Depuis cet été, la faille dite de l’URI ( Uniform Resource Identifier ) fait inlassablement la une de l’actualité sécuritaire sous Windows avec un nombre toujours croissant d’applications qui subissent sa loi, au grès de la publication de preuves de concept voire d’exploits.

La première application à avoir pâti de cette vulnérabilité a été le navigateur Firefox. S’en était suivi une véritable joute entre Mozilla et Microsoft afin d’établir les responsabilités de chacun; torts partagés apparemment même si l’aveu de la firme de Redmond avait été obtenu du bout des lèvres. D’autres applications comme le logiciel de messagerie instantanée Trillian ont par la suite souffert des mêmes problèmes de sécurité mais à chaque fois, Microsoft a laissé le soin aux éditeurs directement concernés de prendre en charge la faille via l’ajout de mesures de contrôle supplémentaires. Une quasi politique de l’autruche à laquelle Microsoft a mis fin à partir du moment où le très utilisé en entreprise lecteur PDF d’Adobe a été touché avec très vite les premiers rapports d’exploitation qui sont tombés (entre temps, Adobe avait prodigué sa mise à jour).

Pour éviter de revivre pareille mésaventure et se trouver une nouvelle fois sous le feu des critiques, Microsoft avait fini par promettre l’arrivée prochaine d’un correctif qui a donc trouvé place dans le Patch Tuesday du mois de novembre.

Dans son 61ème bulletin de sécurité de l’année 2007 ( MS07-061 ) qualifié de critique, Microsoft explique ainsi qu’il existe une vulnérabilité d’exécution de code à distance liée à la façon dont le shell Windows traite certains URI spécialement conçus qui lui sont transmis. Comme évoqué dans une actualité précédente, c’est la fonction API ShellExecute() de Windows shell32 qui est la source des problèmes identifiés, du fait que l’installation d’Internet Explorer 7 modifie la façon de traiter les URI. La mise à jour délivrée par Microsft s’atèle donc à la résolution de ces problèmes concernant un environnement Windows XP ou Server 2003 mais pas Vista.

Tous les experts en sécurité informatique s’accordent désormais sur un point, il est urgent de patcher !

Pour le reste, Microsoft a également publié une mise à jour de sécurité de niveau important destinée à Windows Server 2000 et 2003, afin de combler une vulnérabilité qui pourrait permettre d’orienter des utilisateurs vers des sites malicieux via une usurpation de contenu dans les serveurs DNS. Une petite surprise et un petit regret toutefois pour ce Patch Tuesday, puisque manque à l’appel un patch pour une vulnérabilité identifiée dans un pilote Macrovision présent par défaut sous Windows XP et Server 2003, et pour lequel Microsoft a émis un avis de sécurité . Macrovision propose néanmoins sur son site un correctif .