A l’approche de son prochain Patch, Microsoft lance un avertissement concernant la sécurité de plusieurs de ses produits. La firme indique ainsi avoir reçu des informations selon lesquelles des attaques ont tenté d’utiliser des vulnérabilités notamment dans les produits de la gamme Office.
Microsoft a publié un bulletin sécurité faisant état de l’exploitation active d’une vulnérabilité dans le composant Microsoft Graphics qui permet une exécution de code à distance.
La firme précise qu’elle mène actuellement plusieurs investigations concernant des rapports faisant état d’attaques contre certains de ses produits. Sont concernés certaines versions de Windows comme Vista SP2 (également en x64) mais également les suites Office 2003, 2007 et 2010 ou encore l’outil de communication Lync.
D’après Microsoft, ce serait la couche graphique GDI+ de Windows qui serait vulnérable. Cette vulnérabilité pourrait en effet être exploitée par un pirate en faisant afficher sur le poste cible un fichier TIFF corrompu.
Le pirate peut alors récupérer le même niveau de permissions que l’utilisateur trompé.
Cette vulnérabilité, référencée CVE-2013-3906, serait déjà exploitée sur le web et Microsoft prévoit de proposer un pacth correctif très prochainement, probablement lors du prochain Patch Tuesday, le 12 Novembre.
Mais Microsoft précise également que la mise en ligne de cette rustine de sécurité pourrait intervenir hors de ce cycle traditionnel.
