Microsoft vient de patcher une vulnérabilité « zero day » inquiétante qui avait été détectée dans son module de traitement de texte Word inclus dans le package bureautique Office.
Cette séquence de rattrapage de la part de l’éditeur de Windows intervient cinq jours après la première alerte émise par l’éditeur de solution de sécurité IT McAfee.
On retrouve ce patch sous cette dénomination : CVE-2017-0199 affectant Office et WordPad.
L’update spécial Word a été intégré dans un nouveau process de réactualisation pour colmater les brèches identifiées dans les solutions et produits Microsoft : security updates Guide.
Selon la cellule d’alerte (CERT-FR) qui collabore avec l’ANSSI (agence nationale de la sécurité informatique), l’exploit « zero day » se déclenchait lors de l’ouverture d’un document Microsoft Word contenant un objet OLE2link. Un assaut susceptible de provoquer une exécution de code arbitraire.
Bye bye la livraison mensuelle de Patch Tuesday (tradition perpétuée depuis 1998). C’était prévu depuis plusieurs mois : Microsoft remanie le système de diffusion sous forme de « security updates Guide ».
Des réactualisations que l’on peut sélectionner par période, par produits, par degrés de criticité…Un catalogue de réactualisation sous forme de moteur est également mis en place.
Le premier jet englobe 45 correctifs, dont 13 « critiques », dans une gamme de produits « maison » : Internet Explorer, Microsoft Edge, Windows, Office, Office Services et Web Apps, Visual Studio for Mac,.NET Framework et Silverlight.
Après avoir noué un partenariat, Microsoft accorde aussi une place à Adobe dans ce nouveau système security updates Guide.
Et la contribution de cet éditeur tiers est riche : rien que sur le mois d’avril, on recense 15 failles corrigées dans des produits comme Flash, Reader et Photoshop en lien avec l’exploitation de solutions Microsoft.
« Au final, les administrateurs vont être obligés de s’habituer à la nouvelle nomenclature des mises à jour de sécurité », considère Silicon.fr. ‘Pour les autres utilisateurs, il n’y a aucun changement, car les updates de sécurité se déploient automatiquement au sein de Windows. »
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…