Microsoft Word : alerte de sécurité après un signalement de Google
Microsoft a repéré une faille zero day affectant Word (il peut dire merci à Google). Des hackers peuvent s’en servir pour prendre le contrôle des machines.
Une faille de sécurité critique a été découverte au sein du logiciel de traitement de texte Word, appartenant à la suite de solutions bureautiques Office de Microsoft. Cette vulnérabilité pourrait permettre à des hackers de prendre le contrôle des machines de certains utilisateurs.
Le 24 mars, Microsoft a lancé une alerte de sécurité spécifique pour cette faille « zero-day » (terme employé lorsqu’elles sont découvertes mais non colmatées) car il semblerait que des pirates soient déjà en train de l’exploiter pour mener des attaques ciblées. Ces derniers seraient capables d’atteindre leurs objectifs lorsque le logiciel effectue une prévisualisation d’un document.
Pour mener leurs attaques, les hackers se serviraient donc de l’envoi de documents piégés au format RTF via des e-mails. Une menace d’autant plus importante que certaines versions d’Outlook (le client de messagerie de Microsoft) seraient aussi vulnérables.
Word : bloquer les fichiers RTF
Pour seule système de défense, Microsoft préconise actuellement de bloquer l’ouverture des fichiers RTF via Word. Une procédure qui peut être effectuée automatiquement par un petit patch correctif fourni par la firme. Pour les utilisateurs d’Outlook, la lecture des e-mails au format brut, et donc sans la mise en page exclusive aux documents RTF peut protéger les utilisateurs le temps qu’une solutions plus durable soit appliquée.
Microsoft doit se presser pour trouver cette solution, car de nombreuses versions Word sont concernées. Silicon.fr liste ainsi : Word 2003 SP3, Word 2007 SP3, Word 2010 SP1 ou SP2, Word 2013 et Word 2013 RT, mais aussi Word Viewer et Word for Mac 2011, ou encore les Word Automation Services pour SharePoint Server 2010 et 2013, ainsi que les Office Web Apps 2010 et 2013.
Or le support technique de Word 2003 cessera (tout comme celui de Windows XP) le 8 avril prochain.
Signalons que Microsoft remercie dans son mémo de sécurité la contribution de trois chercheurs de l’équipe de sécurité de Google qui ont remis un rapport sur cette faille RTF afin qu’elle soit colmatée. Comme quoi, on peut être concurrent et travailler en bonne intelligence.