L’attaque est particulièrement sournoise : il suffit d’exploiter une obscure caractéristique d’Internet Explorer (le module HTMLTIME) afin de faire exécuter un script à l’ouverture d’un courrier piégé. Ce script peut alors, au choix du pirate, dévoiler tous les emails du compte, donner accès au carnet d’adresse ou même faire télécharger un ver afin d’infecter le PC, ceci en conjonction avec d’autres failles connues.Bien sûr, cette attaque ne fonctionne qu’à partir des webmails tels Yahoo! et Hotmail, et uniquement lorsque ceux-ci sont consultés avec Internet Explorer.Il semblerait cependant que cette faille ne soit pas encore largement exploitée sur le terrain. En outre, Microsoft vient de mettre à jour les filtres HTML de Hotmail afin de contrôler l’utilisation du module HTMLTIME : Hotmail n’est donc plus vulnérable. En revanche, Yahoo! semble n’avoir rien fait à ce sujet, bien que prévenu lui aussi. Enfin, d’autres webmails pourraient très bien être vulnérables eux aussi.Cette vulnérabilité ne pouvant être corrigée par les utilisateurs, il incombe aux responsables des webmails de s’assurer que l’utilisation du module HTML+TIME par Internet Explorer est correctement filtrée (et pas uniquement dans les en-têtes, car Internet Explorer offre une seconde méthode, non standard, pour déclarer des espaces de noms).Les utilisateurs, quand à eux, peuvent toujours choisir d’utiliser un autre navigateur afin de consulter leurs webmail, en attendant que leur fournisseur de service corrige cette faille plutôt inhabituelle.