Trou I.E.7 : exploitation minière

Plusieurs chercheurs et éditeurs d’antivirus commentent abondamment la divulgation d’un exploit minant Internet Explorer (MS09-002). La première apparition de ce vecteur d’attaque prenait l’apparence d’un document Word expédié en « pièce attachée » explique une rapide description de l’Avert. Ce n’est pourtant en aucun cas une vulnérabilité liée au traitement de texte, mais bel et bien un code provoquant une corruption mémoire via le navigateur Web. Le Sans donne une première analyse du code et décrit succinctement les mécanismes de ce « dropper », tandis que le blog de l’équipe Snort s’étend un peu plus sur les fonctions générales de ce virus ainsi que sur sa provenance manifestement Chinoise. Le développement de cet exploit quelques jours à peine après le « patch Tuesday » du mois de février indique clairement le fruit d’un travail de reverse engineering entamé à partir de l’analyse du code de la rustine. Les principaux chasseurs de virus, qui reconnaissent pour l’instant le caractère très « localisé » et limité de cette menace, n’écartent pas le risque que ce virus pourrait rapidement se retrouver dans la collection des panoplies d’exploits équipant les « kits » de fabrication d’outils d’attaque.