Des hackers exploitent une faille du traitement de texte Word pour implanter un malware sur les PC sous Windows, a mis en garde Microsoft. Le problème concernant les versions 2002, 2003, 2007 et 2010 du logiciel a été corrigé par la mise à jour de sécurité mensuelle du 9 novembre 2010. Les versions pour Mac, Word 2008 et 2011 ont également été amendées. L'éditeur n'a pas encore fourni de rustine aux utilisateurs de l'ancien Word 2004 pour Mac, mais les attaques du moment affectent seulement les versions Windows de la suite.

Si l'on se réfère aux informations communiquées par le centre de protection contre les malwares de Microsoft (MMPC, Malware protection center), chargé de suivre ces problèmes et de livrer les mises à jour de signatures pour le logiciel antivirus de l'éditeur, la première attaque du genre a été détectée la semaine dernière.

Lorsque Microsoft a mis à disposition le patch pour Word le mois dernier, celui-ci était assorti de l'indice 1, ce qui signifie qu'une attaque pouvait survenir dans les trente jours. Celle-ci utilise un fichier malveillant de type RTF (rich text format) pour générer un débordement dans Word sous Windows, explique Rodel Rinones, chercheur au MMPC. A la suite d'une tentative réussie, le code de l'attaque télécharge et exécute un cheval de Troie sur l'ordinateur. Et c'est bien la faille identifiée qui est ainsi exploitée.

Un correctif à appliquer aussitôt que possible

Le mois dernier, Microsoft a qualifié de « critique » cette vunérabilité dans Word 2007 et 2010. Il s'est contenté de la déclarer « importante » dans toutes les autres versions affectées du traitement de texte. A l'époque, les chercheurs extérieurs pariaient que les hackers seraient intéressés par le bug parce que les utilisateurs d'Office 2007 ou 2010 pouvaient être attaqués s'ils se contentaient de prévisualiser un document RTF spécialement préparé dans leur client de messagerie Outlook. « Dès qu'un message altéré atteint la fenêtre de prévisualisation d'Outlook, le code distant peut être exécuté, a ainsi averti Jason Miller, responsable de l'équipe sécurité de Shavlik Technologies, le jour où Microsoft a livré le patch. Il faut corriger cela tout de suite ».

Rodel Finones, du MMPC, conseille vivement aux utilisateurs qui n'ont pas encore installé le correctif de novembre de l'appliquer aussi vite que possible. Des informations supplémentaires peuvent être consultées sur le bulletin de sécurité pc émis par Microsoft. La mise à jour correspondante peut être téléchargée et installée en passant par Microsoft Update et Windows Server Update (WSUS).