Selon Emmanuel Jud [Secuser.com], « l'exploitation de la faille nécessite en effet un flux SMTP sortant de la machine cible ». Autrement dit, seul un serveur de messagerie SMTP, peu courant sur les machines des particuliers, permettrait d'exploiter la faille de ZoneAlarm. Sauf si, victime d'un ver ou d'un cheval de Troie aux fonctionnalités de spam, la machine de l'utilisateur est exploitée par défaut comme serveur SMTP. Mais si le ver s'exécute, « cela signifie que l'utilisateur lui a déjà donné sa bénédiction ou a été trompé dans ce but, donc une exploitation de la faille de ZoneAlarm n'apporterait pas grand-chose en plus. C'est ce qui explique sans doute le niveau de danger « modéré » attribué par ZoneLabs », estime en toute logique Emmanuel Jud.

Ce dernier argument est étrange en parlant d'un logiciel justement chargé d'octroyer des “autorisations de passage”. On peut légitiment compter sur un firewall pour prévenir d'une tentative de communication sortante même si on s'est laissé prendre à déclencher un ver ou un cheval de Troie (qui d'ailleurs a pu utiliser une faille d'un autre logiciel pour se déclencher). On espère du pare-feu qu'il limite la casse et serve d'alerte sur un comportement suspect au sein du système.

L'article de VNUnet rappel en plus qu'il est déconseillé d'utiliser des versions antérieures de ZoneAlarm en place d'une mise à jour de la version 4. Ces versions sont elles-même boguées.

VNUnet, Christophe Lagane :

K-OTik, ZoneAlarm 4.x SMTP Processing Buffer Overflow Vulnerability, 19 fév. 2004, eEye Digital Security

Plus d'informations en anglais sur ZoneLabs.com (si votre FAI ne le bloque pas encore).

Secunia, Advisories SA10921, ZoneAlarm SMTP Processing Buffer Overflow Vulnerability, 19 fév. 2004, Riley Hassell, eEye Digital Security