Microsoft Word face à une troisième attaque

Cloud

Depuis le 6 décembre dernier, les attaques s’accumulent contre le logiciel
bureautique de Microsoft.

Les pirates ont commencé à exploiter une nouvelle vulnérabilité dans Microsoft Word, révèle l’éditeur de solutions de sécurité eEye sur son site Zero-Day Tracker. Il s’agit du troisième exploit actif découvert en deux semaines. Microsoft n’a pas confirmé l’existence de cette vulnérabilité, mais l’éditeur mènerait actuellement une enquête si l’on en croit les propos tenus à Vnunet.com par l’un de ces porte-parole.

La vulnérabilité permettrait l’exécution de code à distance, ce qui pourrait conduire un pirate à prendre le contrôle d’un système vulnérable et à y dérober des informations ou y installer des programmes malveillants. Elle affecte les logiciels Word 2000, Word XP, Word 2003 et Word Viewer 2003.

L’éditeur ajoute également avoir reçu des rapports de vulnérabilité de Word v.X pour Mac, sans pouvoir toutefois confirmer la vulnérabilité. L’éditeur de solutions de sécurité Secunia a classé la vulnérabilité comme ?hautement critique?, soit son niveau d’alerte de sécurité le plus élevé.

L’US-Cert (US Computer Emergency Readiness Team) a fait savoir que l’exécution de l’exploit se produisait à l’ouverture d’un document Word spécialement créé à cet effet. L’organisation recommande aux utilisateurs de n’ouvrir aucun fichier Word provenant d’une source non fiable de même que les fichiers envoyés sans raison par des sources sûres.

L’US-Cert ajoute que le filtrage des fichiers par leur extension (.doc par exemple) ne permettrait pas de protéger les utilisateurs de l’attaque, étant donné que l’application Word ouvrira tous les fichiers contenant la bonne entête de fichier, et ce quel que soit le nom de l’extension.

S’il est confirmé, cet exploit sera le troisième affectant Microsoft Word depuis le 6 décembre. Aucune des deux autres vulnérabilités n’a été corrigée lors du dernier Patch Tuesday de Microsoft.

(Traduction d’un article de Vnunet.com en date du 15 décembre 2006.)