Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Une faille de sécurité présente dans toutes les versions de Word

Comme quoi un RTF n'est pas nuisible que pour les yeux

Une faille de sécurité présente dans toutes les versions de Word

Le 26 mars 2014 à 13h32

Microsoft a publié récemment  un bulletin de sécurité concernant Word, toutes versions confondues. Le traitement de texte est affecté par une faille de sécurité qui permet à un utilisateur malveillant de prendre le contrôle à distance d'un PC grâce à l'envoi de fichiers textes enrichis (RTF).

  office word web app

 

Toutes les versions supportées de Word (2003 à 2013), et par ricochet d'Outlook (2007 à 2013), sont affectées d'une faille de sécurité poussant Microsoft à publier un bulletin de sécurité ainsi qu'un paliatif ou « fix it », en attendant qu'un véritable correctif soit trouvé et déployé à l'ensemble des utilisateurs.

 

Cette faille permet d'éxécuter du code à distance sur une machine dont l'utilisateur aurait ouvert un fichier RTF (texte enrichi) spécialement conçu via Word ou la visionneuse d'Outlook (activée par défaut), contenant un code malveillant. La firme de Redmond indique que cette faille a d'ores et déjà été exploitée chez certains utilisateurs de Word 2010. Elle permet de récupérer les mêmes privilèges utilisateur que celui qui est attaqué.

 

Pour télécharger le palliatif mis en place par Microsoft en attendant un vrai correctif, il suffit de se rendre sur cette page et de lancer l'exécutable mis à disposition. Il permet de désactiver l'ouverture des fichiers au format RTF au sein de Word. La firme met aussi à disposition un autre fichier, qui permet de son côté de réactiver cette lecture.

Commentaires (63)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







jimmy_36 a écrit :



Il y a encore des gens qui sont sur Microsoft Office ?



C’est pas les suites gratuites qui manquent pourtant …





[quote:4967618:youri_1er]



jimmy_36 a écrit :



Il y a encore des gens qui sont sur Microsoft Office ?



C’est pas les suites gratuites qui manquent pourtant …





Il faut admettre qu’aucune n’a les fonctionnalité de MS Office!

Et pourtant j’aime le libre![/quote]

En effet, les capacités d’intégrations de documents externes, de mise en forme, d’ergonomies font de Office une suite inégalable pour le moment. De toute façon une licence office chinoise c’est moins de 10 € perso je me prive pas. J’ai jamais réussi à m’adapter au style de Libre Office.


votre avatar







jimmy_36 a écrit :



Il y a encore des gens qui sont sur Microsoft Office ?



C’est pas les suites gratuites qui manquent pourtant …







Oui. Sorti du traitement de texte, tu ne retrouves pas toujours tes petits sur OO.org et LO.


votre avatar







Chloroplaste a écrit :



Je n’avais jamais entendu parler de ce format RTF avant aujourd’hui.

Quel est son avantage par rapport à un doc ou docx ?





Aujourd’hui on peut l’oublier.

En revanche, il y a 20 ans et un peu plus, quand j’essayais de récupérer, à la disquette, sur mon Macintosh Classic, des fichiers du PS/2 du boulot, c’était à peu près le seul format de fichier connu des 2 plateformes, mis à part bien entendu le format TXT.


votre avatar







sniperdc a écrit :



<img data-src=" /> MS.



De plus en plus troué ton OS. Mais bon pour jouer c’est le meilleur donc je serais avec toi jusqu’a ce que Steam OS soit au petit oignons.





Steam OS, le système qui fait craquer bon nombre de pantalon de Linuxien mais qui fait un flop à côté des autres consoles de salon ?





jimmy_36 a écrit :



Il y a encore des gens qui sont sur Microsoft Office ?



