Attention aux images TIFF si vous utilisez Windows, Office et Lync. Une vulnérabilité 0-day dans Microsoft Graphic permet une exécution de code à distance.
Mardi soir, Microsoft a publié un bulletin de sécurité annonçant que certaines versions de Windows, Office et Link sont victimes d’une vulnérabilité 0-day liée à Microsoft Graphic. Le bulletin fait par ailleurs état d’une exploitation active de cette vulnérabilité.
La vulnérabilité se situe au niveau de la gestion des images TIFF par le composant Microsoft Graphic. De fait, cette faille peut être exploitée par un site web piégé ou une image jointe à un email. L’exploitation de cette faille permet d’exécuter du code à distance.
Microsoft annonce également que les produits suivants sont concernés :
- Windows Vista (32 et 64-bit) ;
- Windows Server 2008 (32 et 64-bit, Itanium, Server Core) ;
- Office 2003, 2007, 2010 (32 et 64-bit) ;
- Microsoft Office Compatibility Pack Service Pack 3 ;
- Lync 2010 (32 et 64-bit, Attendee) ;
- Lync 2013 (32 et 64-bit) ;
- Lync Basic 2013 (32 et 64-bit) ;
Microsoft ajoute encore qu’un correctif sera publié par le canal de mise à jour habituel.