Attaques 0-day pour Word de Microsoft

Le par  |  4 commentaire(s)
microsoft

Une vulnérabilité non corrigée affectant Word est actuellement exploitée dans des attaques. Microsoft propose un correctif temporaire.

La firme de Redmond publie un avis de sécurité afin d'alerter les utilisateurs au sujet d'une vulnérabilité 0-day qui affecte Word. De type exécution de code à distance, elle est cataloguée extrêmement critique par Secunia, soit le niveau de dangerosité maximal.

Word-logoLes versions de Word concernées sont nombreuses. Cela va de Word 2003 à Word 2013, sans oublier la déclinaison RT, Office Online ou encore la version Word dans Office pour Mac 2011. Toutefois, Microsoft a uniquement constaté des attaques ciblées à l'encontre de Word 2010.

Une attaque ciblée laisse supposer qu'elle vise un groupe d'individus en particulier. Microsoft n'entre toutefois pas dans les détails.

La vulnérabilité a été rapportée par trois chercheurs en sécurité de Google. Elle est due à une erreur lors du traitement de fichiers au format RTF spécialement conçus. Comme Word est la visionneuse par défaut de Outlook 2007 à 2013, les attaquants peuvent également tirer parti d'un exploit via email.

En fonction de l'évolution de la situation et de l'enquête sur cette vulnérabilité, Microsoft se réserve la possibilité de publier un correctif en urgence. Sinon, ce sera dans le cadre du prochain Patch Tuesday, soit le 8 avril.

Pour limiter les risques, Microsoft propose tout de même un correctif temporaire sous la forme d'un Fix it à appliquer. Il désactive tout simplement l'ouverture de fichiers RTF avec Word. Une autre mesure de contournement est de lire les emails dans Outlook en texte brut.

Profitons-en pour rappeler que si le 8 avril sera le tout dernier Patch Tuesday pour Windows XP, Office 2003 est dans le même cas.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1695532
De vrais gamins ces hackers, on leur dit que le Microsoft day c'est le 8 avril et ils ne peuvent même pas attendre jusque la.
Le #1695582
bah ils savent qu'ils peuvent jouer jusqu'au 17 avril 2014


Sortie d'ubuntu 14.04 Stable



Le #1695772
Et si Microsoft se préoccupait des failles de ses produits plutôt que d'aller chercher celles d'android, ce serait beaucoup plus professionnel.
Le #1695952
Bravo à Microsoft pour avoir fait la lumière sur cette sombre affaire et proposé tout de suite des correctifs. Pro, comme toujours.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]