Windows : une faille critique et non corrigée dans Wordpad

Nous avons parlé hier du bulletin de sécurité de Microsoft sur le mois de décembre. On pouvait y trouver huit mises à jour, dont six critiques, pour un total de 28 failles au total. Il s’agit du plus gros bulletin de sécurité de l’éditeur à ce jour, mais il ne contient pas les détails d’une autre faille qui, elle, n’a pas été colmatée.

La faille concerne Wordpad et sa capacité d’ouvrir les documents de Word 97. Le problème vient plus précisément du filtre de lecture, qui autorise la création de documents spécialement conçus sous Word 97 pour permettre l’exécution d’un code arbitraire. La faille est critique, car elle permet non seulement la prise de contrôle total du système mais également la création d’un ver qui pourra tirer parti de la faille automatiquement.

L’infection initiale prendra place à travers un document Word 97 dont l’extension aura été renommée en « .wri » pour que l’utilisateur lance Wordpad en double-cliquant dessus. Cela étant, la faille ne concerne pas tous les systèmes, loin de là. Voici la liste des systèmes touchés :

• Windows 2000
• Windows XP
• Windows XP Service Pack 1
• Windows XP Service Pack 2
• Windows Server 2003
• Windows Server 2003 Service Pack 1
• Windows Server 2003 Service Pack 2

Par contre, si vous possédez l’un des systèmes ci-dessous, vous n’êtes pas concerné :

• Windows XP Service Pack 3
• Vista
• Vista Service Pack 1
• Windows Server 2008

La majorité des utilisateurs étant encore sous Windows XP, il est donc important de savoir que l’installation du Service Pack 3 vous immunise contre cette faille.

Les administrateurs système vont avoir malheureusement une fin d’année un peu chargée avec toutes ces mises à jour. Microsoft ne donne pas encore de date pour la sortie d’une mise à jour, et on ne sait pas si celle-ci sera disponible dans le prochain bulletin ou dans un bulletin séparé et distribué via Windows Update.

Source : Microsoft

Vincent Hermann le 11 décembre 2008 à 16:23 (23 851 lectures)

Tweeter

• 28 / 11 / 2008 : Windows : la faille d'octobre a son ver, Conficker
• 24 / 10 / 2008 : Microsoft : mise à jour critique pour tous les Windows
• 03 / 10 / 2008 : Windows Server 2008 : la protection antivirale peut mieux faire
• 09 / 04 / 2008 : Microsoft : huit bulletins de sécurité pour le mois d'avril
• 07 / 04 / 2008 : Microsoft : un bulletin de sécurité bien chargé pour demain
• 17 / 12 / 2007 : Vista 32/64 bits : correction d'une faille affectant le noyau
• 12 / 12 / 2007 : Microsoft : bulletins de sécurité du mois de décembre 2007
• 26 / 11 / 2007 : Windows : une ancienne faille critique refait surface
• 14 / 11 / 2007 : Microsoft : bulletins de sécurité du mois de novembre 2007

Actu Précédente Actu Suivante