** Mise à jour, 02/04/2007 ** Attention, l'utilisation de cette vulnérabilité s'est accrue pendant le weekend : "Toolkit" pour générer son exploit personnalisé, campagne de spams incluant un lien malicieux, ver cherchant à intégrer le code d'exploitation dans les pages Web, etc... (pour les abonnés, voir notre alerte). Microsoft, sur son blog sécurité, planifie la mise à disposition du correctif officiel pour demain, mardi 02 Avril 2007. Préparez les déploiements, c'est une vulnérabilité à corriger sans attendre ...

Une "0-day", décrite en détail dans Ref. Lexsi 8358, vient d'être mise au jour dans Microsoft Windows. Son exploitation permet à un attaquant distant d'exécuter du code arbitraire sur votre système par l'intermédiaire d'un fichier d'icône animé malicieux intégré dans une page Web ou un courriel.

D'après McAfee, cette vulnérabilité serait exploitée "dans la nature", d'autant plus facilement d'ailleurs que son exécution ne provoque apparemment aucun symptôme caractéristique.

TrendMicro a aussi reconnu l'existence de codes malveillants profitant de cette vulnérabilité.