Microsoft vient de publier un correctif temporaire pour une vulnérabilité jour zéro qui toucherait toutes les versions de Windows à l’exception de Windows Server 2003.
Cette faille de sécurité pourrait permettre à un attaquant d’exécuter du code à l’aide d’un fichier Office avec un objet OLE (Object Linking and Embedding), qui lui donnerait les mêmes droits que la personne ouvrant le fichier.
Pour l’instant, Microsoft n’a détecté de tentatives d’attaques qu’avec des fichiers Powerpoint.
Les attaques potentielles sont mitigées par les facteurs suivants:
– La faille est d’autant moins importante que l’utilisateur a des droits limités.
– Sur une configuration typique depuis Windows Vista, l’utilisateur verra apparaître une fenêtre UAC (User Account Control) lui demandant l’autorisation d’ouvrir un document avec objet OLE. S’il refuse, son PC n’est pas en danger.
– Enfin, par défaut Office ouvre les documents issus de sites Web inconnus en mode ‘protégé’ qui permet de visionner le fichier avec un risque réduit.
Le correctif temporaire, OLE Packager shim workaround, est disponible en suivant ce lien.