Un nouvel exploit « zero day » a été découvert sur la plupart des versions de Windows (2000, server 2003, XP sous leurs diverses variantes). Elle exploite une nouvelle vulnérabilité dans le XML Core Services 4.0 de Microsoft, service qui est utilisé dans Jscript, VBScrit et VisualStudio 6.0. Les détails sont volontairement vagues, on sait simplement que la faille concerne une erreur dans le contrôle ActiveX XMLHTTP 4.0. Elle permet par exemple via Internet Explorer 6 ou 7 de faire exécuter du code arbitraire sur la machine de l’utilisateur à la simple visite d’un site piégé. À ce titre, le site spécialisé dans la sécurité informatique Sécunia souligne que « cette vulnérabilité est déjà activement exploitée ».


Microsoft indique simplement que l’enquête se poursuit sur ce problème et qu’une mise à jour sera disponible à terme, soit dans le train de mise à jour soit hors de ce cycle si bien huilé. « Tout dépendra des besoins des consommateurs ». La faille a cependant été jugée extrêmement critique par Secunia. Microsoft indique ainsi que l’attaquant peut avoir les mêmes droits que l’utilisateur. L’éditeur recommande avant tout de ne pas cliquer sur les liens de sources douteuses, intégrés dans les mails... Du côté du CERT, il est recommandé de désactiver les contrôles ActiveX dans les zones de sécurité du navigateur ou bien, pour les plus expérimentés, de désactiver l’objet XMLHTTP 4.0 dans IE.