Exploits « Zero day » : coup double pour I.E.
Le premier épisode a fait la hune des principaux journaux et concerne un trou activeX... un de plus dirait H.D.Moore, l'auteur de Metasploit et instigateur du « mois du bug dans les navigateurs » qui s'est déroulé cet été. Il faut admettre que la « revue de presse » est éloquente : sur Millworm, le source, lui-même extrait du site de ses créateurs Xsec. Le Blog Securiteam y va de son commentaire, le Sans répond par un rapide entrefilet, Sécunia lui offre le grade de « faille extrêmement critique » sans oublier les multiples bulletins d'alertes -dont celui de Microsoft- recensés sur l'enregistrement CVE du Mitre. Beaucoup de bruit, donc, mais pour l'instant, aucune utilisation du code en question du coté des auteurs de virus, spywares et autres membres de cette même engeance. Le second épisode en revanche, ne fait « que » la hune de la ML Full Disclosure, la fierté de l'équipe SunBelt et deux ou trois annonces de la part des sites spécialisés, à commencer par Secunia. L'attaque, qui exploite une faille VML, a en revanche été « découverte dans la nature », exploitée notamment par un malware. Il ne s'agit donc pas d'un virus « en chambre ». La dangerosité d'un défaut n'est pas toujours proportionnelle à sa couverture médiatique. C'est le troisième ZDE qui frappe I.E en l'espace de deux semaines. Il reste encore plus 3 semaines à attendre avant d'espérer voir ces failles se combler.
