Faille exploitée sous Microsoft Word : et de trois
Dicton du jour : trous en décembre, emmental en janvier
Le mois de décembre aura été bien éprouvant pour le traitement de texte Word. Le 6 décembre on apprenait l’existence d’une faille dans la quasi-totalité des versions de Word. Liée à un problème de gestion de la mémoire, elle avait été classée « extrêmement critique » par Secunia. Le 12 décembre, rebelote : le blog du Microsoft Security Response Center indique sans donner trop de détails, qu’une seconde faille dans Word est d’ores et déjà exploitée. Elle est toujours classée extrêmement critique par Sécunia puisqu’elle permet l’exécution de code à distance.
Aujourd’hui, on apprend que l’US-CERT (United States Computer Emergency Readiness Team)(*) vient de dévoiler l’existence d’une troisième vulnérabilité, déjà exploitée elle aussi. « cette faille peut compromettre un système vulnérable » résume le centre expliquant que la vulnérabilité se concentre dans une routine de copie de mémoire. Elle s’exploite dès la simple ouverture d’un document Word. Mais ce n’est pas tout puisque « le code exploitant cette vulnérabilité est publiquement disponible. » Les conséquences exactes de cette vulnérabilité ne sont pas encore connues, pas plus que les versions impactées. On évoque l’exécution de code arbitraire ou de déni de service.
En guise de solution, l’US CERT recommande principalement de ne pas ouvrir de document Word inconnu, étranger ou de sources incertaines. À ce jour Microsoft n’a toujours pas réagi à cette faille publiée hier aux États-Unis.
(*) Organisme fondé en partenariat entre le gouvernement de la défense américaine et le secteur privé, antenne américaine du Centre de Coordonnation du CERT.
En guise de solution, l’US CERT recommande principalement de ne pas ouvrir de document Word inconnu, étranger ou de sources incertaines. À ce jour Microsoft n’a toujours pas réagi à cette faille publiée hier aux États-Unis.
(*) Organisme fondé en partenariat entre le gouvernement de la défense américaine et le secteur privé, antenne américaine du Centre de Coordonnation du CERT.
Marc Rees
le 15 décembre 2006 à 12:13
(15 736
lectures)
Actualités et brèves relatives
- 13 / 12 / 2006 : OpenOffice.org est disponible en version 2.1 anglaise (MAJ)
- 13 / 12 / 2006 : Microsoft : bulletin de sécurité de décembre 2006
- 13 / 12 / 2006 : Seconde faille "extrêmement critique" dans Word
- 06 / 12 / 2006 : Faille zero-day dans Word, classée extrêmement critique
- 22 / 11 / 2006 : Les rubans de MS Office 2007 placés sous licence d'utilisation
- 21 / 11 / 2006 : Office 2007 : activation du logiciel et fonctions limitées
- 07 / 11 / 2006 : Microsoft : Office 2007 est enfin finalisé
- 25 / 10 / 2006 : Microsoft met également en place des coupons Office 2007