C’est pas les suites gratuites qui manquent pourtant …





Qui manquent de fonctionnalités et qui de surcroit sont pour certaines des usines à gaz.


votre avatar



Pour télécharger le palliatif … Il permet de désactiver l’ouverture des fichiers au format RTF au sein de Word.





on me dit que le correctif pour Internet Explorer permettant de désactiver l’ouverture des fichiers HTML est également prêt <img data-src=" />



entre parenthèse, quid des messages Outlook qui arrivent en RTF ? (Outlook 2010 supporte nativement les formats texte brut, html et RTF) : ils sont convertis à la volée en texte brut ?

votre avatar







jimmy_36 a écrit :



Il y a encore des gens qui sont sur Microsoft Office ?



C’est pas les suites gratuites qui manquent pourtant …



Dredi, c’est toi?<img data-src=" />


votre avatar







Enyths a écrit :



Steam OS, le système qui fait craquer bon nombre de pantalon de Linuxien mais qui fait un flop à côté des autres consoles de salon ?



Qui manquent de fonctionnalités et qui de surcroit sont pour certaines des usines à gaz.







Ah tu compare OS et consoles, intéressant <img data-src=" />


votre avatar







Ricard a écrit :



Contrôler un PC à distance grace à un fichier RTF. Microsoft ne cesera jamais de m’étonner.<img data-src=" />







Regarde ce que l’on peut faire rien qu’avec des manettes de console et une bonne connaissance de l’environnement :youtube.com YouTube


votre avatar







baldodo a écrit :



on me dit que le correctif pour Internet Explorer permettant de désactiver l’ouverture des fichiers HTML est également prêt <img data-src=" />



entre parenthèse, quid des messages Outlook qui arrivent en RTF ? (Outlook 2010 supporte nativement les formats texte brut, html et RTF) : ils sont convertis à la volée en texte brut ?





A priori l’exploitation par la ‘preview’ dans Outlook est théoriquement faisable mais très difficile, il n’y aurait pas encore d’utilisation active de celle-ci. Après si tu l’ouvres avec Word…


votre avatar



Contrôler un PC à distance grace à un fichier RTF. Microsoft ne cesera jamais de m’étonner.





à partir du momnet où tu as un buffer overflow qui te permet d’executer du code arbitraire, il suffit que ton code soit un tojan et c’est reglé.



Le seul truc vraiment criticalbe dans cette histoire, c’est l’ouverture automatique dans outlook.

Quelle bonne idée d’ouvrir automatiquement tout type de fichier dans un outil qui sert à recevoir des données de l’extérieur…

Un peu comme si tu goutais tout ce qu’on te montre pour savoir ce que c’est : “Pas de chance, c’était du cyanure…”

votre avatar







jimmy_36 a écrit :



Il y a encore des gens qui sont sur Microsoft Office ?



C’est pas les suites gratuites qui manquent pourtant …





95% des entreprises et organismes <img data-src=" />



Et je ne parle pas des versions piratées que tu trouves chez certaines.



Gratuit ne veut pas dire facile à utiliser, interropérable avec les suites pro (que ce soit Office ou Lotus, etc…).


votre avatar

Et surtout gratuit ne veut pas dire exempt de bugs/failles ! C’est juste qu’il y’a un suivi 1000x moins poussé pour les rapporter.



Ca me rappelle les personnes qui juraient que les virus pour Mac n’existaient pas.

votre avatar







moi1392 a écrit :



à partir du momnet où tu as un buffer overflow qui te permet d’executer du code arbitraire, il suffit que ton code soit un tojan et c’est reglé.



Le seul truc vraiment criticalbe dans cette histoire, c’est l’ouverture automatique dans outlook.

