Vulnérabilité dans Microsoft Word

Gestion du document

Référence	CERTFR-2014-ALE-002-001
Titre	Vulnérabilité dans Microsoft Word
Date de la première version	25 mars 2014
Date de la dernière version	09 avril 2014
Source(s)	Bulletin de sécurité Microsoft 2953095 du 24 mars 2014
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque(s)

exécution de code arbitraire à distance

Systèmes affecté(s)

Microsoft Word 2003 Service Pack 3
Microsoft Word 2007 Service Pack 3
Microsoft Word 2010 Service Pack 2 et antérieurs
Microsoft Word 2013
Microsoft Word Viewer
Microsoft Office Compatibility Pack Service Pack 3
Microsoft Office pour Mac 2011
Word Automation Services sur Microsoft SharePoint Server 2010 Service Pack 2 et antérieurs
Word Automation Services on Microsoft SharePoint Server 2013
Microsoft Office Web Apps 2010 Service Pack 2 et antérieurs
Microsoft Office Web Apps Server 2013

Résumé

Une vulnérabilité a été corrigée dans Microsoft Word. Elle avait été largement exploitée avant la mise à disposition du correctif. L'ouverture d'un fichier RTF spécialement conçu dans une version vulnérable de Word engendre une corruption mémoire qui permet à un attaquant de provoquer une exécution de code arbitraire.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

(1) Analyse de la vulnérabilité

http://blogs.technet.com/b/srd/archive/2014/03/24/security-advisory-2953095-recommendation-to-stay-protected-and-for-detections.aspx

(2) Référence CVE CVE-2014-1761

https://www.cve.org/CVERecord?id=CVE-2014-1761

(3) Bulletin de sécurité Microsoft MS14-017 du 8 avril 2014

http://technet.microsoft.com/fr-fr/security-bulletin/ms14-017

Gestion détaillée du document

le 25 mars 2014: version initiale.

le 09 avril 2014: fermeture de l'alerte, suite à la diffusion du correctif par l'éditeur.

Bulletin d'alerte du CERT-FR

Objet: Vulnérabilité dans Microsoft Word