Faille WMF sous Windows XP SP2 et Server 2003

Le par  |  10 commentaire(s) Source : BetaNews

Une nouvelle vulnérabilité sous Windows vient d’être signalée.

Une nouvelle vulnérabilité sous Windows vient d’être signalée. Elle concerne, comme d’autres avant elle, le moteur de rendu graphique de l’Explorateur Windows.

Les firmes de sécurité informatiques F-Secure (Finlande) et Sunbelt (Etats-Unis) signalent conjointement une ‘’nouvelle’’ vulnérabilité affectant un format d’image sous Microsoft Windows. Les guillemets autour du mot ‘’nouvelle’’ s’expliquent par le fait que la faille a déjà été mentionnée dans nos colonnes, et que Microsoft avait, à cette occasion, en novembre dernier, présenté un correctif ; on croyait alors l’affaire réglée, mais il semblerait que le problème soit plus coriace que prévu.

En cause dans cette affaire, une DLL (Dynamic Link Library), autrement dit un fichier dont le contenu est modifié en permanence par diverses applications, au gré de leurs besoins. La coupable se nomme ‘’SHIMGVW.DLL’’, et Windows (XP SP2 et Server 2003 dans le cas qui nous occupe) la lance à chaque fois que vous tentez de visualiser une image au moyen de l’auxiliaire de Windows prévu à cet effet.

Cette DLL contient un défaut qui peut autoriser, lors de l’affichage d’une image piégée, l’exécution d’un code malicieux, et la prise de contrôle de votre PC à distance par des gens pas forcément bien intentionnés…

Chez F-Secure comme chez Sunbelt, on a mené sa petite enquête, et on s’est aperçu que de nombreux sites aux motivations douteuses se faisaient une joie d’exploiter cette faiblesse de Windows. Dans certains cas, le fait de cliquer sur une image entraînait l’installation d’un ‘’simple’’ logiciel espion, mais rien n’empêche les pirates du Web de passer à l’étape supérieure, et d’installer sur votre machine vers et virus.

F-Secure donne à cette menace les noms de W32/PFV-Exploit.A, W32/PFV-Exploit.B et W32/PFV-Exploit.C . L’éditeur insiste sur le fait qu'une simple visite au moyen d’Internet Explorer sur un site contenant des images piégées peut suffire à infecter votre PC ; avec Mozilla Firefox, vous devrez cliquer sur l’image, voire la télécharger, pour subir des dommages.

Microsoft s’est saisi de l’affaire et propose une solution temporaire, en attendant un authentique correctif, qui pourrait, ou ne pourrait pas, faire son apparition avant le Patch Tuesday de janvier prochain.

Une modification de la Base de Registre de Windows est nécessaire, et peut être effectuée de deux manières différentes.

La première consiste en une ligne de commande qui désactive la DLL incriminée. Il faut pour cela cliquer sur Démarrer, puis sur Exécuter, puis entrer la commande suivante :

regsvr32 /u shimgvw.dll

Pour réactiver la DLL, il suffit de taper:

regsvr32 shimgvw.dll


Vous pouvez aussi, si vous vous sentez une âme de bricoleur, aller directement dans la Base de Registre de Windows en cliquant sur Démarrer, puis Exécuter, puis en entrant la commande ‘’regedit’’ (sans les guillemets) et en modifiant la clé suivante :

HKEY_LOCAL_MACHINE/SOFTWARE/Classes/SystemFileAssociations/image/
ShellEx/ContextMenuHandlers/ShellImagePreview

Pour désactiver la DLL douteuse, vous devez simplement effacer la valeur par défaut dans la colonne de données.

Pour réactiver la DLL, c’est un peu plus compliqué, et un copier-coller s’impose, histoire de ne pas se tromper : double-cliquez sur la valeur par défaut (elle doit être de type REG_SZ ; au besoin, recréez en une par un clic-droit), et entrez: 

{e84fda7c-1d6a-45f6-b725-cb260c236066}


Une sauvegarde du Registre de Windows serait bien sûr une bonne idée avant toute manipulation.

Vous n’aimez pas mettre les mains dans le cambouis ' Aucun problème. Il vous suffit de télécharger les modifications de registre ici (désactivation de la DLL) ou (réactivation de la DLL). Si vous possédez un logiciel tiers de représentation graphique, il prendra automatiquement le relais de celui de Windows; dans le cas contraire, vous ne pourrez plus visualiser de miniatures de vos images.

A noter que ces correctifs sont en anglais, et peuvent refuser de s'installer sur une machine française. Ajoutons également qu'il vaut mieux effectuer ces manipulations depuis Internet Explorer, sous peine voir une simple ligne s'afficher dans votre navigateur Internet.

En attendant une vraie réponse de la part de Microsoft, cela devrait au moins vous mettre à l’abri des mauvaises surprises.



Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #77297
Quoi ' Encore !'
Le #77323
Allez, une petite dernière pour finir l'année...(attention, ce message est à double sens -voire même triple- !)
Le #77329
Ca m'étonnerai que ca soit la derniere...
Le #77333
Mme Irma n'aurait pas dit mieux.
Le #77337
Qu'est-ce que je disais'!!
Le #77340
Une faille windows ' Oh la routine...
Le #77431
Encore une fois Firefox est plus sûr que IE
Le #77670
phebus, tu as du faire une faute de frappe, je te rectifie...

"Encore une fois les navigateurs alternatifs comme firefox, avantbrowser, opera, etc sont plus sur que IE."

C'est mieux comme ca non '
Le #78085
En cause dans cette affaire, une DLL (Dynamic Link Library), autrement dit un fichier dont le contenu est modifié en permanence par diverses applications, au gré de leurs besoins. La coupable se nomme ??SHIMGVW.DLL??

oula, une DLL, qui est effectivement une librairie dynamiquement liée, est un fichier binaire, donc compilé à un moment donné, et dont le contenu n'est donc PAS DU TOUT modifié en permanence par les applications.
Le #78296
En tout cas, pas banale, cette faille.
Quan on applique l'astuce présentée ci-dessus, les miniatures et le visualisateur d'image ne fonctionnent plus
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]