Quelle bonne idée d’ouvrir automatiquement tout type de fichier dans un outil qui sert à recevoir des données de l’extérieur…

Un peu comme si tu goutais tout ce qu’on te montre pour savoir ce que c’est : “Pas de chance, c’était du cyanure…”





Par défaut, il n’ouvre pas les fichiers, il faut quand même cliquer pour autoriser l’affichage (en tout cas sur outlok 2007)


votre avatar







FunnyD a écrit :



Par défaut, il n’ouvre pas les fichiers, il faut quand même cliquer pour autoriser l’affichage (en tout cas sur outlok 2007)







Le soucis ce n’est pas la visionneuse ? C’est le problème classique de sécurité avec Outlook…


votre avatar







moi1392 a écrit :



à partir du momnet où tu as un buffer overflow qui te permet d’executer du code arbitraire, il suffit que ton code soit un tojan et c’est reglé.



Le seul truc vraiment criticalbe dans cette histoire, c’est l’ouverture automatique dans outlook.

Quelle bonne idée d’ouvrir automatiquement tout type de fichier dans un outil qui sert à recevoir des données de l’extérieur…

Un peu comme si tu goutais tout ce qu’on te montre pour savoir ce que c’est : “Pas de chance, c’était du cyanure…”





Automatique ou pas, on ne se méfiait pas d’un doc RTF. Quoi que… c’est devenu tellement rare, que j’aurais pas ouvert. Mais bon.

Mais en effet, si Outlook exécute les .BAT ou les .EXE en auto, c’est pas gagné <img data-src=" />


votre avatar







caesar a écrit :



… non mosieur ce n’est pas une oeuvre ^^ c’est technique et le technique c’est 25 après l’invention. Et ouais bienvenue dans le monde disney





Je n’arrive pas à trouver de source fiable là-dessus. À défaut je citerai Wikipedia :





En langage courant : « Le logiciel appartient à tout le monde ». C’est une caractéristique juridique qui n’a pas besoin de licence du fait que le logiciel n’a aucun ayant droit. Les droits patrimoniaux concernant ce logiciel disparaissant, il peut alors être utilisé encore plus librement, sous réserve que soient respectés les droits extra-patrimoniaux de ses auteurs. Théoriquement, tout logiciel tombe dans le domaine public une fois les droits d’auteur échus. Toutefois, la durée de protection des droits d’auteur est bien plus longue que le plus ancien des logiciels, par exemple soixante-dix ans après la mort de l’auteur dans tous les pays de l’Union européenne. On ne trouve donc dans le domaine public que des logiciels qui y ont été placés à la suite d’une renonciation aux droits.





Après, les inventions brevetées tombent en effet dans le domaine public 25 ans après la demande de brevet. Comme il n’y a pas de brevet logiciel en Europe, c’est la loi relative au droit d’auteur qui s’applique.



J’avoue ne pas être sûr de mon coup, je peux me tromper, mais envoyez des sources sûres svp.


votre avatar

Ça va la version Word 1.0 dont le code source vient d’être ouvert n’est pas touchée <img data-src=" />

votre avatar

Espérons qu’Office 2003 bénéficie du patch à temps !

votre avatar







Konrad a écrit :



Ça va la version Word 1.0 dont le code source vient d’être ouvert n’est pas touchée <img data-src=" />







Tu parles, c’est bien dommage … On aurait pu voir en combien de temps la communauté aurait corrigé la faille <img data-src=" /><img data-src=" /><img data-src=" />


votre avatar

Avec les logiciels MS, même une faille dans la lecture d’un fichier .TXT pourrait permettre à votre PC d’être contrôlé à distance…

votre avatar

Je n’avais jamais entendu parler de ce format RTF avant aujourd’hui.

Quel est son avantage par rapport à un doc ou docx ?

votre avatar







Chloroplaste a écrit :



Je n’avais jamais entendu parler de ce format RTF avant aujourd’hui.

Quel est son avantage par rapport à un doc ou docx ?







euh bah c’est l’ancêtre, l’ouvert (il me semble) pas proprio (ou peu, crosoft a du implémenter quelques petits trucs maison … d’ou cette faille peut être).



