Une mise en garde de Microsoft contre une vulnérabilité dans Word

Une vulnérabilité dans le logiciel de traitement de texte de Microsoft, découverte par Google, pourrait entraîner l’exécution de code à distance. Logo de Microsoft

Le fournisseur technologique Microsoft a émis un avis de sécurité afin de mettre en garde les utilisateurs du logiciel de traitement de texte Word à propos d’une vulnérabilité qui met en cause des fichiers en format RTF (Rich Text Format anglais).

« Ce problème survient lorsque Microsoft Word traite des données RTF spécialement conçues [qui sont] susceptibles de corrompre la mémoire système et de permettre ainsi à un attaquant d’exécuter du code arbitraire », indique Microsoft dans son avis de sécurité.

Un utilisateur risque d’être affecté s’il ouvre un fichier RTF malveillant à l’aide de Word. Également, une infection de système peut survenir si un utilisateur prévisualise ou ouvre un message électronique malveillant en format RTF dans le gestionnaire de messagerie Outlook si Word est utilisé à titre d’éditeur de messages électroniques. Word est l’éditeur par défaut sous Outlook 2007,  2010 et 2013.

« Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l’utilisateur actuel. Les clients dont les comptes sont configurés avec des privilèges moins élevés sur le système peuvent subir un impact inférieur à ceux possédant des privilèges d’administrateur », indique Microsoft.

« Dans le cas d’une attaque Web, l’attaquant pourrait héberger un site Web contenant une page Web intégrant un fichier RTF spécialement conçu pour exploiter cette vulnérabilité […] », ajoute l’éditeur.

Versions touchées et solutions temporaires

Bien que seuls des cas d’attaques ciblées envers Word 2010 lui aient été rapportés, Microsoft émet son avis de sécurité pour toutes les versions client et serveur de Word qu’elle soutient présentement. Ces versions incluent Word 2003, 2007, 2010, 2013 et 2013 RT, Office pour Mac 2011, Office Web Apps 2010 et Web Apps Server 2013, Word Automation Services sur SharePoint Server 2010 et 2013 et Word Viewer.

Microsoft indique qu’elle prendra les mesures appropriées pour remédier à la situation. La résolution de la vulnérabilité pourrait éventuellement être offert par le biais d’un cycle mensuel de mises à jour de sécurité ou par la publication « exceptionnelle » d’une rustine.

Entre-temps, Microsoft recommande l’application d’une solution automatisée de résolution du problème qui empêchera la lecture des fichiers en format RTF jusqu’à ce qu’une solution permanente soit trouvée. Également, Microsoft suggère aux utilisateurs de lire leurs courriels en format texte brut dans Outlook. L’avis de sécurité de Microsoft contient d’autres solutions de contournement du problème qui sont destinées aux administrateurs de systèmes.

Dans son avis de sécurité, Microsoft remercie Drew Hintz, Shane Huntley et Matty Pellegrino de l’équipe de sécurité de l’éditeur technologique Google. Rappelons qu’il y a quelques jours, un chercheur de Microsoft et des chercheurs d’une université américaine ont fait état d’une vulnérabilité de sécurité dans le système d’exploitation mobile Android de Google.

Lire : Les failles d’accumulation, un nouveau genre de vulnérabilité sous Android

Jean-François Ferland
Jean-François Ferland
Jean-François Ferland a occupé les fonctions de journaliste, d'adjoint au rédacteur en chef et de rédacteur en chef au magazine Direction informatique.

Articles connexes

Balado Hashtag Tendances, 4 janvier 2024 — Une app Copilot, des iPhones compromis, Google et les applications Android et Adobe n’acquiert pas Figma

Cette semaine : Copilot sur Android et iOS, une attaque de porte dérobée de milliers d’iPhone, Google paie l’amende et assouplit les règles sur les applications Android et Adobe abandonne son projet d’acquérir Figma.

Des pirates abusent d’OAuth pour automatiser des cyberattaques, selon Microsoft

Selon Microsoft, des acteurs malveillants utilisent à mauvais escient les applications basées sur OAuth comme outil d'automatisation d'authentification.

Adastra lance un centre d’innovation en IA à Montréal

Adastra, un fournisseur mondial de solutions de données et d'analyse, annonce le lancement à Montréal d'un centre mondial d'innovation en IA afin d’accélérer le développement et l'adoption de solutions d'affaires basées sur l'IA, en utilisant des solutions de Microsoft telles que Microsoft Azure OpenAI Service.

Google conclut un accord avec le gouvernement du Canada sur le projet de loi C-18

Après des mois de résistance et de rencontres, Google a finalement conclu un accord avec le gouvernement canadien concernant la promulgation du projet de loi C-18, qui devrait entrer en vigueur dans environ deux semaines.

Balado Hashtag Tendances, 30 novembre 2023 — Purge des comptes Google, Pika 1.0, une centrale géothermique pour Google et les effets néfastes des visioconférences

Cette semaine : Google supprime les comptes inactifs, Pika utilise l’IA pour générer des vidéos, Google inaugure une centrale électrique géothermique et les visioconférences comme cause de fatigue.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.