Microsoft etterforsker en nulldagssårbarhet i Word som blir utnyttet i rettede angrep mot kunder med Word 2010. Men også Word 2003, 2007 og 2013 skal være berørt av sårbarheten (CVE-2014-1761).

Sårbarheten, som har blitt oppdaget av Google Security Team, åpner for kjøring av vilkårlig kode dersom brukeren åpner en spesielt utformet RTF-fil i en av de berørte Word-utgavene eller i Outlook, dersom Word brukes der til å vise e-post. Det sistnevnte er standardinnstillingen i Outlook 2007 og nyere.

Sårbarheten skyldes korrumpering av systemminnet under Words analyse av spesielt utformede RTF-data, noe som kan utnyttes av en angriper til å kjøre vilkårlig kode med de samme privilegier som det brukeren selv har.

Microsoft har kommet en med en midlertidig FixIt-løsning for dette problemet. Løsningen hindrer at RTF-innhold åpnes i Word.

Microsoft foreslår også at man stiller inn Outlook slik at e-postmeldinger leses som ren tekst. Mer informasjon om dette, finnes på denne siden.