Rich Text Format, un des premiers format de texte mis en forme

la structure du format est horrible par contre ^^



En revanche il y a rien a ma connaissance que ne fait pas le doc (si ce n’est de ne pas etre proprio).


votre avatar







Konrad a écrit :



Ça va la version Word 1.0 dont le code source vient d’être ouvert n’est pas touchée <img data-src=" />









Crysalide a écrit :



Espérons qu’Office 2003 bénéficie du patch à temps !







Merci à vous deux pour cette barre. <img data-src=" />


votre avatar

RTFM(alware) <img data-src=" />

votre avatar







caesar a écrit :



euh bah c’est l’ancêtre, l’ouvert (il me semble) pas proprio (ou peu, crosoft a du implémenter quelques petits trucs maison … d’ou cette faille peut être).



Rich Text Format, un des premiers format de texte mis en forme

la structure du format est horrible par contre ^^



En revanche il y a rien a ma connaissance que ne fait pas le doc (si ce n’est de ne pas etre proprio).







Merci <img data-src=" />


votre avatar

Contrôler un PC à distance grace à un fichier RTF. Microsoft ne cesera jamais de m’étonner.<img data-src=" />

votre avatar

Il y a encore des gens qui sont sur Microsoft Office ?



C’est pas les suites gratuites qui manquent pourtant …

votre avatar







Chloroplaste a écrit :



Je n’avais jamais entendu parler de ce format RTF avant aujourd’hui.

Quel est son avantage par rapport à un doc ou docx ?





C’est un forme bien supporté sous les différent office like!

Personnellement fut un temps je l’utilisait pour m’assurer que mes correspondant pouvaient ouvrir le document transmis quelque soit le logiciel qu’ils utilisaient pour ouvrir le fichier !

En plus y’a une mise en forme qui est globalement très bien conservé !

Maintenant ce type de fichier est assez loin de donner un rendu moderne a un document !


votre avatar







jimmy_36 a écrit :



Il y a encore des gens qui sont sur Microsoft Office ?



C’est pas les suites gratuites qui manquent pourtant …





Il faut admettre qu’aucune n’a les fonctionnalité de MS Office!

Et pourtant j’aime le libre!


votre avatar







Ricard a écrit :



Contrôler un PC à distance grace à un fichier RTF. Microsoft ne cesera jamais de m’étonner.<img data-src=" />







C’est le grand classique , ça marche avec n’importe quoi si le code qui lit le fichier est mal conçu et n’a pas prévu tous les cas d’erreurs.


votre avatar

<img data-src=" /> MS.



De plus en plus troué ton OS. Mais bon pour jouer c’est le meilleur donc je serais avec toi jusqu’a ce que Steam OS soit au petit oignons.

votre avatar

Bon là déjà tout le monde est informé, on n’ouvre plus de fichier RTF jusqu’à nouvel ordre <img data-src=" />

votre avatar







baldodo a écrit :



extrait du bulletin Microsoft :





… donc si je comprends bien il faut expressément utiliser Word en tant que visualiseur de message pour être attaquable, ce qui sousentendrait que le parseur RTF par défaut d’Outlook lui ne serait pas impacté … ou pas. <img data-src=" />



Cette interprétation est un peu différente de la version transcrite dans la news PCInpact qui semble au contraire penser que le pré visualiseur par défaut d’Outlook est attaquable : quelle version est la bonne ? <img data-src=" />







extrait du bulletin Microsoft :



The vulnerability could be exploited through Microsoft Outlook only when using Microsoft Word as the email viewer. Note that by default, Microsoft Word is the email reader in Microsoft Outlook 2007, Microsoft Outlook 2010, and Microsoft Outlook 2013.


votre avatar







TaigaIV a écrit :



extrait du bulletin Microsoft :





damned je m’étais arrêté un poil trop tôt <img data-src=" />


votre avatar







Paulo Paulo a écrit :



Bon là déjà tout le monde est informé, on n’ouvre plus de fichier RTF jusqu’à nouvel ordre <img data-src=" />







je veux pas dire de bêtise mais il me semble qu’un RTF renommé en .doc se laisse ouvrir par Word sans protestation


votre avatar







Yzokras a écrit :



Avec les logiciels MS, même une faille dans la lecture d’un fichier .TXT pourrait permettre à votre PC d’être contrôlé à distance…







En général c’est possible dès qu’un dépassement de tableau est causé, et c’est un type de bug assez anodin…


votre avatar







sniperdc a écrit :



<img data-src=" /> MS.



