Microsoft Office : ces vulnérabilités critiques peuvent mettre en danger votre PC et aussi votre Mac

Trois failles détectées dans Microsoft Office peuvent exécuter du code à distance sans aucune action de l’utilisateur. Elles concernent de nombreuses versions sur Windows et macOS et demandent une installation rapide des correctifs.

Le 12 août, Microsoft a publié des correctifs pour trois vulnérabilités, identifiées sous les références CVE-2025-53731, CVE-2025-53740 et CVE-2025-53730. Deux d’entre elles déclenchent du code malveillant dès l’affichage d’un document dans le volet de prévisualisation. Aucun clic, aucune permission spéciale. L’attaque se lance automatiquement. Les éditions Office sorties depuis 2016 sont touchées, y compris LTSC 2021 et 2024 sur Mac. Microsoft n’a observé aucune exploitation active, mais l’éditeur insiste sur l’application immédiate des correctifs.

Des attaques déclenchées dès la prévisualisation d’un fichier

CVE-2025-53731 et CVE-2025-53740 proviennent de problèmes de mémoire appelés « use-after-free ». Ces erreurs permettent à un attaquant d’injecter du code dans l’ordinateur ciblé. Le score CVSS atteint 8,4.

Même passif, l'utilisateur est coupable malgré lui. Pas de clic, pas d’ouverture de fichier. Un simple aperçu du document dans le volet de prévisualisation suffit pour que le code malveillant s’exécute. Les gestes de prudence habituels perdent de leur efficacité.

Les éditions touchées sont nombreuses. Office 2016, Office 2019, LTSC 2021, LTSC 2024 et Microsoft 365 Apps. Les architectures 32 et 64 bits. La même pour les versions Mac LTSC 2021 et 2024. Des millions de postes, personnels et professionnels, sont potentiellement exposés. Certains ordinateurs affichent le volet de prévisualisation par défaut, ce qui simplifie le déclenchement de l’attaque.

Détail important, même sans clic de l’utilisateur, l’exploit peut s’activer. C’est la particularité de ces failles : elles se propagent via un simple affichage et exploitent une fonction standard du logiciel.

Mises à jour diffusées depuis le 12 août

Office 2016 reçoit le correctif KB5002756. Les versions plus récentes installent les correctifs via Click-to-Run. Microsoft recommande toutefois de vérifier que la mise à jour est bien appliquée.

Les chercheurs 0x140ce[LLMole], Li Shuang et willJ, de l’Institut de recherche sur les vulnérabilités, ont identifié ces failles. Zscaler ThreatLabz a également participé à la découverte. Tout s’est fait dans le cadre d’une divulgation coordonnée avec le Microsoft Security Response Center.

L’éditeur conseille aux équipes IT de déployer les correctifs rapidement. Attendre allonge la période pendant laquelle un système peut être ciblé. Dans les entreprises où le déploiement immédiat pose problème, il est préférable de limiter l’accès aux documents externes et de désactiver le volet de prévisualisation dans Outlook et l’Explorateur Windows.

Le site du Microsoft Security Response Center fournit tous les détails : vecteurs d’attaque, systèmes ciblés, scores CVSS, chaînes vectorielles et méthodes pour appliquer les correctifs. Ces informations permettent aux administrateurs de planifier les actions sans attendre et de hiérarchiser les priorités.

Dans certains environnements, le déploiement peut prendre plusieurs heures. Les équipes doivent donc combiner la mise à jour avec une surveillance proactive. Les indicateurs de compromission, l’analyse des logs et le suivi des alertes de sécurité deviennent essentiels.

StatCounter indique que Windows équipe environ 71 % des ordinateurs de bureau et macOS un peu plus de 13 %. Rapporté à un parc mondial estimé à plus de deux milliards de machines, cela correspond à plus de 1,6 milliard d’ordinateurs exposés. Même les machines macOS, en principe moins vulnérables, figurent sur cette liste. Ça en fait, un paquet de machines vulnérables.

Source : Cyber Security News