Décidément, on pourrait presque parler d’aventure à rebondissements, chaque semaine apportant un nouvel élément à une histoire qui a déjà connu plusieurs chapitres. Il s’agit, encore une fois, et probablement la dernière d’ailleurs, de la faille de l’URI qui avait surgi d’abord dans Firefox, avant de faire tourner les regards vers Internet Explorer 7, puis de revenir vers Firefox.

L’histoire semblait s’être terminée sur la reconnaissance du problème par Mozilla via la responsable de la sécurité Window Snyder. Pourtant, les informations les plus récentes auraient tendance à indiquer que l’élément central du problème est Windows, et plus particulièrement la manière dont sont gérés les URI.

La faille est désormais classée sur le site web de l’US-CERT en tant que « Microsoft Windows URI protocol handling vulnerability » et indique en conséquence que l’ensemble du problème vient bien du système d’exploitation. Or, selon les informations fournies, c’est l’installation d’Internet Explorer 7 qui semble causer le trouble, en effectuant un changement dans la gestion des URI justement.

Lorsqu’un navigateur sous Windows rencontre un URI qui ne commence pas par « http:// » et n’est donc pas un URL, il consulte la base de registre pour trouver l’application associée à cet URI. Quand l’application adéquate est trouvée, elle est exécutée et reçoit l’ensemble des paramètres associés. Et c’est là que réside la faille : il est possible de créer un URI accompagné de paramètres spécifiques afin d’obtenir l’ouverture d’un navigateur vers une page web malveillante qui exécutera alors un code arbitraire.

Ainsi donc, Firefox est bel et bien vulnérable, mais uniquement après l’installation d’Internet Explorer 7 qui modifie la manière dont Windows gère les URI. Une équation sympathique avec plusieurs paramètres. La version 2.0.0.6 de Firefox qui a été publiée aujourd’hui corrige en fait en partie le problème de l’URI en bloquant l’interprétation de certains arguments. Une prochaine version bloquera les quelques cas où la faille peut encore être exploitée.

La question qui reste maintenant est la suivante : l’API de Windows qui est au centre du problème sera-t-elle vérifiée et corrigée ?