Faille critique des raccourcis Windows : une solution temporaire

Mais pas forcément très pratique... 85
Vincent Hermann
Il y a deux jours, nous vous avons parlé d’une faille existant dans Windows au niveau du Shell. Cette brèche permet l’exécution d’instructions à partir du moment où les ressources graphiques d’un raccourci sont spécialement conçues pour en tirer profit. En attendant qu’un correctif soit publié, Microsoft met à disposition une solution temporaire, solution qui a une contrepartie potentiellement pénible.

La solution est en fait une désactivation de l’affichage des ressources graphiques des raccourcis, puisque c’est là que réside le problème. Sur le bulletin d’informations de l’éditeur on trouve donc un lien qui permet de couper cet affichage, ainsi qu’un autre qui réactive ces ressources (autrement dit l’icône).

Le souci, c’est que tous les raccourcis perdent leurs icônes. Autrement dit, si dans votre barre des tâches vous avez ça … :

windows shell faille raccourcis 

… l’application de la solution temporaire aura cet effet-là :

windows shell faille raccourcis windows shell faille raccourcis  

Il faut préciser que cette faille, lorsqu’elle est exploitée sur un compte possédant des droits administrateurs, est particulièrement dangereuse, car l’installation des pilotes ne va pas réclamer de droits supérieurs et donc ne pas appeler l’UAC (User Account Control). Sur un compte utilisateur classique en revanche, il y aura élévation des privilèges, et donc affichage de la fenêtre UAC. Encore une fois, il faut éviter d’utiliser un compte administrateur, c’est l’une des bases de la sécurité.

La solution temporaire de Microsoft se présente sous la forme d’un paquet MSI que l’on peut télécharger depuis cette page. À noter qu’un autre paquet est disponible, qui lui remet les choses en place.