Avertissement Microsoft sur une faille liée à Word

Microsoft a publié le 21 mars dernier un bulletin de sécurité relatif à la découverte d'une faille de sécurité relative au Jet Database Engine, le moteur de base de données utilisé dans Windows et bon nombre des logiciels édités par la firme de Redmond. Quelques attaques, « limitées et très ciblées » auraient été rapporté, ce qui a conduit Microsoft à la publication de cet avertissement. La faille, qui pourrait faire l'objet d'un correctif anticipé, mis en ligne avant la prochaine livraison mensuelle de patchs de sécurité, semble susceptible d'être exploitée au moyen du logiciel de traitement de texte Word.

Au travers de cette vulnérabilité, un attaquant pourrait parvenir à provoquer un dépassement de mémoire tampon, facilitant l'exécution de code arbitraire à distance. Sont concernés les utilisateurs de Word 2000, 2002, 2003, 2007 et 2007 SP1, sous Windows 2000, XP et Server 2003 SP1, indique Microsoft, qui précise que le composant incriminé a été mis à jour dans Server 2003 SP2, Vista et Vista SP1. Localisée au niveau de la bibliothèque Msjet40.dll, cette faille ne peut être exploitée que si la version de ce fichier est antérieure à la référence 4.0.9505.0. Les utilisateurs concernés sont invités à traiter avec prudence les fichiers Word dont ils ne connaissent pas l'origine.