Společnost Microsoft objevila novou chybu zabezpečení aplikace Word, ve které by útočník mohl způsobit vzdálené spuštění kódu tím, že přiměje uživatele k otevření škodlivého dokumentu RTF nebo e-mailové zprávy aplikace Outlook, pokud je aplikace Word nakonfigurována jako prohlížeč e-mailu. Společnost věří, že tato chyba zabezpečení je aktivně nasazena při „omezených cílených útocích“ proti aplikaci Word 2010.
Navzdory současným útokům zaměřeným proti aplikaci Word 2010 společnost Microsoft uvádí, že zranitelnost aplikace Word ovlivňuje všechny podporované verze podnikového softwaru pro zpracování textu. Dokud nebude možné nasadit opravu, vydala společnost automatizaci „Fix it“ pro uživatele, která brání aplikaci Word v otevírání souborů RTF. Po použití opravy to mohou uživatelé stále otevírat dokumenty RTF v jiném softwaru pro zpracování textu, jako je Microsoft WordPad, o kterém se v současné době nepovažuje za zranitelný.
Společnost Microsoft vyzývá všechny uživatele aplikací Word 2003, 2007, 2010, 2013 a Word pro Mac 2011, aby při vývoji opravy provedli alespoň jednu z následujících akcí:
- Použijte výše uvedené řešení Fix it.
- Nakonfigurujte zásadu blokování souborů Office, aby aplikace Word nemohla otevírat soubory RTF.
- Nakonfigurujte aplikaci Outlook tak, aby otevírala e-maily jako prostý text. Protože Word je výchozí prohlížeč e-mailů pro nejnovější verze aplikace Outlook, zabráníte tak spuštění škodlivého kódu v souboru RTF.
Když se očekává náprava chyby zabezpečení aplikace Word, zatím není slovo zapnuto. Společnost Microsoft obvykle vydává aktualizace softwaru druhé úterý v měsíci (aka „Patch Tuesday“). Bez odchýlení se od tohoto harmonogramu by to znamenalo nejranější datum opravy zranitelnosti aplikace Word v úterý 8. dubna.
