Microsoft publie dans l’urgence une mise à jour de sécurité pour colmater des failles. Elles affectent une application native de Windows 10 et la suite bureautique Office.
En dehors du traditionnel Patch Tuesday, le géant du logiciel déploie une mise à jour de sécurité. Son objectif est de résoudre des vulnérabilités. Elles concernent la suite bureautique Microsoft Office et l’application Paint 3D. Ces failles existent dans les applications « Microsoft » qui exploitent la bibliothèque Autodesk FBX. De son côté Autodesk a lui-même déployé des correctifs pour les produits concernés le 15 avril dernier.
Dans son avis Microsoft explique qu’un « pirate » est en mesure d’obtenir les mêmes droits que l’utilisateur connecté. Il est donc possible qu’il puisse s’identifier avec des privilèges d’administrateur sur une machine vulnérable. Si cela se produit, il est clair que la situation est catastrophique puisqu’un contrôle total de la machine est possible. A ce sujet Redmond ajoute
“Les vulnérabilités d’exécution de code à distance existent dans les produits Microsoft qui utilisent la bibliothèque FBX lors du traitement de contenus 3D spécialement conçus. Un attaquant qui a exploité avec succès ces vulnérabilités peut obtenir les mêmes droits que l’utilisateur local.”
Paint 3D et Microsoft Office, attention aux fichiers 3D
Il est important de souligner que l’exploitation de ces vulnérabilités demande de déployer un fichier 3D spécifique. Il est donc possible, en attendant le déploiement de la mise à jour de sécurité de se protéger. Il suffit de ne plus ouvrir de fichiers 3D inconnus ou de sources inconnus.
Microsoft explique
“Pour exploiter les vulnérabilités, un attaquant doit envoyer un fichier spécialement conçu contenant du contenu 3D à un utilisateur et de la convaincre de l’ouvrir. Les mises à jour de sécurité répondent à ces vulnérabilités en corrigeant la façon dont le contenu 3D est géré par le logiciel Microsoft.”
Cette vulnérabilité affectant Microsoft Officie et Paint 3D est classé avec une gravité « importante ». Concernant la suite bureautique, elle affecte Office 2016, 2019 et Office 365 Pro Plus.
