On pensait avoir tout vu en matière de trous de sécurité chez Windows, mais la réserve de bugs semble inépuisable. La dernière livraison mensuelle des correctifs de Microsoft nous apprend ainsi que sous ses airs d’inutilité, le Wordpad de Windows est en réalité un dangereux criminel ! Un bug ambulant qui n’attend qu’un document textuel piégé pour ouvrir grand les portes de l’ordinateur.Laissons de côté la question de savoir comment il est encore possible aujourd’hui de produire un carnet de notes troué, et intéressons nous plutôt à cette faille sournoise. Elle se situe dans la fonctionnalité de conversion des polices et des tables de caractères. Si un document piégé est ouvert à l’aide du Wordpad vulnérable, le pirate pourra alors exécuter du code sur l’ordinateur avec les droits de l’utilisateur.Paradoxalement, les utilisateurs de Word ont de la chance dans cette affaire : les types de documents que le Wordpad est à même d’ouvrir automatiquement (en double-cliquant dessus) sont justement aussi ceux que Word ouvrira en priorité. Et comme ce dernier n’est pas vulnérable à l’attaque, si le traitement de texte est installé sur le système il sera plus compliqué d’exploiter cette faille.En revanche, cela ne dispense pas d’appliquer le correctif pour autant. Car Word ou pas, n’importe quel type de document pourra être vecteur de l’attaque si l’utilisateur demande à Wordpad de l’ouvrir.Enfin, Windows XP SP2 et Windows Server 2003 sont moins concernés par cette vulnérabilité car le composant troué n’est pas activé par défaut. Il suffit alors de s’assurer que personne ne l’a fait entre temps…Et une faille critique pour Internet Explorer…Accessoirement, le lot de correctif mensuel de décembre corrige aussi une faille critique dans Internet Explorer, mais ça, on a l’habitude. Le plus intéressant dans cette alerte est peut-être alors le jeu de piste que vous propose l’éditeur. Vous voulez savoir si vous devez installer ce correctif ? C’est très simple, il suffit de résoudre la charade posée par Microsoft :Cette mise à jour n’inclut peut-être pas les correctifs publiés depuis la publication des bulletins MS04-004 ou MS04-038. Les clients ayant reçu les correctifs de Microsoft ou de leurs fournisseurs de support depuis la publication des bulletins MS04-004 et MS04-038 ne doivent pas installer cette mise à jour mais doivent plutôt déployer la mise à jour 889669.Vous avez trouvé ? Et bien maintenant à vos patchs !