A quelques jours du prochain Patch Tuesday, Microsoft lance un avertissement sur la découverte d'une faille zero day dans les versions 2010, 2007 et 2003 d'Office. Cette vulnérabilité peut être déclenchée par un fichier image compromis sur un site ou dans un e-mail exploitant une des versions des versions d'Office citées. Dustin Childs, responsable de la communication du Security Response Center (MSRC) de l'éditeur, explique dans un blog, « nous sommes conscients que les attaques sont ciblées, principalement au Moyen-Orient et en Asie du Sud ».
Au départ, le bulletin de sécurité sur la faille zero day ne concernait que Windows Vista et Server 2008. Mais Haifei Li, un chercheur en sécurité de McAfee, a signalé à la firme de Redmond que Windows XP et 7 pouvaient également être touchés par le biais d'un fichier Office compromis. « Nous avons constaté que l'attaque via Office 2007 fonctionne sur Windows XP. Il s'agit en fait d'un défaut sur un composant de traitement des images TIFF livré avec Office ». Il ajoute, « en conséquence, non seulement Office 2007 sous Windows XP est vulnérable, mais également sous Windows 7 ».
Une communication un peu confuse
Microsoft a essayé de clarifier la situation sur le blog Securiy Research & Defense, mais ne mentionne pas toutes les combinaisons d'Office et Windows affectés par cette faille. Elia Florio, ingénieur au MSRC, souligne qu'Office 2003 ou 2007 sont touchés sur n'importe quel OS, tandis que pour Office 2010 seul XP et Server 2003 sont à risque. Office 2013 n'est pas concerné par cette vulnérabilité assure l'ingénieur. Un courrier de la firme de Redmond confirme ces scénarios en incluant en plus toutes les versions de Lync.
Dustin Childs a assuré que Microsoft travaillait sur un correctif, mais n'a pas mentionné le calendrier pour la délivrance du correctif. Andrew Storms, spécialiste de la sécurité, pense qu'il est peu probable que Microsoft intègre ce correctif dans son Patch Tuesday attendu le 12 novembre. « Je ne m'attend pas à le voir dans le Patch Tuesday, si cela avait été sur IE peut-être », constate le responsable. Il ajoute que l'éditeur « ne prendra aucun risque avec les différents problèmes sur des mises à jour récentes ». Il fait référence à des mises à jour de sécurité qui avaient été contournées.
Dans son bulletin, Microsoft propose aux clients d'appliquer quelques règles en attendant la sortie d'un correctif.
Une faille zero day trouvée dans d'anciennes versions d'Office
Microsoft a lancé une alerte sur une faille zero day dans plusieurs versions anciennes d'Office et de Windows. Les pirates peuvent exploiter cette faille à l'aide de documents malveillants pour pirater les PC sous Windows.