La récente découverte d’une vulnérabilité affectant Adobe Reader en est une nouvelle preuve, l’installation du navigateur Internet Explorer 7 pose véritablement problème à plusieurs applications en matière de sécurité, en modifiant la façon dont les URI (Uniform Resource Identifier) sont traités sous Windows XP et Serveur 2003. Le dernier né des OS made in Microsoft, Vista, n’est pas affecté.

Si pour l’heure, aucune exploitation de la faille dite de l’URI n’est à déplorer, après avoir laissé le soin aux éditeurs tiers concernés d’assurer eux-mêmes la sécurité de leurs clients en ajoutant des mécanismes de contrôle dans leurs applications, le leader mondial du logiciel vient de se résoudre à prendre le taureau par les cornes en s’attaquant à la véritable source du problème.

Pour l’exemple, les chercheurs en sécurité informatique ont souvent mentionné une vulnérabilité due à une erreur de traitement au niveau de l’URI applicative mailto:, le problème n’est néanmoins pas spécifique à ce seul URI (news:, nntp:, http:, …). Se faisant, une constante s’impose avec la manipulation d’URI spécialement formée contenant le caractère % et se terminant généralement par l’extension .cmd et .bat.

Selon le scénario typique, lorsqu’un utilisateur clique sur un lien URI, l’application affichant ce lien décide de la marche à suivre. Pour des protocoles sûrs comme mailto: ou http:, cela se résume juste à vérifier le préfixe et lancer ensuite la procédure d’appel à la fonction API ShellExecute() de Windows shell32 qui les prendra en charge. Avec IE6 installé, ShellExecute() passe l’URI à IE qui l’accepte et détermine en son sein sa validité, point final si elle n’est pas considérée comme telle (le navigateur est à ce point imbriqué dans le système). Avec Internet Explorer 7 installé, les choses sont un peu différentes et dans le cas d’une URI mal formée avec le caractère % rejetée par IE7, ShellExecute() tente d’arranger l’URI pour la rendre utilisable. C’est au cours de ce processus que le danger existe avec le risque d’exécution de commandes à distance. Sous Vista, pas de problème, IE7 rejette l’URI mal formée et ShellExecute() fait de même, mais cette fonction n’opère pas comme elle devrait sous Windows XP et Windows Server 2003 et nous pouvons donc la qualifier de vulnérable.

Pour pallier ce problème, Mozilla a par exemple récemment ajouté un niveau de contrôle supplémentaire en amont à son fureteur Firefox, évitant ainsi le passage d’une URI suspecte à la fonction ShellExecute(). Si Microsoft recommande aux autres éditeurs concernés de procéder de la sorte, la position du géant américain semble avoir toutefois évoluée dans le bon sens avec la reconnaissance de sa  » faute « , et ce dernier de lancer les investigations et de promettre prochainement via une mise à jour, une manipulation plus stricte des URI avec la fonction ShellExecute().