Microsoft alerte sur une faille critique dans Word

L’équipe sécurité de Google a signalé à Microsoft l’existence d’une vulnérabilité de Word déjà exploitée sur Internet pour des attaques informatiques. La faille se situe au niveau du support des fichiers RTF et affecte toutes les versions de Word.

L’éditeur de la suite bureautique Office a publié une alerte de sécurité afin de révéler la découverte d’une nouvelle faille de sécurité dans l’application Word. Cette vulnérabilité, signalée par trois experts en sécurité de Google, est une Zero-Day, c’est-à-dire donc qu’elle ne dispose pas de correctif et surtout qu’elle est d’ores et déjà utilisée pour des attaques.

Les attaques ciblent la version 2010 de Word. Cependant Microsoft précise que toutes les versions de son traitement de texte (sous Windows et Mac) sont vulnérables et embarquent elles aussi la faille de sécurité. D’autres logiciels liés à Word sont eux aussi affectés, dont Word Viewer et Word Automation Services pour SharePoint Server, mais aussi Outlook.

Un correctif provisoire disponible

La faille se situe au niveau du support des fichiers RTF. Les pirates exploitent ainsi des fichiers malveillants à ce format pour exécuter du code sur des ordinateurs équipés de l’application Office vulnérable.

Dans l’attente d’un correctif définitif, Microsoft met à disposition un patch provisoire, un « Fix It ». Cet utilitaire va notamment désactiver la fonction ciblée par les attaques et couper le support du RTF dans Word.

Une attaque réussie permet au pirate de disposer sur l’OS des mêmes privilèges que l’utilisateur de Word. Par conséquent, si ce dernier dispose de droits standards sur la session, les conséquences seront en principe moindres – mais pas nulles – pour l’utilisateur.

 

Source : Zdnet