[Direction Informatique – Jean-François Ferland – 25/03/2014]

Une vulnérabilité dans le logiciel de traitement de texte de Microsoft, découverte par Google, pourrait entraîner l’exécution de code à distance. Le fournisseur technologique Microsoft a émis un avis de sécurité afin de mettre en garde les utilisateurs du logiciel de traitement de texte Word à propos d’une vulnérabilité qui met en cause des fichiers en format RTF (Rich Text Format anglais).

« Ce problème survient lorsque Microsoft Word traite des données RTF spécialement conçues [qui sont] susceptibles de corrompre la mémoire système et de permettre ainsi à un attaquant d’exécuter du code arbitraire », indique Microsoft dans son avis de sécurité.

Un utilisateur risque d’être affecté s’il ouvre un fichier RTF malveillant à l’aide de Word. Également, une infection de système peut survenir si un utilisateur prévisualise ou ouvre un message électronique malveillant en format RTF dans le gestionnaire de messagerie Outlook si Word est utilisé à titre d’éditeur de messages électroniques. Word est l’éditeur par défaut sous Outlook 2007, 2010 et 2013.

« Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l’utilisateur actuel. Les clients dont les comptes sont configurés avec des privilèges moins élevés sur le système peuvent subir un impact inférieur à ceux possédant des privilèges d’administrateur », indique Microsoft.

« Dans le cas d’une attaque Web, l’attaquant pourrait héberger un site Web contenant une page Web intégrant un fichier RTF spécialement conçu pour exploiter cette vulnérabilité […] », ajoute l’éditeur.

Versions touchées et solutions temporaires

Bien que seuls des cas d’attaques ciblées envers Word 2010 lui aient été rapportés, Microsoft émet son avis de sécurité pour toutes les versions client et serveur de Word qu’elle soutient présentement. Ces versions incluent Word 2003, 2007, 2010, 2013 et 2013 RT, Office pour Mac 2011, Office Web Apps 2010 et Web Apps Server 2013, Word Automation Services sur SharePoint Server 2010 et 2013 et Word Viewer.

Microsoft indique qu’elle prendra les mesures appropriées pour remédier à la situation. La résolution de la vulnérabilité pourrait éventuellement être offert par le biais d’un cycle mensuel de mises à jour de sécurité ou par la publication « exceptionnelle » d’une rustine.

Entre-temps, Microsoft recommande l’application d’une solution automatisée de résolution du problème qui empêchera la lecture des fichiers en format RTF jusqu’à ce qu’une solution permanente soit trouvée. Également, Microsoft suggère aux utilisateurs de lire leurs courriels en format texte brut dans Outlook. L’avis de sécurité de Microsoft contient d’autres solutions de contournement du problème qui sont destinées aux administrateurs de systèmes.

Dans son avis de sécurité, Microsoft remercie Drew Hintz, Shane Huntley et Matty Pellegrino de l’équipe de sécurité de l’éditeur technologique Google. Rappelons qu’il y a quelques jours, un chercheur de Microsoft et des chercheurs d’une université américaine ont fait état d’une vulnérabilité de sécurité dans le système d’exploitation mobile Android de Google.

http://www.directioninformatique.com/une-mise-en-garde-de-microsoft-contre-une-vulnerabilite-dans-word/25552