[INFO] Faille WMF : point d'étape
Le
~Jean-Marc~ [MVP]
(réponses transférées sur microsoft.public.fr.securite)
Bonjour à tous,
Il est temps, je crois, de faire le point sur la faille WMF/SHIMGVW.DLL
(SHell IMaGe VieWer) :
1) Cette faille était déjà exploitée depuis environ 15 jours, 1 mois. (avant
que les médias ne s'emparent de l'affaire)
2) Elle est _extrêmement critique_ et concerne I.E., mais aussi FF et d'autres
navigateurs alternatifs. (elle n'attaque pas le navigateur lui-même, mais
un des éléments qui sert à traiter les images)
3) De nombreuses variantes existent. La plupart des éditeurs antivirus ont
mis à jour leurs bases de signature.
Une video démontre le caractère critique du problème et certains pourraient
bien y reconnaître un aperçu de leurs propres soucis :
http://msmvps.com/blogs/docxp/archi...Video.aspx
Microsoft a publié un bulletin d'alerte :
http://www.microsoft.com/technet/se...12840.mspx
Et propose, faute de mieux pour le moment, une solution qui vous couvrira
(mais pas à 100 %) :
A) Démarrer > Exécuter : regsvr32 /u shimgvw.dll
Cette commande va produire des effets secondaires. Les plus notables sont
l'arrêt du fonctionnement de l'aperçu des images et télécopies, la perte de
l'affichage des miniatures ainsi que la perte de la fonctionnalité "pellicule"
dans les dossiers d'images.
Vous ne serez pas couvert par le désenregistrement de shimgvw.dll si vous
ouvrez un WMF dans MSPaint !
La commande inverse est :
regsvr32 shimgvw.dll
Evidemment, elle réactive la faille en question et ne sera à appliquer
qu'une fois le patch sorti. (à moins que le patch ne s'occupe de le faire)
B) Bien sur, mettez à jour votre anti-virus !
Méfiez-vous de TOUS les formats d'image, un WMF dangereux renommé (par
exemple) en GIF ou en JPG reste dangereux !
Pour le moment, cette faille est utilisée pour installer des spywares ou des faux
anti-spywares (qui vous nettoient contre des $$$$$$), il est très possible qu'elle
soit exploitée dans un futur proche pour installer des trojan et d'autres malwares.
Donc, exécutez les 2 points A) et B) et vous serez couverts à 98 %. Les 2 %
restant seront évités avec un peu de bon sens ;-)
Avec un peu de chance, un patch sera diffusé le Mardi 10 Janvier 2006 vers
20 heures. D'ici là, prenez vos précautions !
Pour les techniciens, des infos actualisées régulièrement sont disponibles sur le
blog de F-Secure :
http://www.f-secure.com/weblog/
Bon réveillon !
--
~Jean-Marc~ MVP Shell/User Fr
M'écrire : http://msmvps.com/blogs/docxp/contact.aspx
- http://docxp.mvps.org - http://msmvps.com/blogs/docxp/ -
Aide en DIRECT sur Internet : http://communautes-ms.akro-net.org/
Bonjour à tous,
Il est temps, je crois, de faire le point sur la faille WMF/SHIMGVW.DLL
(SHell IMaGe VieWer) :
1) Cette faille était déjà exploitée depuis environ 15 jours, 1 mois. (avant
que les médias ne s'emparent de l'affaire)
2) Elle est _extrêmement critique_ et concerne I.E., mais aussi FF et d'autres
navigateurs alternatifs. (elle n'attaque pas le navigateur lui-même, mais
un des éléments qui sert à traiter les images)
3) De nombreuses variantes existent. La plupart des éditeurs antivirus ont
mis à jour leurs bases de signature.
Une video démontre le caractère critique du problème et certains pourraient
bien y reconnaître un aperçu de leurs propres soucis :
http://msmvps.com/blogs/docxp/archi...Video.aspx
Microsoft a publié un bulletin d'alerte :
http://www.microsoft.com/technet/se...12840.mspx
Et propose, faute de mieux pour le moment, une solution qui vous couvrira
(mais pas à 100 %) :
A) Démarrer > Exécuter : regsvr32 /u shimgvw.dll
Cette commande va produire des effets secondaires. Les plus notables sont
l'arrêt du fonctionnement de l'aperçu des images et télécopies, la perte de
l'affichage des miniatures ainsi que la perte de la fonctionnalité "pellicule"
dans les dossiers d'images.
Vous ne serez pas couvert par le désenregistrement de shimgvw.dll si vous
ouvrez un WMF dans MSPaint !
La commande inverse est :
regsvr32 shimgvw.dll
Evidemment, elle réactive la faille en question et ne sera à appliquer
qu'une fois le patch sorti. (à moins que le patch ne s'occupe de le faire)
B) Bien sur, mettez à jour votre anti-virus !
Méfiez-vous de TOUS les formats d'image, un WMF dangereux renommé (par
exemple) en GIF ou en JPG reste dangereux !
Pour le moment, cette faille est utilisée pour installer des spywares ou des faux
anti-spywares (qui vous nettoient contre des $$$$$$), il est très possible qu'elle
soit exploitée dans un futur proche pour installer des trojan et d'autres malwares.
Donc, exécutez les 2 points A) et B) et vous serez couverts à 98 %. Les 2 %
restant seront évités avec un peu de bon sens ;-)
Avec un peu de chance, un patch sera diffusé le Mardi 10 Janvier 2006 vers
20 heures. D'ici là, prenez vos précautions !
Pour les techniciens, des infos actualisées régulièrement sont disponibles sur le
blog de F-Secure :
http://www.f-secure.com/weblog/
Bon réveillon !
--
~Jean-Marc~ MVP Shell/User Fr
M'écrire : http://msmvps.com/blogs/docxp/contact.aspx
- http://docxp.mvps.org - http://msmvps.com/blogs/docxp/ -
Aide en DIRECT sur Internet : http://communautes-ms.akro-net.org/
Poser une question
news:%
tu disais :
[...]
Merci Jean Marc
impressionnant
--
Adresse invalide
Merci de répondre sur le forum ...
http://scraper.chez-alice.fr
scraper
fébriles:
Merci pour cette info précise
--
PhilIP
[enlever ~X007 pour répondre]
http://neophil.canalblog.com/
arff, je crois que ce post est arrivé trop tard, j'ai dû réinstallé complet
mon PC avant-hier, une foultitudes de bizarreries arivées mardi dont je n'ai
pû me dépatouiller, pourtant j'ai essayé la panoplie complète :-)
Puisque t'es là, je démarre un fil sur mpwxp
--
JPaul
Pour m'écrire : http://minilien.com/?oBy8NjZq30
~Jean-Marc~ [MVP]
Salut Jean Marc,
Tout d'abord bonne année à toutes et tous.
Ensuite concernant la faille WMF apparemment cela s'est accentué et ce matin
j'ai eu un bulletin d'alerte de Sécuser avec notamment un patch cirrectif
temporaire développé par un expert en sécurité.
Donc ma question est la suivante puis je installer ce patch en attendant la
sortie du patch correctif officiel ou meiux vaut il attendre ?
Merci d'avance de vos réponses.
Cordialement.
Jean Pierre.
P.S : dans un premier temps j'ai appliqué la solution de Jean Marc à savoir
démarrer > exécuter et regsvr32 /u shimgvw.dll.
2006 commence bien.
http://www.secuser.com/communiques/...indows.htm
On va bientôt ne plus pouvoir surfer... M$ a l'air dépassé par les
évènements !
--
Jacquouille