Edition du 22/12/2006 - par Marc Olanié

Andres Riancho, étudiant argentin, fait un cadeau de noël à la communauté des chasseurs de failles : un petit outil de fuzzing XML. En d'autres termes, un générateur automatique de « choses » XML aussi peu conformes que possibles. Le fuzzer se nomme Untidy et peut être téléchargé sur Sourceforge. Le logo du projet est absolument adorable.

Ce même jour, Zaraza, qui se montrait plutôt discret ces derniers mois, attire l'attention de la communauté « sécu » sur l'existence d'un exploit XP/2003/Vista. L'attaque utilise une déficience de l'API MessageBox se soldant par une corruption mémoire, explique le chasseur de failles. Alexandre Sotirov, autre chasseur russe réputé, y va également de son alerte. Manifestement, le PoC se trouve dans la nature depuis un certain temps sur les forums russes.