Découverts et annoncés depuis le lundi 9 avril, ces bugs qui touchent encore une fois la suite bureautique Microsoft Office ont fait surface juste avant la publication du bulletin de sécurité de mars de Microsoft corrigeant huit vulnérabilités.
La découverte de ces bugs est à mettre au profit de l’éditeur McAfee. Ces vulnérabilités ont été discutées depuis le début de la semaine sur plusieurs forums spécialisés en sécurité informatique en particulier sur celui de l’éditeur baptisé McAfee Avert Labs blog.
Bilan des courses après avoir testé ces bugs, l’éditeur indique qu’ils provoquent tous un plantage en règle de l’application sous la forme d’un déni de service (DOS).
D’après Karthik Raman, un chercheur de McAfee qui a publié une note sur son blog : « Il y a une faille dans la façon dont la mémoire est allouée dynamiquement lors de l´exécution d’un programme. Cela permet à un pirate de provoquer un dépassement de tas (Heap Overflow) ou d’exécuter du code malveillant sur le poste cible. » Reste qu’une attaque Heap Overflow est difficile à lancer et l’attaquant doit remplir un impératif : connaître la nature de l’OS de sa cible.
D’après McAfee, le risque reste réel puisque ce bug peut être exploité en envoyant simplement un fichier contenant du code malveillant à une victime potentielle.
Microsoft a confirmé l’existence de ce trio de bug, mais n’a pour l’instant pas été informé au sujet d’attaques exploitant ces failles. Reste qu’en l’état il n’y a toujours pas de correctif disponible.
Pour Raman :« Il s’agit encore de failles Zero day publié juste avant le Patch Tuesday, certainement pour maximiser le risque d’exposition à ces vulnérabilités ». Certains experts de la sécurité parlent avec ironie de « Zero-day Wednesday » ou « faille Zero day du mercredi »pour mettre en exergue cette étrange simultanéité des découvertes.
Les cybercriminels savent désormais tirer avantage du patch mensuel de Microsoft. Ils ajustent la publication des découvertes de failles avec cette date cruciale pour l’éditeur et ses clients afin d’en optimiser l’impact éventuel.
Une mise à jour de l'EDR Crowdstrike Falcon a planté une multitude de serveurs et…
Un modèle GPT-4o mini rejoint le catalogue d'OpenAI. De la conception à l'évaluation, il a…
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…