Microsoft vient de patcher une vulnérabilité « zero day » inquiétante qui avait été détectée dans son module de traitement de texte Word inclus dans le package bureautique Office.
Cette séquence de rattrapage de la part de l’éditeur de Windows intervient cinq jours après la première alerte émise par l’éditeur de solution de sécurité IT McAfee.
On retrouve ce patch sous cette dénomination : CVE-2017-0199 affectant Office et WordPad.
L’update spécial Word a été intégré dans un nouveau process de réactualisation pour colmater les brèches identifiées dans les solutions et produits Microsoft : security updates Guide.
Selon la cellule d’alerte (CERT-FR) qui collabore avec l’ANSSI (agence nationale de la sécurité informatique), l’exploit « zero day » se déclenchait lors de l’ouverture d’un document Microsoft Word contenant un objet OLE2link. Un assaut susceptible de provoquer une exécution de code arbitraire.
Bye bye la livraison mensuelle de Patch Tuesday (tradition perpétuée depuis 1998). C’était prévu depuis plusieurs mois : Microsoft remanie le système de diffusion sous forme de « security updates Guide ».
Des réactualisations que l’on peut sélectionner par période, par produits, par degrés de criticité…Un catalogue de réactualisation sous forme de moteur est également mis en place.
Le premier jet englobe 45 correctifs, dont 13 « critiques », dans une gamme de produits « maison » : Internet Explorer, Microsoft Edge, Windows, Office, Office Services et Web Apps, Visual Studio for Mac,.NET Framework et Silverlight.
Après avoir noué un partenariat, Microsoft accorde aussi une place à Adobe dans ce nouveau système security updates Guide.
Et la contribution de cet éditeur tiers est riche : rien que sur le mois d’avril, on recense 15 failles corrigées dans des produits comme Flash, Reader et Photoshop en lien avec l’exploitation de solutions Microsoft.
« Au final, les administrateurs vont être obligés de s’habituer à la nouvelle nomenclature des mises à jour de sécurité », considère Silicon.fr. ‘Pour les autres utilisateurs, il n’y a aucun changement, car les updates de sécurité se déploient automatiquement au sein de Windows. »
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…