Comme le stipule le bulletin de sécurité MS11-036 de Microsoft, « les mises à jour de sécurité de Microsoft Office pour Mac 2004, Microsoft Office pour Mac 2008, et Open XML File Format Converter pour Mac, ne sont pas disponibles pour le moment. » Toujours selon le communiqué, « les mises à jour pour ces logiciels seront livrées dès que les tests menés pour garantir la meilleure qualité possible seront terminés. »  

L'avis MS11-036 faisait partie du double Patch Tuesday du mois de mai, lequel corrigeait une série de failles « importantes » dans les versions Windows 2002, 2003 et 2007 de PowerPoint. Office pour Mac 2004 et Office pour Mac 2008 sont affectés par un seul des deux bugs. Quant aux versions les plus récentes, Office 2010 pour Windows et Office pour Mac 2011, elles ne sont pas concernées par ces vulnérabilités.

Une habitude chez Microsoft

Ce n'est pas la première fois que Microsoft livre des correctifs pour les versions Office de Windows sans fournir les patchs correspondants pour les versions Mac. En novembre dernier, Microsoft avait corrigé quatre failles dans PowerPoint pour Windows, mais rien pour les mêmes bugs identifiés dans le gestionnaire de présentation inclus dans Office pour Mac 2004 et Office pour Mac 2008. Cinq semaines plus tard, Microsoft publiait des correctifs pour Office pour Mac 2008, mais aucun patch pour la version 2004. Les utilisateurs Mac ont dû attendre jusqu'à la mi-avril 2011 pour recevoir leur mise à jour, soit cinq mois après leurs collègues sur Windows. Pour l'instant, le porte-parole de Microsoft a refusé de dire à quelle date le correctif du mois de mai serait disponible pour les versions Mac, indiquant seulement que « Microsoft travaillait à sa mise au point. »

Les clients Windows privilégiés

Selon l'avis MS11-036, les pirates peuvent prendre le contrôle d'un PC sous Windows ou d'un ordinateur Mac en incitant les victimes à ouvrir un fichier PowerPoint infecté, soit en l'envoyant en pièce jointe dans un message mail, soit en le mettant en ligne pour visionnage ou en téléchargement sur un site web malveillant. Dans le passé, lors de situations similaires - en novembre 2010, mais aussi en mai 2009 - Microsoft avait déjà justifié sa décision de ne pas déployer de mise à jour pour les utilisateurs Mac. Ainsi, en novembre dernier, Jerry Bryant, group manager pour le Microsoft Security Response Center (MSRC), avait fait valoir une question de priorités. « Normalement, nous livrons les mises à jour de tous les produits affectés au même moment. Mais, si une grande majorité de nos clients se trouve potentiellement à risque, nous pouvons décider de leur livrer des mises à jour en priorité, si celles-ci sont disponibles, avant celles de produits pour lesquels le risque est plus faible, » avait-il déclaré à l'époque. Celui-ci n'a pas fait de commentaire sur la décision prise au mois de mai.

Une vraie menace si elle est exploitée

Par contre, les chercheurs en sécurité ont critiqué l'attitude de Microsoft, estimant que l'éditeur laissait les utilisateurs Mac « dans le pétrin. » Selon Graham Cluley, consultant senior dans les technologies de la sécurité chez Sophos, le vendeur d'antivirus basé en Angleterre, « il existe un risque de voir les cybercriminels démonter le correctif livré pour la version Windows de PowerPoint, et utiliser ces éléments pour exploiter la vulnérabilité sur les versions Mac, » a-t-il écrit sur le blog de l'entreprise. « Une fois encore, les utilisateurs Mac sont laissés pour compte et doivent croiser les doigts, en espérant que les pirates ne tenteront pas d'exploiter cette vulnérabilité. » Andrew Storms, directeur des opérations de sécurité chez nCircle Security, n'est pas de cet avis. « Certes, il est regrettable que les anciennes versions Mac d'Office ne soient pas mises à jour selon le même calendrier que les autres versions, mais je ne pense pas que le risque soit énorme pour le moment, » a-t-il déclaré. « Je n'imagine pas vraiment une armée d'attaquants changer subitement de direction pour aller s'en prendre à d'anciennes versions d'Office pour Mac. »