Patch Tuesday : la faille Word exclue des mises à jour

Microsoft n’envisage pas de fournir de correctif pour la vulnérabilité récemment découverte sur Word dans son bulletin de sécurité qui sera publié demain mardi.

L’éditeur de logiciels a en effet reconnu que sa prochaine mise à jour de sécurité « Patch Tuesday » ne corrigera pas la faille détectée récemment sur son logiciel Word et qui est aujourd’hui activement exploitée.

Selon un porte-parole de Microsoft, le problème est actuellement examiné. Mais si le correctif n’est pas inclus dans la mise à jour de sécurité de décembre, Microsoft n’exclut pas pour autant de publier un correctif séparé avant la prochaine mise à jour de janvier, explique-t-il.

La vulnérabilité Word qui affecte au moins neuf versions Mac et PC de Microsoft Word et Works s’est vue attribuer le niveau d’alerte maximal (extrêmement critique) par l’éditeur de solutions de sécurité Secunia. Un pirate peut utiliser l’exploit pour exécuter du code arbitraire à distance sur un système.

L’éditeur F-Secure recommande quant à lui aux utilisateurs de ne pas ouvrir ou enregistrer de fichiers Word provenant d’une source non-fiable ou envoyés par une source fiable de manière inattendue.

La prochaine mise à jour de sécurité corrigera cinq vulnérabilités de Windows qui, selon Microsoft, inclut des correctifs classés « critiques », le niveau de sécurité le plus élevé défini par l’éditeur.
Elle inclura en outre un correctif de Visual Studio qui réparera certaines vulnérabilités critiques.

Dans la mesure où un seul et même bulletin de sécurité Microsoft peut traiter plusieurs versions de la même application, le classement de sécurité d’une vulnérabilité varie fréquemment d’une version à une autre.

Traduction d’un article de Vnunet.com en date du 11 décembre 2006