Alerte à la faille critique pour Microsoft Word

Ouvrir un fichier RTF dans Word, ou le prévisualiser dans Outlook, peut mener à la prise de contrôle à distance de votre machine par un cybercriminel. La faille n’est pas encore corrigée par Microsoft.

Une faille de large ampleur vient d’être détectée au sein de plusieurs versions du traitement de texte Word, l’un des composants clés de la suite bureautique Office de Microsoft.

Critique, cette vulnérabilité permet la prise de contrôle à distance de la machine de l’utilisateur. De type zero-day, elle dispose d’ores et déjà d’outils permettant de l’exploiter, Microsoft indiquant d’ailleurs que des attaques ciblées seraient en cours.

Pour attaquer un utilisateur, il suffit de lui envoyer un document RTF piégé. Cette faille touche également Outlook, lorsque Word y est utilisé pour prévisualiser les documents RTF. Ce qui est le cas par défaut dans Outlook 2007, 2010 et 2013.

Seule solution pour le moment, désactiver l’ouverture des fichiers RTF via Word (chose que réalise ce Fix It fourni par Microsoft). Et pour Outlook ? La firme de Redmond conseille de lire les courriers sous leur forme brute, sans formatage du texte donc. Une solution peu satisfaisante.

De nombreuses versions de Word sont concernées

De nombreuses versions de Word sont touchées par cette vulnérabilité : Word 2003 SP3, Word 2007 SP3, Word 2010 SP1 ou SP2, Word 2013 et Word 2013 RT, mais aussi Word Viewer et Word for Mac 2011, ou encore les Word Automation Services pour SharePoint Server 2010 et 2013, ainsi que les Office Web Apps 2010 et 2013.

Microsoft ne propose pas à ce jour de correctif pour cette faille. L’éditeur devra se dépêcher, car le support technique de Word 2003 s’éteindra (tout comme celui de Windows XP) le 8 avril prochain.


Voir aussi
Quiz Silicon.fr – 10 questions sur Office 2013

Office 365 pour les entreprises

Office 365 pour les entreprises

Image 4 of 9

Office 365 pour les entreprises
L’intégration native avec les réseaux sociaux est une des avancées d’Office 2013. Nous trouvons ici la fédération avec Skype, y compris au sein de Lync (qui passe d’ailleurs en HD) et l’intégration de Yammer (le RSE de Microsoft).