De plus en plus troué ton OS. Mais bon pour jouer c’est le meilleur donc je serais avec toi jusqu’a ce que Steam OS soit au petit oignons.









Office un OS ????? Bigre, tu faisais partie des gens qui ont conspué Albanel ?


votre avatar







jimmy_36 a écrit :



Il y a encore des gens qui sont sur Microsoft Office ?

C’est pas les suites gratuites qui manquent pourtant …





Je vais rajouter de l’eau au moulin …

Autant pour un usage light ça peut suffire, autant pour une utilisation professionnelle, quand tu pousses l’utilisation par exemple d’Excel, tu peux difficilement faire la même chose sur le tableur OOo/LO.


votre avatar







Yzokras a écrit :



Avec les logiciels MS, même une faille dans la lecture d’un fichier .TXT pourrait permettre à votre PC d’être contrôlé à distance…











doom_Oo7 a écrit :



En général c’est possible dès qu’un dépassement de tableau est causé, et c’est un type de bug assez anodin…







On parle juste d’exécution de code avec les droits de l’utilisateur ou d’escalade de privilège ? Parce que “contrôle de l’ordinateur c’est pas méga clair…



Un jour, peut-être, on lancera des applis avec les seules permissions dont elles ont besoin… (genre lire/exécuter ses fichiers de conf/install et lire/écrire les fichiers donné via l’interface par l’utilisateur…).

Je comprends pourquoi ils font pas des trucs comme ça car c’est au final complètement inutile que word ait le droit de toucher à tout à part à tout perdre quand on lui trouve une faille.


votre avatar







scientifik_u a écrit :



Je vais rajouter de l’eau au moulin …

Autant pour un usage light ça peut suffire, autant pour une utilisation professionnelle, quand tu pousses l’utilisation par exemple d’Excel, tu peux difficilement faire la même chose sur le tableur OOo/LO.







Le grand public n’utilise certainement pas 10% des capacités de MS Office.

Et quand tu es pro il y a certainement mieux à faire et plus fiable qu’une feuille Excel qui traîne sur ton PC.


votre avatar







Yzokras a écrit :



Avec les logiciels MS, même une faille dans la lecture d’un fichier .TXT pourrait permettre à votre PC d’être contrôlé à distance…





TeamViewer a un nouveau concurrent avec cette faille! <img data-src=" />


votre avatar

Ceci prouve que vous êtes tous d’ignobles mauvaises langues sur PCI !



Vous avez critiqué et recritiqué sans vergogne Christine Anéfé qui voulait protéger les ordinateurs avec Open Office.



Et bien là vous avez l’air malin bandes de comiques. C’est elle qui avait raison : Open Office protège les ordinateurs contre le bug de Microsoft Office.

Elle, elle savait !



Si vous ouvrez votre fichier rtf avec LibreOffice vous ne risquez rien. <img data-src=" />



C’est juste que la pauvrette ne savait pas bien le dire, et surtout que vous n’avez pas voulu l’écouter. <img data-src=" />

votre avatar







picatrix a écrit :



Ceci prouve que vous êtes tous d’ignobles mauvaises langues sur PCI !



Vous avez critiqué et recritiqué sans vergogne Christine Anéfé qui voulait protéger les ordinateurs avec Open Office.



Et bien là vous avez l’air malin bandes de comiques. C’est elle qui avait raison : Open Office protège les ordinateurs contre le bug de Microsoft Office.

