Microsoft Word victime d’une faille de sécurité

Une vulnérabilité présente sur toutes les versions de Microsoft Word permet d'exécuter du code malveillant à distance via un fichier RTF.

Microsoft vient de découvrir une faille critique affectant toutes les versions de son logiciel de traitement de texte, Word. Si des attaques ont surtout été constatées sur la version 2010, toutes les versions de la 2003 à la 2013 en passant par les Web Apps, Outlook (qui permet d’ouvrir des fichiers Word), Word Automation Services pour SharePoint ou encore Word Viewer sont concernées. Cette faille Zero-Day touche PC et Mac.

Via un fichier RTF modifié par l’attaquant, ce dernier peut exécuter du code à distance sur la machine ciblée afin d’y obtenir le même niveau d’administrateur que l’utilisateur actuellement connecté. Ainsi, si celui-ci possède assez de droits, le hacker peut potentiellement prendre le contrôle de la machine.

Faute d’un patch pour le moment, Microsoft conseille de ne plus ouvrir de fichiers RTF dans Microsoft Word. Le téléchargement d’un petit utilitaire « Fix IT » à cette adresse permet de désactiver l’ouverture de ce type de fichier dans le logiciel de traitement de texte. Lire ses emails dans Outlook en texte brut est également conseillé en attendant que Microsoft déploie un correctif.