Microsoft etterforsker en nulldagssårbarhet i Word som blir utnyttet i rettede angrep mot kunder med Word 2010. Men også Word 2003, 2007 og 2013 skal være berørt av sårbarheten (CVE-2014-1761).
Sårbarheten, som har blitt oppdaget av Google Security Team, åpner for kjøring av vilkårlig kode dersom brukeren åpner en spesielt utformet RTF-fil i en av de berørte Word-utgavene eller i Outlook, dersom Word brukes der til å vise e-post. Det sistnevnte er standardinnstillingen i Outlook 2007 og nyere.
Sårbarheten skyldes korrumpering av systemminnet under Words analyse av spesielt utformede RTF-data, noe som kan utnyttes av en angriper til å kjøre vilkårlig kode med de samme privilegier som det brukeren selv har.
Microsoft har kommet en med en midlertidig FixIt-løsning for dette problemet. Løsningen hindrer at RTF-innhold åpnes i Word.
Microsoft foreslår også at man stiller inn Outlook slik at e-postmeldinger leses som ren tekst. Mer informasjon om dette, finnes på denne siden.