Elle, elle savait !



Si vous ouvrez votre fichier rtf avec LibreOffice vous ne risquez rien. <img data-src=" />



C’est juste que la pauvrette ne savait pas bien le dire, et surtout que vous n’avez pas voulu l’écouter. <img data-src=" />







C’est toi la mauvaise langue !



Tu penses vraiment que Microsoft laisserait trainer des bugs ? <img data-src=" />





Non, “it’s not a bug, it’s a feature” (powered by NSA) ! Le seul problème avec Christine c’est qu’elle l’a annoncé publiquement… et personne ne l’a cru <img data-src=" />


votre avatar







caesar a écrit :



euh bah c’est l’ancêtre, l’ouvert (il me semble) pas proprio (ou peu, crosoft a du implémenter quelques petits trucs maison … d’ou cette faille peut être).



Rich Text Format, un des premiers format de texte mis en forme

la structure du format est horrible par contre ^^



En revanche il y a rien a ma connaissance que ne fait pas le doc (si ce n’est de ne pas etre proprio).







en fait il est propriétaire et appartient à microsoft… Par contre microsoft n’interdit pas son utilisation


votre avatar







Laskov a écrit :



en fait il est propriétaire et appartient à microsoft… Par contre microsoft n’interdit pas son utilisation







^^ je savais pas, enfin la spécif 1.0 date de 92 donc l’année prochaine c’est du domaine public. (bon c’est la version 1.0 -_-’ )


votre avatar







caesar a écrit :



^^ je savais pas, enfin la spécif 1.0 date de 92 donc l’année prochaine c’est du domaine public. (bon c’est la version 1.0 -_-’ )





Non, le logiciel ne tombe dans le domaine public que 70 ans après la mort de l’auteur. À moins que l’auteur ne renonce expressément à ses droits.


votre avatar







Konrad a écrit :



Non, le logiciel ne tombe dans le domaine public que 70 ans après la mort de l’auteur. À moins que l’auteur ne renonce expressément à ses droits.







… non mosieur ce n’est pas une oeuvre ^^ c’est technique et le technique c’est 25 après l’invention. Et ouais bienvenue dans le monde disney


votre avatar







Parkkatt a écrit :



Et surtout gratuit ne veut pas dire exempt de bugs/failles !





Tout à fait. Et attention à ne pas confondre gratuit et libre non plus.





Parkkatt a écrit :



C’est juste qu’il y’a un suivi 1000x moins poussé pour les rapporter.





Ça dépend des softs. Je peux te garantir que linux a plus de suivi que le soft proprio sorti par mon cousin un soir de beuverie.





Parkkatt a écrit :



Ca me rappelle les personnes qui juraient que les virus pour Mac n’existaient pas.





Pourtant Mac c’est payant. Ou alors les virus sont apparus depuis que c’est devenu gratuit.



Un petit cadeau si tu veux troller un peu plus :

google.fr Google


votre avatar







jimmy_36 a écrit :



Il y a encore des gens qui sont sur Microsoft Office ?



C’est pas les suites gratuites qui manquent pourtant …







Office 2013 + Skydrive t’y goutes une fois et tu lâches plus!

On est bcp dans mon entourage à avoir abandonné les suites gratuites pour cette version plutôt bien sympa!


votre avatar

Si vous voulez plus d’info sur le bidule, c’est ici

votre avatar







Enyths a écrit :



Steam OS, le système qui fait craquer bon nombre de pantalon de Linuxien mais qui fait un flop à côté des autres consoles de salon ?



Qui manquent de fonctionnalités et qui de surcroit sont pour certaines des usines à gaz.







Le grand défit pou Steam sera de convaincre les grands studios de dev’ de porter leur jeux sur Steam Os.



Là c’est loin d’être gagné, Microsoft pourrait arrosé les Editeurs pour empêcher cela.



