En juin 2009 Microsoft avait publié une mise à jour de sécurité pour les utilisateurs de Mac OS X. Celle-ci permettait d'empêcher l'exécution de code au sein de la suite bureautique Microsoft Office pour Mac. Trois années plus tard, cette vulnérabilité n'aurait cependant pas été comblée sur toutes les machines.
Les experts de Microsoft ont analysé un malware dont l'attaque est divisée en plusieurs étapes ; elle est donc plus ou moins similaire à celles opérées sur le système Windows. Le processus se base sur dépassement de tampon, c'est-à-dire en accédant aux variables d'un programme afin d'écraser la mémoire du processus. Le hacker est ensuite en mesure de déterminer les prochaines instructions à exécuter par celui-ci avant d'immiscer du code exécutable malveillant.
Deux shellcodes sont envoyés par ce malware, c'est-à-dire deux portions code exécutable. Trois fichiers sont créés dont un faux document censé retenir l'attention de la victime pendant que le code est exécuté en tâche de fond. Celui-ci ouvre une brèche pour opérer une communication avec un serveur distant.
« Aucun système d'exploitation sortant des laboratoires est immunisé contre les malwares », conclut ainsi Microsoft même si la vulnérabilité en question se trouve tout de même au sein d'une suite de logiciels développés par ses propres soins. Quoi qu'il en soit, l'éditeur conseille aux utilisateurs de Microsoft Office pour Mac 2004/2008 d'activer les mises à jour. Notons que Mac OS X Lion n'est pas concerné par ce malware.
