A Microsoft új Word biztonsági rést fedezett fel, amelyben a támadó távoli kódfuttatást okozhat, ha megtéveszti a felhasználót egy rosszindulatú RTF-dokumentum vagy az Outlook e-mail üzenet megnyitásával, ha a Word e-mail megjelenítőként van beállítva. A vállalat úgy véli, hogy ezt a sebezhetőséget aktívan alkalmazzák a Word 2010 elleni „korlátozott, célzott támadásokban”.
A Word 2010 elleni jelenlegi támadások ellenére a Microsoft kijelenti, hogy a Word sebezhetősége a vállalati szövegszerkesztő szoftver összes támogatott verzióját érinti. Amíg a javítás nem telepíthető, a cég kiadott egy „Fix it” automatizálást a felhasználók számára, amely megakadályozza a Word-t, hogy RTF fájlokat nyisson meg. A javítás alkalmazása után a felhasználók továbbra is megnyithatják az RTF-dokumentumokat más szövegszerkesztő szoftverekben, például a Microsoft WordPad, amelyről jelenleg nem gondolják, hogy érzékeny a biztonsági résre.
A Microsoft sürgeti a Word 2003, 2007, 2010, 2013 és a Word for Mac 2011 összes felhasználóját, hogy a javítás fejlesztése közben tegyenek legalább az alábbi műveletek egyikét:
- Alkalmazza a fent említett Fix it megoldást.
- Állítsa be az Office File Block házirendet annak megakadályozására, hogy a Word megnyitja az RTF fájlokat.
- Konfigurálja az Outlookot az e-mailek egyszerű szövegként történő megnyitásához. Mivel a Word az Outlook legfrissebb verzióinak alapértelmezett e-mail nézője, ez megakadályozza az RTF fájlban lévő rosszindulatú kód végrehajtását.
Még nincs szó, amikor a Word sebezhetőségére vonatkozó javítás várható. A Microsoft szoftverfrissítéseket általában minden hónap második kedden (más néven „Patch kedd”) ad ki. Ettől az ütemtervtől való eltérés nélkül a Word sebezhetőségének legkorábbi javítási dátuma április 8., kedd.
