Faille WMF : le patch arrive... bientôt...

Le par  |  11 commentaire(s) Source : Information Week

La dernière faille en date à frapper Windows fait couler beaucoup d’encre sur Internet, et de sueur chez Microsoft.

La dernière faille en date à frapper Windows fait couler beaucoup d’encre sur Internet, et de sueur chez Microsoft.

Comme nous vous l’avons indiqué dans un article précédent, les pirates du Web ont décidé de ne pas pratiquer la trêve des confiseurs. Profitant d’une faille identifiée voici peu de temps sur les versions les plus récentes de Windows, les cyber-malandrins font feu de tout bois, et les sites ‘’offrant’’ des images et vidéos piégées se multiplient comme les poissons et les pains dans les saintes écritures…

Pour mémoire, la faille en question affecte la manière dont l’Explorateur Windows affiche une miniature des images stockées sur votre PC. Ces vignettes portent l’extension ‘’.wmf’’, pour Windows MetaFile, et leur lecture déclenche le lancement d’une DLL (Dynamic Link Library) au fonctionnement fragile.

Dans notre article de référence, nous donnions quelques astuces pour empêcher le recours à cette DLL, mais tout le monde n’a pas envie d’aller farfouiller dans la Base de Registre de Windows, au risque d’y provoquer des dégâts irréversibles en cas de mauvaise manipulation. On attend donc avec une certaine impatience la véritable réponse de Microsoft. Etant donné la proximité du prochain Patch Tuesday, qui tombera le mardi 10 janvier, il y a gros à parier que l’éditeur de Redmond attende jusque là pour mettre à disposition de ses clients le correctif qui va bien.

Les spécialistes de la sécurité informatique rappellent cependant que l’heure est grave, que cette menace peut toucher quasiment toutes les versions de Windows (sont concernées : Windows 2000 SP4, Windows XP SP1/SP2, Windows Server 2000/2003, Windows 98, et Windows Millennium), et que, lors de tests menés par la firme finlandaise de sécurité F-Secure, le lancement de fichiers WMF piégés en ligne de commande a permis d’infecter un PC sans aucune difficulté. En fait, il suffirait que le fichier en question soit téléchargé sur votre machine pour que celle-ci se retrouve en mauvaise posture. Même pas besoin de lancer le moindre programme exécutable…

F-Secure aurait également trouvé une corrélation avec la présence sur les PC de test de Google Desktop, l’auxilaire de recherche sur disque dur de l’éditeur de Mountain View. Google Desktop peut en effet recenser les fichiers portant l’extension ‘’.wmf’’ en temps réel, et, ce faisant, envoie une requête de lancement à la DLL (shimgvw.dll) responsable de tout ce pataquès. A ce stade, le mal est fait, la boîte de Pandore ouverte, et adieu veaux, vaches, cochons, couvées, et sécurité…

Les éditeurs de solutions de sécurité recommandent aux administrateurs réseaux de bloquer tout accès aux fichiers WMF sur les installations dont ils ont la charge, mais cela ressemble par trop à un emplâtre sur une jambe de bois : Windows XP exécutera tout fichier WMF, à condition qu’il porte une extension différente. En d’autres termes, prenez un fichier WMF, donnez lui une extension passe-partout (‘’.gif’’, ‘’.jpg’’, par exemple), et vous voilà doté de l’arme absolue pour exploiter cette maudite faille.

Une firme de San Diego a même publié une vidéo retraçant le processus d’infection au moyen de fichiers WMF piégés.

Espérons que la vidéo elle-même ne le soit pas ! A vos risques et périls…


PS: ma dernière remarque était bien entendu une boutade. La vidéo en question ne présente aucun danger, et son contenu est particulièrement édifiant...



Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #77435
Enfin le cadeau de fin d'nnée tant attendu de la part de Microsoft...
Le #77436
'Tain, j'ai peur !
Le #77440
Donc, en clair, pour les quelques jours qui restent, on desactive la DLL incriminée et on installe un autre viewer comme IrfanView
Le #77448
tu as beau utiliser IrfanView, si tu sélectionnes l'option miniatures dans l'explorateur, tu es fait...
Le #77455
Surtout que trop souvent cette option se sélectionne toute seule même quand tu l'as changée
Le #77456
lol non c bon... le dossier Mes Images, en miniatures, ca donne plein d'icones IrfanView grossies et assez laides...
Le #77476
C?est en effet inquiétant.
Une autre chose me parait très inquiétante dans cette affaire. Comment les spécialistes de la sécurité, ceux qui nous mettent en garde, ceux qui nous donnent tous les bons conseils nécessaires à notre survie sur le net, pourquoi ces braves gens n?ont il pas transmit cette information explosive à Microsoft avant de la révéler au grand public et à tous les apprentis pirates de la planète '
Dans le Washington Post, il est précisé que ceux qui ont révélé la faille ont immédiatement posté sur internet comment l?exploiter. Sont alors apparu des dizaines de sites ou logiciels malveillants.
?Security researchers revealed the flaw on Tuesday and posted instructions online that showed how would-be attackers could exploit the flaw. Within hours, computer virus and spyware authors were using the flaw to distribute malicious programs that could allow them to take over and remotely control afflicted computers.?
http://www.washingtonpost.com/wp-dyn/content/article/2005/12/29/AR2005122901456.html

N?y a t il pas là un certain manquement à l?éthique et une imprudence certaine de la part de ces preux chevaliers ' Ou voudrait-il créer une situation de panique et vendre plein d?antivirus qu?ils ne feraient pas mieux.
Le #77479
Rufus >+1 Très bonne analyse
Le #77500
rufus>yep si c'est avéré c'est clair que c'est mauvais :S
Sinon pour

CHILDREN OF BODOM >l'icone n'a rien avoir... si windows affiche les thumbnails, c'est windows qui le fait, pas ifran view... celui-ci n'est impliqué que qd tu lances le fichier image
=>t'es bezourte qd mm

Note: fait chier, pcq la view thumbnail c'est vachement pratique !
Dreamer
Le #77507
Salut à tous!

Rufus, en fait, la faille en question est connue de Microsoft depuis plusieurs semaines, et MS avait édité un correctif--insuffisant, apparemment--en novembre dernier...

Entre temps, les firmes comme F-Secure ou SunBelt ont fait leur enquête, et ont surtout dénombré les sites qui permettaient d'exploiter la faille, mais sans en donner les détails.

Mais tout circule vite, sur le Web, comme nous ne savons tous...
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]