Des chercheurs israéliens trouvent 4 failles dans le logiciel Microsoft Office
Selon Check Point, la vulnérabilité de l'outil de création de graphiques existe depuis des années ; les utilisateurs sont invités à mettre à jour leur logiciel
Les chercheurs en cybersécurité de Check Point Software Technologies Ltd. ont déclaré avoir identifié quatre vulnérabilités dans la suite logicielle Microsoft Office, notamment Excel et Office.
Si elles étaient exploitées, ces vulnérabilités permettraient aux pirates d’injecter du code malveillant dans des documents Office, tels que Word, Excel et Outlook, et de les envoyer à des cibles involontaires.
Selon les chercheurs, ces vulnérabilités pourraient permettre aux pirates de prendre le contrôle d’ordinateurs, de lancer une attaque par logiciel rançonneur, d’accéder à des données et de lire des fichiers.
L’origine de ces faiblesses provient d’erreurs de codage dans une fonction de création de graphiques appelée MSGraph, utilisée dans le progiciel Office depuis 1995 – amenant les chercheurs à penser que les failles de sécurité existent « depuis plusieurs années », a déclaré Check Point dans un communiqué.
Les pirates pourraient utiliser la vulnérabilité de cet outil de création de graphiques pour envoyer aux victimes un fichier contenant le graphique malveillant. Une fois que ce fichier est téléchargé et ouvert, la vulnérabilité est déclenchée.
Les chercheurs invitent les utilisateurs de logiciels Windows à effectuer une mise à jour dès que possible. Ils ont informé Microsoft de la vulnérabilité et les problèmes ont maintenant été corrigés, a déclaré Check Point Software.
« Les vulnérabilités découvertes affectent presque tout l’écosystème Microsoft Office. Il est possible d’exécuter une telle attaque sur presque tous les logiciels Office, y compris Word, Outlook et autres », a déclaré Yaniv Balmas, responsable de la cyber-recherche chez Check Point Software.
« Nous avons appris que les vulnérabilités sont dues à des erreurs d’analyse syntaxique commises dans le code hérité. L’un des principaux enseignements de notre recherche est que le code hérité continue d’être un maillon faible de la chaîne de sécurité, en particulier dans les logiciels complexes comme Microsoft Office. Même si nous n’avons trouvé que quatre vulnérabilités sur la surface d’attaque dans notre recherche, on ne peut jamais savoir combien d’autres vulnérabilités comme celles-ci attendent d’être découvertes. Je recommande vivement aux utilisateurs de Windows de mettre à jour leurs logiciels immédiatement, car il existe de nombreux vecteurs d’attaque possibles pour un attaquant qui déclenche les vulnérabilités que nous avons trouvées. »
Microsoft Office est un logiciel couramment utilisé que l’on trouve dans presque tous les ordinateurs de bureau standard.