Des chercheurs israéliens découvrent quatre failles de sécurité dans le logiciel Microsoft Office

Les chercheurs en cybersécurité de Check Point Software Technologies Ltd. ont déclaré avoir identifié quatre vulnérabilités dans la suite logicielle Microsoft Office, notamment Excel et Office.

Si elles étaient exploitées, les vulnérabilités permettraient aux pirates d’injecter du code malveillant dans des documents Office, tels que Word, Excel et Outlook, et de les envoyer à des cibles involontaires.

Les vulnérabilités pourraient permettre aux pirates de prendre le contrôle des ordinateurs, de lancer une attaque de ransomware, d’accéder aux données et de lire des fichiers, ont déclaré les chercheurs.

La source des faiblesses provient d’erreurs de codage dans une fonctionnalité de création de graphiques appelée MSGraph qui est utilisée dans le progiciel Office depuis 1995. Cela amène les chercheurs à croire que les failles de sécurité existent « depuis plusieurs années », Check Point a déclaré dans un communiqué.

Les pirates pourraient utiliser la vulnérabilité de cet outil de création de graphiques pour envoyer aux victimes un fichier contenant le graphique malveillant. Une fois ce fichier téléchargé et ouvert, la vulnérabilité est déclenchée.

Les chercheurs exhortent les utilisateurs de logiciels Windows à mettre à jour dès que possible. Ils ont informé Microsoft de la vulnérabilité et les problèmes ont maintenant été résolus, a déclaré Check Point Software.

« Les vulnérabilités trouvées affectent la quasi-totalité de l’écosystème Microsoft Office. Il est possible d’exécuter une telle attaque sur presque tous les logiciels Office, y compris Word, Outlook et autres », a déclaré Yaniv Balmas, responsable de la cyber-recherche chez Check Point Software.

« Nous avons appris que les vulnérabilités sont dues à des erreurs d’analyse commises dans le code hérité. L’un des principaux enseignements de nos recherches est que le code hérité continue d’être un maillon faible de la chaîne de sécurité, en particulier dans les logiciels complexes comme Microsoft Office. Même si nous n’avons trouvé que quatre vulnérabilités sur la surface d’attaque dans nos recherches, on ne peut jamais dire combien d’autres vulnérabilités comme celles-ci traînent encore en attente d’être trouvées. J’exhorte vivement les utilisateurs de Windows à mettre à jour leur logiciel immédiatement, car il existe de nombreux vecteurs d’attaque possibles par un attaquant qui déclenche les vulnérabilités que nous avons trouvées.

Microsoft Office est un logiciel couramment utilisé qui peut être trouvé dans presque tous les ordinateurs de bureau standard.

★★★★★

Laisser un commentaire