Microsoft met en garde contre l'exploitation d'une faille zero-day

Dans Windows Vista, Office et Lync permettant d'exécuter du code distant

Microsoft met en garde contre l’exploitation d’une faille zero-day dans Windows Vista, Office et Lync
permettant d’exécuter du code distant

Microsoft tire la sonnette d’alarme. Dans un récent avis de sécurité, la société met en garde les utilisateurs et les administrateurs contre des attaques ciblées touchant plusieurs de ses logiciels.

L’éditeur affirme avoir pris connaissance de l’exploitation d’une faille zero-day dans ses plateformes par des pirates.

La faille permettrait à un pirate d’exécuter du code arbitraire à distance, d'installer des logiciels malveillants et de prendre le contrôle d’un système vulnérable. Un pirate qui parviendrait à exploiter cette faille pourrait donc obtenir les mêmes droits que le compte utilisateur du système affecté.

Les vecteurs d’attaques utilisés seraient un message électronique instantané, ou toute action pouvant inciter l’utilisateur à ouvrir une page Web spécialement conçue pour exploiter cette vulnérabilité.

La faille de sécurité se situe, selon Microsoft, au niveau de la fonction de manipulation des fichiers images de type « TIFF » du composant de traitement graphique Microsoft Graphics. Elle touche Windows Vista, Windows Server 2008, Microsoft Office (2003, 2007, 2010), Microsoft Lync (2010 et 2013).

Selon les chercheurs de McAfee, des attaques de Windows XP ont été recensées, et Windows 7 serait également vulnérable si des versions affectées de Microsoft Office et Lync sont installées sur le poste de l’utilisateur.

Pour l’instant, aucun correctif n’a été publié par Microsoft. Comme solution de contournement, la société a publié un outil qui désactive le rendu des images TIFF. Elle affirme travailler sur un correctif qui pourrait être publié la semaine prochaine dans le cadre du Patch Tuesday.

Télécharger la solution de contournement

Source : Microsoft

Et vous ?

Qu'en pensez-vous ? Utilisez-vous les applications affectées ?