Microsoft a publié récemment un bulletin de sécurité concernant Word, toutes versions confondues. Le traitement de texte est affecté par une faille de sécurité qui permet à un utilisateur malveillant de prendre le contrôle à distance d'un PC grâce à l'envoi de fichiers textes enrichis (RTF).
Toutes les versions supportées de Word (2003 à 2013), et par ricochet d'Outlook (2007 à 2013), sont affectées d'une faille de sécurité poussant Microsoft à publier un bulletin de sécurité ainsi qu'un paliatif ou « fix it », en attendant qu'un véritable correctif soit trouvé et déployé à l'ensemble des utilisateurs.
Cette faille permet d'éxécuter du code à distance sur une machine dont l'utilisateur aurait ouvert un fichier RTF (texte enrichi) spécialement conçu via Word ou la visionneuse d'Outlook (activée par défaut), contenant un code malveillant. La firme de Redmond indique que cette faille a d'ores et déjà été exploitée chez certains utilisateurs de Word 2010. Elle permet de récupérer les mêmes privilèges utilisateur que celui qui est attaqué.
Pour télécharger le palliatif mis en place par Microsoft en attendant un vrai correctif, il suffit de se rendre sur cette page et de lancer l'exécutable mis à disposition. Il permet de désactiver l'ouverture des fichiers au format RTF au sein de Word. La firme met aussi à disposition un autre fichier, qui permet de son côté de réactiver cette lecture.
Commentaires (64)
#1
Ça va la version Word 1.0 dont le code source vient d’être ouvert n’est pas touchée
" />
#2
Espérons qu’Office 2003 bénéficie du patch à temps !
#3
#4
Avec les logiciels MS, même une faille dans la lecture d’un fichier .TXT pourrait permettre à votre PC d’être contrôlé à distance…
#5
Je n’avais jamais entendu parler de ce format RTF avant aujourd’hui.
Quel est son avantage par rapport à un doc ou docx ?
#6
#7
#8
RTFM(alware)
" />
#9
#10
Contrôler un PC à distance grace à un fichier RTF. Microsoft ne cesera jamais de m’étonner.
" />
#11
Il y a encore des gens qui sont sur Microsoft Office ?
C’est pas les suites gratuites qui manquent pourtant …
#12
#13
#14
#15
De plus en plus troué ton OS. Mais bon pour jouer c’est le meilleur donc je serais avec toi jusqu’a ce que Steam OS soit au petit oignons.
#16
#17
#18
#19
#20
Pour télécharger le palliatif … Il permet de désactiver l’ouverture des fichiers au format RTF au sein de Word.
on me dit que le correctif pour Internet Explorer permettant de désactiver l’ouverture des fichiers HTML est également prêt
entre parenthèse, quid des messages Outlook qui arrivent en RTF ? (Outlook 2010 supporte nativement les formats texte brut, html et RTF) : ils sont convertis à la volée en texte brut ?
#21
#22
#23
#24
#25
Contrôler un PC à distance grace à un fichier RTF. Microsoft ne cesera jamais de m’étonner.
à partir du momnet où tu as un buffer overflow qui te permet d’executer du code arbitraire, il suffit que ton code soit un tojan et c’est reglé.
Le seul truc vraiment criticalbe dans cette histoire, c’est l’ouverture automatique dans outlook.
Quelle bonne idée d’ouvrir automatiquement tout type de fichier dans un outil qui sert à recevoir des données de l’extérieur…
Un peu comme si tu goutais tout ce qu’on te montre pour savoir ce que c’est : “Pas de chance, c’était du cyanure…”
#26
#27
Et surtout gratuit ne veut pas dire exempt de bugs/failles ! C’est juste qu’il y’a un suivi 1000x moins poussé pour les rapporter.
Ca me rappelle les personnes qui juraient que les virus pour Mac n’existaient pas.
#28
#29
#30
#31
#32
#33
Si vous voulez plus d’info sur le bidule, c’est ici
#34
#35
#36
#37
#38
Par défaut, il n’ouvre pas les fichiers, il faut quand même cliquer pour autoriser l’affichage (en tout cas sur outlok 2007)
Ok, je ne savais pas, je me suis basé sur les commentaires pour dire cela.
Automatique ou pas, on ne se méfiait pas d’un doc RTF. Quoi que… c’est devenu tellement rare, que j’aurais pas ouvert. Mais bon.
C’est vrai qu’on a tendance à moins se méfier. Mais bon, on l’a bien cherché aussi… dans l’absolu, rien qu’au taf, 90% des courriels que je recois sont au format rtf ou html alors qu’il n’y a que du texte.
Et pour les autres 10%, je dirais que 9% c’est pour des conneries, genre mettre une image au milieu du message pour illustrer une “bonne blague”
:‘(
Mais en effet, si Outlook exécute les .BAT ou les .EXE en auto, c’est pas gagné
Je n’ia pas poussé jusque là, même si je n’ai pas une très haute opinion de la plupars des client de courriel, je pense qu’en 2014, plus aucun ne se permet ce genre de fantasies tout de même
#39
#40
#41
#42
#43
Comme quoi un RTF n’est pas nuisible que pour les yeux
#44
#45
Tant qu’on ne trouve pas de faille dans N++, le monde peux bruler je m’en cogne complet
" /> 
" />
#46
extrait du bulletin Microsoft :
" />
" />
The vulnerability could allow remote code execution if a user (…) previews or opens a specially crafted RTF email message in Microsoft Outlook while using Microsoft Word as the email viewer.
… donc si je comprends bien il faut expressément utiliser Word en tant que visualiseur de message pour être attaquable, ce qui sousentendrait que le parseur RTF par défaut d’Outlook lui ne serait pas impacté … ou pas.
Cette interprétation est un peu différente de la version transcrite dans la news PCInpact qui semble au contraire penser que le pré visualiseur par défaut d’Outlook est attaquable : quelle version est la bonne ?
#47
Bon là déjà tout le monde est informé, on n’ouvre plus de fichier RTF jusqu’à nouvel ordre
" />
#48
#49
#50
#51
#52
#53
#54
#55
#56
#57
Ceci prouve que vous êtes tous d’ignobles mauvaises langues sur PCI !
" />
" />
Vous avez critiqué et recritiqué sans vergogne Christine Anéfé qui voulait protéger les ordinateurs avec Open Office.
Et bien là vous avez l’air malin bandes de comiques. C’est elle qui avait raison : Open Office protège les ordinateurs contre le bug de Microsoft Office.
Elle, elle savait !
Si vous ouvrez votre fichier rtf avec LibreOffice vous ne risquez rien.
C’est juste que la pauvrette ne savait pas bien le dire, et surtout que vous n’avez pas voulu l’écouter.
#58
#59
#60
#61
#62
#63