Word encore frappé par une faille ‘zero day’

Les failles pleuvent sur les produits de Microsoft depuis plusieurs semaines. Après la découverte d’une faille critique largement exploitée touchant Word et d’une vulnérabilité impactant Media Player, Word est aujourd’hui à nouveau frappé par une faille critique ‘zero day’, avertit Microsoft.

Cette information a été révélée par une note sur le blog de Scott Deacon, du Microsoft Security Response Center.

Les détails concernant cette seconde vulnérabilité sont très vagues, mais elle affecterait les versions Word 2000, 2002, 2003 et Word Viewer 2003. Les utilisateurs de Word 2007 seraient épargnés.

« Selon les premiers rapports et éléments d’enquête, nous pouvons confirmer le fait que la vulnérabilité est exploitée à très faible échelle et de manière très ciblée, explique Scott Deacon. Nous examinons le problème via notre processus de réponse aux incidents de sécurité logicielle, et nous nous engageons, comme à notre habitude, à contrôler la situation et à fournir des mises à jour si la situation évolue ou si nous détenons de nouveaux éléments d’informations. »

La note ne fait état d’aucun changement précis concernant le bulletin de sécurité mensuel, prévu ce mardi, qui ne contiendra aucun correctif pour la première faille détectée sur Word.

Graham Cluley, consultant technologique senior chez Sophos, commente : « Je suis convaincu que Microsoft envisage de publier un patch d’ici Noël, mais ce sera vraiment difficile. Les vulnérabilités ne semblent pas d’une grande gravité, mais l’éditeur voudra certainement éviter à tout prix de reproduire le schéma de l’an dernier à la même période, où une faille WMF avait laissé les entreprises particulièrement vulnérables. »

La faille WMF avait été découverte l’année dernière juste après Noël. Microsoft avait alors été contraint de publier un correctif anticipé après le début des premières attaques seulement six jours plus tard.