Pour le CERT-IST, 2008 a consacré, sans surprise, les attaques du poste de travail via le navigateur web. Ces dernières ont touché plus de site que jamais (et notamment des sites très en vue, tel AlloCiné en France, par exemple), s’appuient désormais sur des outils d’attaques plus nombreux et – ceci explique cela – bénéficient d’une intégration beaucoup plus rapide des nouveaux exploits à ces framework d’attaques.

Cependant si c’est effectivement le poste de travail qui est visé via le navigateur, c’est rarement ce dernier qui est en cause : les attaques préfèrent désormais prendre pour cible les logiciels tiers que sont les plugins et autres lecteurs médias (QuickTime, PDF, Flash, etc…).

Ceux-ci sont en effet généralement exclus de la protection DEP de Windows (anti-buffer overflow), qui ne couvre par défaut que les outils Microsoft, et sont aussi plus difficile à patcher. En outre, cela peut, parfois, rendre l’attaque cross-browser : le paradis de l’attaquant !