Office victime de quatre vulnérabilités que Microsoft a couvertes avec Patch Tuesday en mai et juin

Parler d'une suite bureautique, c'est presque le faire comme une obligation d'Office. Mais bien sûr, avec un déploiement aussi important dans des millions d'ordinateurs, les failles de sécurité ne tardent pas à apparaître. Et c'est ce qui se passe avec les applications Office dans Windows 10, victimes de quatre vulnérabilités majeures

Des chercheurs ont découvert que Word, Outlook, Excel et PowerPoint pour Windows 10 sont affectés par quatre failles de sécurité majeures qui peuvent amener un cyber-attaquant à infecter un seul fichier tout ordinateur non protégéQuatre vulnérabilités qui ont été corrigées avec le May Patch Tuesday et le June Patch Tuesday

L'importance de la mise à jour

Le bogue est causé par un composant utilisé pour afficher des graphiques dans diverses applications. Appelé MSGraph, ce composant est présent dans Word, Excel, Outlook ou PowerPoint. Une partie du code hérité de Windows 95 fois qui n'a pas été correctement mis à jour. Il s'agit donc d'un ancien code.

La conséquence de cette faille de sécurité est la présence de quatre vulnérabilités appelées CVE-2021-31174, CVE-2021-31178, CVE-2021- 31179 et CVE-2021 -31939 À travers n'importe lequel d'entre eux, un attaquant pourrait exécuter du code à distance sur notre PC simplement en envoyant un fichier contaminé.

Selon les chercheurs, des vulnérabilités ont été découvertes à l'aide d'une technique appelée fuzzing dans laquelle des données sont ajoutées de manière aléatoire à un composant pour voir où elles pourrait échouer et c'est MSGraph qui a été touché.

Et comme il est présent dans presque toutes les applications Office, insérer du code malveillant dans un fichier et le distribuer pour infecter les ordinateurs n'est pas une chose excessive compliqué.

Après la détection de l'erreur, les découvreurs ont suivi le protocole habituel informant Microsoft de la découverte en temps opportun (le 28 février), de sorte que l'entreprise a publié les correctifs système correspondants Pour les trois premières menaces, qui sont arrivées avec le Patch mardi de mai (le 11) tandis que la dernière a été mise à jour de mardi dernier jusqu'au Patch mardi de juin.

Via | Point de contrôle de la recherche