Une faille de large ampleur vient d’être détectée au sein de plusieurs versions du traitement de texte Word, l’un des composants clés de la suite bureautique Office de Microsoft.
Critique, cette vulnérabilité permet la prise de contrôle à distance de la machine de l’utilisateur. De type zero-day, elle dispose d’ores et déjà d’outils permettant de l’exploiter, Microsoft indiquant d’ailleurs que des attaques ciblées seraient en cours.
Pour attaquer un utilisateur, il suffit de lui envoyer un document RTF piégé. Cette faille touche également Outlook, lorsque Word y est utilisé pour prévisualiser les documents RTF. Ce qui est le cas par défaut dans Outlook 2007, 2010 et 2013.
Seule solution pour le moment, désactiver l’ouverture des fichiers RTF via Word (chose que réalise ce Fix It fourni par Microsoft). Et pour Outlook ? La firme de Redmond conseille de lire les courriers sous leur forme brute, sans formatage du texte donc. Une solution peu satisfaisante.
De nombreuses versions de Word sont touchées par cette vulnérabilité : Word 2003 SP3, Word 2007 SP3, Word 2010 SP1 ou SP2, Word 2013 et Word 2013 RT, mais aussi Word Viewer et Word for Mac 2011, ou encore les Word Automation Services pour SharePoint Server 2010 et 2013, ainsi que les Office Web Apps 2010 et 2013.
Microsoft ne propose pas à ce jour de correctif pour cette faille. L’éditeur devra se dépêcher, car le support technique de Word 2003 s’éteindra (tout comme celui de Windows XP) le 8 avril prochain.
Voir aussi
Quiz Silicon.fr – 10 questions sur Office 2013
Office 365 pour les entreprises
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…
Le ministère de l'économie a adressé une lettre d'intention à la direction d'Atos pour racheter…
Directeur Technologie de SNCF Connect & Tech, Arnaud Monier lance une campagne de recrutement pour…