Le mois de décembre aura été bien éprouvant pour le traitement de texte Word. Le 6 décembre on apprenait l’existence d’une faille dans la quasi-totalité des versions de Word. Liée à un problème de gestion de la mémoire, elle avait été classée « extrêmement critique » par Secunia. Le 12 décembre, rebelote : le blog du Microsoft Security Response Center indique sans donner trop de détails, qu’une seconde faille dans Word est d’ores et déjà exploitée. Elle est toujours classée extrêmement critique par Sécunia puisqu’elle permet l’exécution de code à distance.

Aujourd’hui, on apprend que l’US-CERT (United States Computer Emergency Readiness Team)(*) vient de dévoiler l’existence d’une troisième vulnérabilité, déjà exploitée elle aussi. « cette faille peut compromettre un système vulnérable » résume le centre expliquant que la vulnérabilité se concentre dans une routine de copie de mémoire. Elle s’exploite dès la simple ouverture d’un document Word. Mais ce n’est pas tout puisque « le code exploitant cette vulnérabilité est publiquement disponible. » Les conséquences exactes de cette vulnérabilité ne sont pas encore connues, pas plus que les versions impactées. On évoque l’exécution de code arbitraire ou de déni de service.

En guise de solution, l’US CERT recommande principalement de ne pas ouvrir de document Word inconnu, étranger ou de sources incertaines. À ce jour Microsoft n’a toujours pas réagi à cette faille publiée hier aux États-Unis.

(*) Organisme fondé en partenariat entre le gouvernement de la défense américaine et le secteur privé, antenne américaine du Centre de Coordonnation du CERT.