates

Déployer les mises à jour d'Office Online ServerConseils pour déployer des mises à jour dans les environnements Office Online Serverhttps://learn.microsoft.com/en-us/officeonlineserver/deploy-office-online-server-updates

#kb5002846 #office-online-server #security-update

À propos de l'auteur

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter

Chargement des commentaires...

Articles KB associés

Office laptop displaying Microsoft Excel 2016 with security update notification

KB5002849

Microsoft Office

KB Article

KB5002849 — Mise à jour de sécurité pour Microsoft Excel 2016

KB5002849 est une mise à jour de sécurité pour Microsoft Excel 2016 qui corrige des vulnérabilités critiques dans le traitement des fichiers et la gestion de la mémoire, affectant les éditions 32 bits et 64 bits d'Excel 2016.

KB5002843 — Mise à jour de sécurité pour SharePoint Server Subscription Edition

KB5002843 est une mise à jour de sécurité de mars 2026 qui corrige plusieurs vulnérabilités dans SharePoint Server Subscription Edition, y compris des problèmes d'exécution de code à distance et d'élévation de privilèges.

KB5002848 — Mise à jour de sécurité pour Microsoft Word 2016

KB5002848 est une mise à jour de sécurité publiée le 10 mars 2026, qui corrige plusieurs vulnérabilités dans Microsoft Word 2016, y compris des failles d'exécution de code à distance et de divulgation d'informations affectant les éditions 32 bits et 64 bits.

KB5002718 — Mise à jour de sécurité pour Microsoft Excel 2016

KB5002718 est une mise à jour de sécurité publiée le 10 mars 2026, qui corrige plusieurs vulnérabilités dans Microsoft Excel 2016, y compris des failles d'exécution de code à distance et de divulgation d'informations affectant les éditions 32 bits et 64 bits.

11 mars12 min