Une guerre souterraine est déjà à l’oeuvre <img data-src=" />


votre avatar







zefling a écrit :



Regarde ce que l’on peut faire rien qu’avec des manettes de console et une bonne connaissance de l’environnement :youtube.com YouTubeEt des explications sur le TAS ici : http://www.dailymotion.com/video/x1bwow9_speed-game-super-mario-world-super-mari…



(oui oui jeuxvideo.com)


votre avatar







Manu114 a écrit :



Et des explications sur le TAS ici : http://www.dailymotion.com/video/x1bwow9_speed-game-super-mario-world-super-mari…



(oui oui jeuxvideo.com)





épisode très intéressant pour comprendre comment ça marche d’ailleurs <img data-src=" />


votre avatar







ff9098 a écrit :



Ah tu compare OS et consoles, intéressant <img data-src=" />





Mon commentaire est volontairement impertinent.

Cela dit, les Steam Machine dépendent fortement de Steam OS, et pour le moment c’est pas non plus la panacée niveau jeu de salon.





sniperdc a écrit :



Le grand défit pou Steam sera de convaincre les grands studios de dev’ de porter leur jeux sur Steam Os.



Là c’est loin d’être gagné, Microsoft pourrait arrosé les Editeurs pour empêcher cela.



Une guerre souterraine est déjà à l’oeuvre <img data-src=" />





Et surtout, vu le format adopté par Valve, le public visé doit majoritairement placer la machine sous Steam OS dans son salon. Il faut trouver un hardware concurrentiel, sur ce point là il y a eu énormément de déçus sur la dernière présentation.


votre avatar



Par défaut, il n’ouvre pas les fichiers, il faut quand même cliquer pour autoriser l’affichage (en tout cas sur outlok 2007)





Ok, je ne savais pas, je me suis basé sur les commentaires pour dire cela.





Automatique ou pas, on ne se méfiait pas d’un doc RTF. Quoi que… c’est devenu tellement rare, que j’aurais pas ouvert. Mais bon.





C’est vrai qu’on a tendance à moins se méfier. Mais bon, on l’a bien cherché aussi… dans l’absolu, rien qu’au taf, 90% des courriels que je recois sont au format rtf ou html alors qu’il n’y a que du texte.

Et pour les autres 10%, je dirais que 9% c’est pour des conneries, genre mettre une image au milieu du message pour illustrer une “bonne blague”

:‘(





Mais en effet, si Outlook exécute les .BAT ou les .EXE en auto, c’est pas gagné



Je n’ia pas poussé jusque là, même si je n’ai pas une très haute opinion de la plupars des client de courriel, je pense qu’en 2014, plus aucun ne se permet ce genre de fantasies tout de même <img data-src=" />

votre avatar







Enyths a écrit :



Mon commentaire est volontairement impertinent.

Cela dit, les Steam Machine dépendent fortement de Steam OS, et pour le moment c’est pas non plus la panacée niveau jeu de salon.



Et surtout, vu le format adopté par Valve, le public visé doit majoritairement placer la machine sous Steam OS dans son salon. Il faut trouver un hardware concurrentiel, sur ce point là il y a eu énormément de déçus sur la dernière présentation.







+1



J’espère qu’il garderont le format Clavier Souris dans les possibilités de contrôles.

La manette de Steam aurait également pût être une manette de Xbox.


votre avatar







FunnyD a écrit :



Par défaut, il n’ouvre pas les fichiers, il faut quand même cliquer pour autoriser l’affichage (en tout cas sur outlok 2007)







dans la version Pro d’Outlook 2010 ce n’est pas un fichier en pièce jointe, c’est le corps du message au format RTF : le comportement par défaut est de visualiser le format le plus “riche” (HTML ou RTF) du message.


votre avatar







baldodo a écrit :



dans la version Pro d’Outlook 2010 ce n’est pas un fichier en pièce jointe, c’est le corps du message au format RTF : le comportement par défaut est de visualiser le format le plus “riche” (HTML ou RTF) du message.



