Vulnérabilité au sein d'Office : Microsoft publie un bulletin de sécurité

Vulnérabilité au sein d’Office : Microsoft publie un bulletin de sécurité

Microsoft publie un bulletin de sécurité suite à la découverte d’une vulnérabilité au sein d’Office permettant à un pirate d’exécuter du code à distance.

Publié le 22 octobre 2014 - 11:55 par François Giraud

Toutes les versions de Windows touchées sauf Windows Server et l’édition 2003

Microsoft vient de publier ce mercredi 22 octobre un bulletin de sécurité suite à la découverte d’une faille permettant à un pirate de lancer une attaque via un document Office et d’exécuter du code à distance. Microsoft n’a pas indiqué si Windows XP était touché par cette vulnérabilité.

faille zero day

Publicité

Un correctif devrait être proposé avec le Patch Tuesday du 11 novembre ?

Lors du dernier Patch Tuesday proposé par Microsoft, pour le mois d’octobre 2014, cette vulnérabilité n’était pas au menu. Il va donc falloir attendre le correctif du mardi 11 novembre pour corriger la faille découverte. Microsoft a publié un bulletin de sécurité indiquant qu’une faille Zero-Day était présente dans Windows. L’ensemble des versions sont concernées, exceptées Windows Server et l’édition 2003. Il n’y a pas de précision concernant Windows XP dont le support a été arrêté mais qui représente encore 20% de parts de marché. Cette faille au niveau de Windows OLE fait l’objet d’un nombre limité d’attaques ciblées. Les hackers utilisent des fichiers PowerPoint corrompus et peuvent ensuite obtenir les mêmes droits administrateurs que l’utilisateur visé. Il leur est ainsi possible de coder à distance. Microsoft  proposé un patch provisoire qui empêche les attaques via PowerPoint en version 32-bit et 64-bit sur Windows Vista 7 ainsi que sur Server 2008 et les versions 32-bit de Windows 8 et Windows 8.1. Une autre solution est proposée par Microsoft, qui consiste à utiliser Fix It et qui bloque l’exploitation de la vulnérabilité OLE (Object Linking and Embedding) pour les documents PowerPoint compromis. L’éditeur précise que les cybercriminels pourraient également utiliser d’autres formats de fichiers que ceux de Microsoft Office.



Ailleurs sur le web


Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *