Cette faille avait fait couler beaucoup d'encre l'été dernier en étant au centre d'une rixe entre Mozilla et Microsoft dans le cadre d'une vulnérabilité affectant Firefox, avant que tous deux ne reconnaissent leurs torts respectifs. Plus récemment, c'était le lecteur PDF d'Adobe qui avait eu maille à partir avec cette faille et nombre d'experts prédisaient que la liste des applications vulnérables allaient s'allonger rapidement si Microsoft ne réagissait pas comme il l'avait laissé entendre (plus de détails dans notre actualité).
Chose promise, chose enfin due
Ladite mise à jour corrige ainsi une vulnérabilité d'exécution de code à distance liée à la façon dont le shell Windows traite les URI spécialement conçus qui lui sont transmis précise Microsoft dans son bulletin de sécurité critique MS07-61, et de poursuivre, si le shell Windows n'a pas procédé à une validation suffisante de ces URI, un attaquant pourrait exploiter cette vulnérabilité et exécuter du code arbitraire.
Cette mise à jour s'adresse à toutes les éditions de Windows XP et Windows Server 2003 où le navigateur Internet Explorer 7 est présent (pas Vista) car c'est son installation qui a modifié la manière dont le système gère les URI et en particulier, la fonction API ShellExecute() de Windows shell32. IE7 ou pas, la mise à jour est toutefois très fortement conseillée par Microsoft.
Bien que qualifié d'important et non pas critique, le deuxième bulletin de sécurité ( MS 07-62 ) n'est cependant pas à négliger même s'il concerne un public plus restreint puisque à destination de Windows Server 2000 et Windows Server 2003. La mise à jour proposée corrige une vulnérabilité d'usurpation de contenu (spoofing) dans les serveurs DNS Windows qui pourrait permettre à un attaquant d'envoyer des réponses spécialement conçues à des requêtes DNS et ainsi d'usurper ou de rediriger du trafic Internet destiné à des emplacements légitimes.