Tu parles du corps du message? moi1392 parlait, si j’ai bien compris, des fichiers joints. Sinon pour le corps du message, je le fait en HTML à titre perso


votre avatar







heret a écrit :



Aujourd’hui on peut l’oublier.

En revanche, il y a 20 ans et un peu plus, quand j’essayais de récupérer, à la disquette, sur mon Macintosh Classic, des fichiers du PS/2 du boulot, c’était à peu près le seul format de fichier connu des 2 plateformes, mis à part bien entendu le format TXT.





Malheureusement non, on ne peut pas du tout l’oublier…

Le fait est que lorsque tu crée une application qui doit afficher, d’une manière ou d’une haute, un texte quelque peu mis en forme tu as grosso modo 3 choix pour ça :




  1. Tu crée ton composant de zéro, tout à la mano. Bien hard et long pour pas grand chose.

  2. Tu utilises un composant “browser” et tu y met du html+css. C’est un peu le tank pour tuer la mouche. Sachant qu’en plus ça se base sur des appels COM pour instancier le moteur d’IE qui est loin d’être le meilleur, mais surtout tu as toute la couche de configuration d’IE qui se fait sentir en donnant quelques effets de bords.

  3. Tu te base sur le contrôle “richedit” fournit de base dans Windows, qui lit et affiche du RTF uniquement…



    Autrement dit, le RTF est encore une des seules techniques pas trop lourdes d’afficher du texte mis en forme.

    Ce qui m’amène donc à poser la question suivante : est-ce Word qui est touché par la faille ? ou est-ce le composant “richedit” (fournit par les dll “richedXX.dll” ou “msftedit.dll”) ?

    Dans le dernier cas c’est potentiellement toutes les applications qui affichent du texte enrichit qui sont impactées. Ce qui vaut pour toutes les application Win32 qui crée et utilisent des contrôles avec les classes RICHEDIT_CLASS ou MSFTEDIT_CLASS, mais également beaucoup des contrôles de coloration syntaxique qui se basent souvent sur un richedit.

    Et le problème n’est pas dépendant du langage de programmation, en delphi et en .net les contrôles de richtext ne font qu’encapsuler le contrôle de base de Windows.


votre avatar



Comme quoi un RTF n’est pas nuisible que pour les yeux



<img data-src=" /><img data-src=" />

votre avatar







FunnyD a écrit :



Tu parles du corps du message? moi1392 parlait, si j’ai bien compris, des fichiers joints. Sinon pour le corps du message, je le fait en HTML à titre perso







oui mais en fait tu as le choix : si tu l’envoies au format RTF et que ce corps de message est piégé (c’est faisable au moins en théorie) potentiellement ton destinataire va se faire “trouer” c’est à dire exécuter à peu près n’importe quoi avec les droits de ce destinataire sur sa machine … ce qui est déjà beaucoup.



… après je ne sais pas exactement ce qui est attaquable dans le parser RTF.


votre avatar

Tant qu’on ne trouve pas de faille dans N++, le monde peux bruler je m’en cogne complet <img data-src=" /> <img data-src=" />

votre avatar

extrait du bulletin Microsoft :



The vulnerability could allow remote code execution if a user (…) previews or opens a specially crafted RTF email message in Microsoft Outlook while using Microsoft Word as the email viewer.





… donc si je comprends bien il faut expressément utiliser Word en tant que visualiseur de message pour être attaquable, ce qui sousentendrait que le parseur RTF par défaut d’Outlook lui ne serait pas impacté … ou pas. <img data-src=" />



Cette interprétation est un peu différente de la version transcrite dans la news PCInpact qui semble au contraire penser que le pré visualiseur par défaut d’Outlook est attaquable : quelle version est la bonne ? <img data-src=" />

Une faille de sécurité présente dans toutes les versions de Word

Fermer