C'est Zero Day Initiative qui a révélé la faille découverte par Lucas Leong de Trend Micro Security Research. Le problème avait été signalé le 8 mai dernier déjà à Microsoft et devait être annoncé publiquement 120 jours plus tard. Le hic, c'est qu'il n'existe pas encore de patch.

Il s'agit d'un bug 'out-of-bounds write' dans le Microsoft JET Database Engine, utilisé notamment par MS Access et Visual Basic. La faille peut être abusée, lorsqu'une victime ouvre un fichier Jet tout spécialement développé. Ce fichier peut être également ouvert avec l'aide de JavaScript, si une victime est attirée par ce genre de page. Le pirate ne peut cependant exécuter des actions que dans le cadre des droits de l'utilisateur, ce qui limite l'impact, si celui-ci ne dispose pas de droits de gestionnaire.

Zero Day Initiative a pu reproduire le bug dans Windows 7 et estime dès lors que toutes les versions de Windows, y compris Windows Server, sont vulnérables.

Il n'existe provisoirement pas de solution au problème, mais selon The Register, on en prépare une activement chez Microsoft, qui sortirait au plus tôt lors du Patch Tuesday (le deuxième mardi du mois) d'octobre.