Patch Tuesday : aucun correctif pour les vulnérabilités Word

Avec les mises à jour de sécurité publiées dans le cadre de son traditionnel Patch Tuesday, Microsoft a omis de corriger des vulnérabilités logicielles connues et activement exploitées sous Word.

La firme de Redmond a découvert en novembre et décembre derniers trois failles « zero-day » affectant son logiciel Word. Or, ces failles qui demeurent activement exploitées n’ont obtenu aucun correctif au cours des deux précédentes publications de mises à jour.

L’éditeur de solutions de sécurité McAfee s’attendait en réalité à ce que Microsoft corrige ces trois vulnérabilités Word dans son dernier cycle de mise à jour.

« Les applications commerciales demeurent une cible privilégiée pour les auteurs de codes malveillants, ce qui semble évident au vu des vulnérabilités corrigées aujourd’hui par Microsoft« , a déclaré Dave Marcus, directeur des communications et des recherches en sécurité au centre de recherche McAfee Avert Labs.

« Le traitement de ce vecteur de menaces demeure encore aujourd’hui un axe de recherche essentiel pour McAfee, aussi recommandons-nous aux utilisateurs de ce type d’applications de prendre toutes les précautions nécessaires pour protéger leurs systèmes. »

Trois des quatre patches publiés corrigent des vulnérabilités « critiques » sous Microsoft Outlook, Excel et du langage VML qui peuvent, si elles sont exploitées, faciliter l’exécution de code malveillant sur la machine d’un utilisateur.

Microsoft avait initialement annoncé huit mises à jour pour le mois de janvier, avant de renoncer en début de semaine à la publication de quatre d’entre elles.

Traduction d’un article de Vnunet.com en date du 10 janvier 2007