Vulnérabilité
critique non corrigée dans Word (05/12/06)
MAJ 10/12/06 : découverte d'une seconde
faille non corrigée
MAJ 12/12/06 : découverte d'une troisième faille non
corrigée
MAJ 26/01/07 : découverte d'une quatrième faille non
corrigée
MAJ 13/02/07 : un correctif
officiel est disponible
RESUME :
Quatre nouveaux défauts de sécurité ont été
identifiés dans le traitement de texte Word de Microsoft.
L'exploitation d'erreurs de programmation non spécifiées
permet à un individu malveillant de prendre le contrôle
à distance de l'ordinateur de sa victime ou à un virus
de s'exécuter automatiquement à l'ouverture d'un document
piégé.
LOGICIEL(S)
CONCERNE(S) :
Microsoft
Word 2003
Microsoft Word 2002
Microsoft Word 2000
Microsoft Word Viewer 2003
Microsoft Word 2004 pour Mac
Microsoft Word v. X pour Mac
Microsoft Works 2006
Microsoft
Works 2005
Microsoft
Works 2004
Microsoft Office 2003
Microsoft Office XP
Microsoft Office 2000
Microsoft Office 2004 pour Mac
Microsoft Office v. X pour Mac
CORRECTIF
:
Aucun
correctif n'est disponible pour le moment car ces défauts
de sécurité ont été découverts
alors qu'ils étaient déjà exploités
de façon malveillante (0-day). En attendant la publication
d'un correctif officiel, les utilisateurs concernés peuvent
appliquer les mesures suivantes afin de réduire les risques
d'exploitation malveillante :
- ne pas utiliser
une application vulnérable (voir liste ci-dessus) pour
ouvrir les fichiers d'origine douteuse ni ceux reçus de
manière inattendue d'une source sûre (demander le
cas échéant confirmation de l'envoi) ;
- se montrer
particulièrement vigilant dans son utilisation d'Internet,
notamment vis-à-vis des fichiers douteux, des liens hypertextes
non sollicités ou des sites web non reconnus comme sûrs
;
- tenir à
jour son antivirus. Les éditeurs ont déjà
ou vont bientôt publier de nouvelles signatures pour tenter
de reconnaître et d'intercepter les fichiers malicieux exploitant
ces défauts de sécurité (Exploit-MSWord.a
et Exploit-MSWord.b chez McAfee, Bloodhound.Exploit.118 chez Symantec).
Les utilisateurs
concernés peuvent également s'abonner gratuitement
à la
lettre Secuser Securite pour être informés par
courrier électronique de la disponibilité du correctif
officiel dès sa publication.
INFORMATIONS
COMPLEMENTAIRES :
->
Microsoft
Security Advisory (929433) (en anglais)
-> Microsoft
Security Advisory (932114) (en anglais)
-> FAQ
: comment déterminer le numéro de version de votre
logiciel?
-> Abonnement
gratuit à la lettre Secuser Securite pour être informé
par courriel des nouvelles failles
|