La firme de Redmond publie un avis de sécurité afin d'alerter les utilisateurs au sujet d'une vulnérabilité 0-day qui affecte Word. De type exécution de code à distance, elle est cataloguée extrêmement critique par Secunia, soit le niveau de dangerosité maximal.

Word-logo Les versions de Word concernées sont nombreuses. Cela va de Word 2003 à Word 2013, sans oublier la déclinaison RT, Office Online ou encore la version Word dans Office pour Mac 2011. Toutefois, Microsoft a uniquement constaté des attaques ciblées à l'encontre de Word 2010.

Une attaque ciblée laisse supposer qu'elle vise un groupe d'individus en particulier. Microsoft n'entre toutefois pas dans les détails.

La vulnérabilité a été rapportée par trois chercheurs en sécurité de Google. Elle est due à une erreur lors du traitement de fichiers au format RTF spécialement conçus. Comme Word est la visionneuse par défaut de Outlook 2007 à 2013, les attaquants peuvent également tirer parti d'un exploit via email.

En fonction de l'évolution de la situation et de l'enquête sur cette vulnérabilité, Microsoft se réserve la possibilité de publier un correctif en urgence. Sinon, ce sera dans le cadre du prochain Patch Tuesday, soit le 8 avril.

Pour limiter les risques, Microsoft propose tout de même un correctif temporaire sous la forme d'un Fix it à appliquer. Il désactive tout simplement l'ouverture de fichiers RTF avec Word. Une autre mesure de contournement est de lire les emails dans Outlook en texte brut.

Profitons-en pour rappeler que si le 8 avril sera le tout dernier Patch Tuesday pour Windows XP, Office 2003 est dans le même cas.