Comme il fallait s'y attendre, la période des fêtes a donné des idées aux hackers. Résultat ... un nouveau "zero day".

Zero day est le terme utilisé par les américains pour décrire une vulnérabilité qui a été exploitée avant qu'un correctif de sécurité ne soit disponible. C'est le pire scénario que les éditeurs de logiciel doivent affronter. Il faut en effet développer un correctif dans l'urgence alors que la presse s'en fait les échos.

Cette dernière faille me parrait suffisament sérieuse pour prendre le temps d'en parler. En effet, elle permettrait d'exécuter du code lors de la lecture d'un fichier WMF (pour information, c'est le format des cliparts de Word). Je ne pense pas que la diffusion par le mail soit une vraie menace. La pluspart du temps les sociétés tierces sont bardées d'anti-virus divers et variés ... souvent avec plusieurs éditeurs.

Le plus grand danger à mon avis est le vecteur d'attaque qui va exploiter le facteur humain ! Qui ne va pas recevoir les voeux d'un collègue en cette période et ouvrir le mail qui contiendra un pointeur vers une belle carte de voeux ? Qui à ce moment là ne cliquera pas sur le lien pour voir ce que le copain oublié aura mis comme message ?... Et hop, voilà comment il est possible d'exploiter la faille.

Trop simple me dira-t-on ? ... à voir.

En attendant, quelques mesures simples peuvent être prises. Elles sont expliquées sur le site de Microsoft:
http://www.microsoft.com/france/technet/securite/avisdesecurite/912840.mspx

Le correctif défintif sera normalement publié Mardi 10 Janvier.
D'ici là surtout n'installez pas des correctifs tiers !!! Bien souvent il installent un cheval de troie ou un malware quelconque.