Word ciblé par une nouvelle faille « zero-day »
Le bulletin mensuel de sécurité de Microsoft prévu aujourd’hui ne corrigera
aucune des deux failles « zero-day ».
Microsoft a révélé l’existence d’une nouvelle faille « zero-day » dans son logiciel Word, quelques jours seulement après la découverte d’une première vulnérabilité similaire. Cette information a été révélée par une note sur le blog de Scott Deacon, du Microsoft Security Response Center.
Les détails concernant cette seconde vulnérabilité sont très vagues, mais elle affecterait les versions Word 2000, 2002, 2003 et Word Viewer 2003. Les utilisateurs de Word 2007 seraient épargnés.
« Selon les premiers rapports et éléments d’enquête, nous pouvons confirmer le fait que la vulnérabilité est exploitée à très faible échelle et de manière très ciblée, explique Scott Deacon. Nous examinons le problème via notre processus de réponse aux incidents de sécurité logicielle, et nous nous engageons, comme à notre habitude, à contrôler la situation et à fournir des mises à jour si la situation évolue ou si nous détenons de nouveaux éléments d’informations. »
La note ne fait état d’aucun changement précis concernant le bulletin de sécurité mensuel, prévu ce mardi, qui ne contiendra aucun correctif pour la première faille détectée sur Word.
Graham Cluley, consultant technologique senior chez Sophos, commente : « Je suis convaincu que Microsoft envisage de publier un patch d’ici Noël, mais ce sera vraiment difficile. Les vulnérabilités ne semblent pas d’une grande gravité, mais l’éditeur voudra certainement éviter à tout prix de reproduire le schéma de l’an dernier à la même période, où une faille WMF avait laissé les entreprises particulièrement vulnérables. »
La faille WMF avait été découverte l’année dernière juste après Noël. Microsoft avait alors été contraint de publier un correctif anticipé après le début des premières attaques seulement six jours plus tard.
(Traduction d’un article de Vnunet.com en date du 11 décembre 2006.)