La firme de Redmond publie un avis de sécurité au sujet d'une vulnérabilité de sécurité non corrigée présente dans un composant Microsoft Graphics. Elle affecte Windows Vista et Windows Server 2008, Office 2003 à 2010, ainsi que Lync 2010 et 2013.
Le problème se situe au niveau du traitement d'images au format TIFF. Des attaques exploitant la vulnérabilité ont déjà été repérées. Pour le moment, elles sont dites très limitées et ciblent particulièrement le Moyen-Orient et l'Asie du Sud.
Les exploits nécessitent une interaction de la part de l'utilisateur qui reçoit par exemple un email avec en pièce jointe un fichier Word spécialement conçu. Celui-ci intègre une image malformée. " Un attaquant peut obtenir les mêmes droits que l'utilisateur connecté. "
Selon Microsoft, l'exploit tire parti de plusieurs techniques afin de passer outre les protections DEP ( Data Execution Prevention ) et ASLR ( Address Space Layout Randomization ). Ces protections servent respectivement à empêcher l'exécution de code malveillant dans la mémoire non-exécutable et à empêcher que les attaquants aient accès à des adresses mémoire connues pour des dépassements de tampon.
Dans son avis de sécurité, Microsoft donne plusieurs mesures d'atténuation dans l'attente d'un correctif. L'une d'elles est radicale et consiste à désactiver le codec TIFF.
Non innocemment, Microsoft souligne que les " nouvelles familles de Windows (7, 8 et 8.1) " ne sont pas affectées. " C'est un autre exemple qui démontre les bénéfices d'exécuter des versions récentes de logiciels en termes d'améliorations de sécurité. "
C'est le message que Microsoft s'échine à faire passer, notamment à l'approche de la fin du support de Windows XP en avril 2014. Dans le cas de la vulnérabilité signalée aujourd'hui, Office 2010 est par exemple concerné seulement pour une exécution sur Windows XP et Server 2003.
