faille En toute fin de semaine dernière, Microsoft a publié un avis de sécurité relatif à une vulnérabilité affectant Microsoft Jet Database Engine. L'alerte a été donnée suite à des rapports publics faisant état de l'exploitation de cette vulnérabilité dans le cadre d'attaques pour l'heure très limitées et ciblées. Bonne nouvelle en tout cas pour les utilisateurs de Windows Server 2003 SP2, Windows Vista et Windows Vista SP1, ils ne sont pas sous la menace d'une attaque car la version de Microsoft Jet Database Engine incluse dans leur OS n'est pas vulnérable. Pour les autres utilisateurs Windows, la prudence est de rigueur.


La bibliothèque msjet40.dll encore vulnérable
Plus précisément, la vulnérabilité en question est due à un dépassement de mémoire tampon présent au niveau de la bibliothèque logicielle msjet40.dll. En incitant un utilisateur pris pour cible à ouvrir un document Word spécialement conçu, un attaquant distant peut ainsi exécuter du code arbitraire. Sont vulnérables à ces attaques, les utilisateurs de Microsoft Word 2000 SP3, Word 2002 SP3, Word 2003 SP2 / SP3, Word 2007 et Word 2007 SP1 sous Windows 2000, XP ou Server 2003 SP1. La société de sécurité Secunia a également publié un avis de sécurité qualifié de " hautement critique " à ce sujet, précisant que c'est la version 4.0.9505.0 de msjet40.dll (et inférieure) qui est vulnérable.

Cette vulnérabilité peut par ailleurs, selon Secunia, être exploitée via un fichier à l'extension .mdb malicieux pris en charge par le SGBD Access. Panda Security avait justement en début de mois, identifié une faille affectant la même bibliothèque msjet40.dll. Rappelons au passage qu'au même titre que les fichiers à l'extension .exe, .cmd, .bat ou encore .vbs et .js, les fichiers à l'extension .mdb sont considérés comme non sécurisés par Microsoft car susceptibles d'exécuter certaines opérations à l'instar des macros. Des fichiers dont il vaut mieux être sûr de la provenance donc.