Alerte à la faille critique pour Microsoft Word

Une faille de large ampleur vient d’être détectée au sein de plusieurs versions du traitement de texte Word, l’un des composants clés de la suite bureautique Office de Microsoft.

Critique, cette vulnérabilité permet la prise de contrôle à distance de la machine de l’utilisateur. De type zero-day, elle dispose d’ores et déjà d’outils permettant de l’exploiter, Microsoft indiquant d’ailleurs que des attaques ciblées seraient en cours.

Pour attaquer un utilisateur, il suffit de lui envoyer un document RTF piégé. Cette faille touche également Outlook, lorsque Word y est utilisé pour prévisualiser les documents RTF. Ce qui est le cas par défaut dans Outlook 2007, 2010 et 2013.

Seule solution pour le moment, désactiver l’ouverture des fichiers RTF via Word (chose que réalise ce Fix It fourni par Microsoft). Et pour Outlook ? La firme de Redmond conseille de lire les courriers sous leur forme brute, sans formatage du texte donc. Une solution peu satisfaisante.

De nombreuses versions de Word sont concernées

De nombreuses versions de Word sont touchées par cette vulnérabilité : Word 2003 SP3, Word 2007 SP3, Word 2010 SP1 ou SP2, Word 2013 et Word 2013 RT, mais aussi Word Viewer et Word for Mac 2011, ou encore les Word Automation Services pour SharePoint Server 2010 et 2013, ainsi que les Office Web Apps 2010 et 2013.

Microsoft ne propose pas à ce jour de correctif pour cette faille. L’éditeur devra se dépêcher, car le support technique de Word 2003 s’éteindra (tout comme celui de Windows XP) le 8 avril prochain.

Voir aussi
Quiz Silicon.fr – 10 questions sur Office 2013

Office 365 pour les entreprises