La vulnérabilité touche le composant « Shell » de Windows, celui-là même qui a récemment obligé la Fondation Mozilla à en désactiver le support dans ses navigateurs libres.Cette fois-ci, le Shell (habituellement chargé d’exécuter des commandes au sein de Windows) pourrait être abusé par une page web ou un email et forcé à exécuter un programme quelconque fourni par l’attaquant. La faille est exploitable car ce Shell accepte comme nom de commande a exécuter une référence à un objet COM. Celui-ci peut être à peu près n’importe quoi et surtout il peut être offert par l’attaquant, caché dans une page web ou sous la forme d’une pièce jointe. Dans ce dernier cas il n’est pas nécessaire de double-cliquer sur cette pièce jointe : un simple clic sur le lien truqué lancera la pièce jointe.Concrètement, il suffit donc à l’internaute de cliquer sur un lien déguisé (présenté sur une page web ou dans le texte d’un email HTML), pour être piégé. Cela provoquerait alors l’exécution du programme malicieux sur son PC avec les mêmes droits que ceux de son compte (d’où la nécessité de ne jamais travailler à partir d’un compte administrateur). Microsoft a publié un correctif qu’il est vivement conseillé d’appliquer.