Découverts et annoncés depuis le lundi 9 avril, ces bogues qui touchent encore une fois la suite bureautique Microsoft Office ont fait surface juste avant la publication du bulletin de sécurité de mars de Microsoft corrigeant huit vulnérabilités.
Découverts et annoncés depuis le lundi 9 avril, ces bogues qui touchent encore une fois la suite bureautique Microsoft Office ont fait surface juste avant la publication du bulletin de sécurité de mars de Microsoft corrigeant huit vulnérabilités.
La découverte de ces bogues est à mettre au profit de l'éditeur McAfee. Ces vulnérabilités ont été discutées depuis le début de la semaine sur plusieurs forums spécialisés en sécurité informatique en particulier sur celui de l'éditeur baptisé McAfee Avert Labs Blog.
Bilan des courses après avoir testé ces bogues, l'éditeur indique qu'ils provoquent tous un plantage en règle de l'application sous la forme d'un déni de service (DoS).
«Il y a une faille dans la façon dont la mémoire est allouée dynamiquement lors de l'exécution d'un programme. Cela permet à un pirate de provoquer un dépassement de tas (heap overflow) ou d'exécuter du code malveillant sur le poste cible», souligne sur son blogue Karthik Raman, un chercheur de McAfee.
Reste qu'une attaque par dépassement de tas est difficile à lancer et l'attaquant doit remplir un impératif : connaître la nature du système d'exploitation de sa cible.
D'après McAfee, le risque reste réel puisque ce bogue peut être exploité en envoyant simplement un fichier contenant du code malveillant à une victime potentielle.
Microsoft a confirmé l'existence de ce trio de bogues, mais n'a pour l'instant pas été informé d'attaques exploitant ces failles. Il n'y a toujours pas de correctif disponible.
Pour Raman, «il s'agit encore de failles du "Jour J" (Zero-day) publiées juste avant le mardi des correctifs (Patch Tuesday), certainement pour maximiser le risque d'exposition à ces vulnérabilités». Certains experts de la sécurité parlent avec ironie de «Zero-day Wednesday» pour mettre en exergue cette étrange simultanéité des découvertes.
Les cybercriminels savent désormais tirer avantage du bulletin de correctifs mensuel de Microsoft. Ils ajustent la publication des découvertes de failles avec cette date cruciale pour l'éditeur et ses clients afin d'en optimiser l'impact éventuel.