La dernière faille en date à frapper Windows fait couler beaucoup d’encre sur Internet, et de sueur chez Microsoft.
Comme nous vous l’avons indiqué dans un article précédent, les pirates du Web ont décidé de ne pas pratiquer la trêve des confiseurs. Profitant d’une faille identifiée voici peu de temps sur les versions les plus récentes de Windows, les cyber-malandrins font feu de tout bois, et les sites ‘’offrant’’ des images et vidéos piégées se multiplient comme les poissons et les pains dans les saintes écritures…
Pour mémoire, la faille en question affecte la manière dont l’Explorateur Windows affiche une miniature des images stockées sur votre PC. Ces vignettes portent l’extension ‘’.wmf’’, pour Windows MetaFile, et leur lecture déclenche le lancement d’une DLL (Dynamic Link Library) au fonctionnement fragile.
Dans notre article de référence, nous donnions quelques astuces pour empêcher le recours à cette DLL, mais tout le monde n’a pas envie d’aller farfouiller dans la Base de Registre de Windows, au risque d’y provoquer des dégâts irréversibles en cas de mauvaise manipulation. On attend donc avec une certaine impatience la véritable réponse de Microsoft. Etant donné la proximité du prochain Patch Tuesday, qui tombera le mardi 10 janvier, il y a gros à parier que l’éditeur de Redmond attende jusque là pour mettre à disposition de ses clients le correctif qui va bien.
Les spécialistes de la sécurité informatique rappellent cependant que l’heure est grave, que cette menace peut toucher quasiment toutes les versions de Windows (sont concernées : Windows 2000 SP4, Windows XP SP1/SP2, Windows Server 2000/2003, Windows 98, et Windows Millennium), et que, lors de tests menés par la firme finlandaise de sécurité F-Secure, le lancement de fichiers WMF piégés en ligne de commande a permis d’infecter un PC sans aucune difficulté. En fait, il suffirait que le fichier en question soit téléchargé sur votre machine pour que celle-ci se retrouve en mauvaise posture. Même pas besoin de lancer le moindre programme exécutable…
F-Secure aurait également trouvé une corrélation avec la présence sur les PC de test de Google Desktop, l’auxilaire de recherche sur disque dur de l’éditeur de Mountain View. Google Desktop peut en effet recenser les fichiers portant l’extension ‘’.wmf’’ en temps réel, et, ce faisant, envoie une requête de lancement à la DLL (shimgvw.dll) responsable de tout ce pataquès. A ce stade, le mal est fait, la boîte de Pandore ouverte, et adieu veaux, vaches, cochons, couvées, et sécurité…
Les éditeurs de solutions de sécurité recommandent aux administrateurs réseaux de bloquer tout accès aux fichiers WMF sur les installations dont ils ont la charge, mais cela ressemble par trop à un emplâtre sur une jambe de bois : Windows XP exécutera tout fichier WMF, à condition qu’il porte une extension différente. En d’autres termes, prenez un fichier WMF, donnez lui une extension passe-partout (‘’.gif’’, ‘’.jpg’’, par exemple), et vous voilà doté de l’arme absolue pour exploiter cette maudite faille.
Une firme de San Diego a même publié une vidéo retraçant le processus d’infection au moyen de fichiers WMF piégés.
Espérons que la vidéo elle-même ne le soit pas ! A vos risques et périls…
PS: ma dernière remarque était bien entendu une boutade. La vidéo en question ne présente aucun danger, et son contenu est particulièrement édifiant...
Comme nous vous l’avons indiqué dans un article précédent, les pirates du Web ont décidé de ne pas pratiquer la trêve des confiseurs. Profitant d’une faille identifiée voici peu de temps sur les versions les plus récentes de Windows, les cyber-malandrins font feu de tout bois, et les sites ‘’offrant’’ des images et vidéos piégées se multiplient comme les poissons et les pains dans les saintes écritures…
Pour mémoire, la faille en question affecte la manière dont l’Explorateur Windows affiche une miniature des images stockées sur votre PC. Ces vignettes portent l’extension ‘’.wmf’’, pour Windows MetaFile, et leur lecture déclenche le lancement d’une DLL (Dynamic Link Library) au fonctionnement fragile.
Dans notre article de référence, nous donnions quelques astuces pour empêcher le recours à cette DLL, mais tout le monde n’a pas envie d’aller farfouiller dans la Base de Registre de Windows, au risque d’y provoquer des dégâts irréversibles en cas de mauvaise manipulation. On attend donc avec une certaine impatience la véritable réponse de Microsoft. Etant donné la proximité du prochain Patch Tuesday, qui tombera le mardi 10 janvier, il y a gros à parier que l’éditeur de Redmond attende jusque là pour mettre à disposition de ses clients le correctif qui va bien.
Les spécialistes de la sécurité informatique rappellent cependant que l’heure est grave, que cette menace peut toucher quasiment toutes les versions de Windows (sont concernées : Windows 2000 SP4, Windows XP SP1/SP2, Windows Server 2000/2003, Windows 98, et Windows Millennium), et que, lors de tests menés par la firme finlandaise de sécurité F-Secure, le lancement de fichiers WMF piégés en ligne de commande a permis d’infecter un PC sans aucune difficulté. En fait, il suffirait que le fichier en question soit téléchargé sur votre machine pour que celle-ci se retrouve en mauvaise posture. Même pas besoin de lancer le moindre programme exécutable…
F-Secure aurait également trouvé une corrélation avec la présence sur les PC de test de Google Desktop, l’auxilaire de recherche sur disque dur de l’éditeur de Mountain View. Google Desktop peut en effet recenser les fichiers portant l’extension ‘’.wmf’’ en temps réel, et, ce faisant, envoie une requête de lancement à la DLL (shimgvw.dll) responsable de tout ce pataquès. A ce stade, le mal est fait, la boîte de Pandore ouverte, et adieu veaux, vaches, cochons, couvées, et sécurité…
Les éditeurs de solutions de sécurité recommandent aux administrateurs réseaux de bloquer tout accès aux fichiers WMF sur les installations dont ils ont la charge, mais cela ressemble par trop à un emplâtre sur une jambe de bois : Windows XP exécutera tout fichier WMF, à condition qu’il porte une extension différente. En d’autres termes, prenez un fichier WMF, donnez lui une extension passe-partout (‘’.gif’’, ‘’.jpg’’, par exemple), et vous voilà doté de l’arme absolue pour exploiter cette maudite faille.
Une firme de San Diego a même publié une vidéo retraçant le processus d’infection au moyen de fichiers WMF piégés.
Espérons que la vidéo elle-même ne le soit pas ! A vos risques et périls…
PS: ma dernière remarque était bien entendu une boutade. La vidéo en question ne présente aucun danger, et son contenu est particulièrement édifiant...
Source :
Information Week
