Microsoft avertit d'une nouvelle faille 0-Day sur Windows

La firme de Redmond met en garde contre une nouvelle vulnérabilité de type 0-Day découverte sur Windows. On doit cette découverte à deux chercheurs en sécurité, Moti Joseph et Xu Hao qui ont présenté l'exploit à l'occasion de la conférence POC2010.

La faille était connue depuis 15 décembre dernier mais cette fois, Microsoft confirme l'information. Par contre ni Windows 7 ni Server 2008 R2 ne sont affectés par cette vulnérabilité. Du coup, Windows XP, Vista mais également les éditions serveur 2003 et 2008 sont touchés.

Techniquement, la vulnérabilité permet d'exploiter le système de prévisualisation d'un document Word ou PowerPoint. Lors de la lecture en mode « Aperçu », un code arbitraire peut alors être exécuté. Pire, la faille peut même être utilisée via une prévisualisation dans SharePoint.

Microsoft a d'ores et déjà annoncé qu'une mise à jour allait être développée afin de combler la vulnérabilité. Par contre, elle devrait être proposée dans le cadre du prochain patch Tuesday puisque la firme a également indiqué que la rustine de sécurité ne serait pas éditée hors-cycle.