Souvenez-vous : début Janvier, un problème survenait dans la petite cour relativement tranquille du Media Player. Certains fichiers WMA et WMV trouvés sur les réseaux d'échanges pouvaient en pratique chercher sur un emplacement distant, toute une série de spywares et autres réjouissances malicieuses.

Microsoft s'est rapidement époumoné à expliquer qu'il n'y avait aucune faille dans ces formats et particulièrement dans les DRM, fortement soupçonnés. La firme promettait néanmoins quelques temps après un patch qui permettrait aux utilisateurs de choisir véritablement quelles requêtes du Media Player pourraient être exécutées. Le 15 Février, deux mises à jour du Media Player étaient enfin proposées.

Ben Edelman, chercheur à Harvard, teste alors le patch dans le Media Player 9 sous Windows XP équipé du Service Pack 2, et constate...et bien il n'y a rien à constater : la menace des fichiers vérolés est toujours aussi vive et aucune correction n'a été apportée. Ed Bott, auteur de livres dans la collection Microsoft Press, confirme lui aussi l'inefficacité de la mise à jour.

Interrogé sur le sujet par eWeek, Microsoft répond que Ben Edelman et Ed Bott ont testé la mauvaise mise à jour et qu'il fallait tester celle du Media Player 10. "Inadéquat" répond Ed Bott, cherchant la logique d'un patch pour Media Player 9 si dans tous les cas il faut installer la dixième version ! Le problème reste donc le même : seule une fenêtre apparaît pour demander confirmation avant que les spywares arrivent, alors qu'il faudrait que cette fenêtre vienne uniquement à la suite d'une procédure lancée réellement par l'utilisateur.

Marcus Matthias, responsable chez Microsoft, a confirmé que les utilisateurs du Media Player dans sa version 9 restaient exposés au risque. La mise à jour introduite pour la version 10 bloque les pop-up et prévient simplement l'utilisateur que le lecteur souhaite chercher une licence sur une adresse qui sera affichée. Enfin, et fort heureusement, le lecteur demande l'autorisation de se rendre à destination. Matthias confirme tout de même qu'une "vraie" mise à jour est en préparation pour Media Player 9.

Ed Bott n'est par contre ces critiques émises envers l'attitude de Redmond qu'il juge trouble : "Cet épisode illustre la difficulté d'attirer l'attention de la bonne personne quand une faille de sécurité apparaît. Et même après que vous ayez été avertis, il faut qu'un décisionnaire reconnaisse l'existence du problème, comprenne le problème et force l'organisation à sortir le bon patch, et tout de suite"

Bott en rajoute une couche en déclarant que, selon lui, la plus grosse faille dans le mécanisme de mise à jour chez Microsoft est qu'aucun membre de l'équipe chargée de ces questions n'a pris soin de téléphoner à Bel Edelman, Eric L. Howes ou lui-même. Cette équipe a perdu beaucoup de temps à rechercher le problème alors que ces trois personnes connaissaient la faille et auraient pu donc faire gagner à Microsoft plusieurs semaines.

Autre problème : le Media Player semble faire l'objet d'un cycle de mises à jour complètement différent de celui de Windows. Or, le Player est un élément de Windows, en tout cas pour l'instant. Ed Bott estime que dès lors, les mises à jour du Media Player devraient se voir appliquer les mêmes règles que celles comblant les failles de Windows, avec notamment la possibilité de communiquer avec le MSRC (Microsoft Security Response Center).

Bott et Edelman critiquent enfin la documentation quasi inexistante entourant ces patchs et l'ensemble de l'attitude de Microsoft sur ces corrections : "Le peu d'explication et de documentation fait qu'il est difficile de penser qu'ils s'inquiètent réellement de résoudre les problèmes des utilisateurs ici"