Une nouvelle vulnérabilité sous Windows vient d’être signalée. Elle concerne, comme d’autres avant elle, le moteur de rendu graphique de l’Explorateur Windows.
Les firmes de sécurité informatiques F-Secure (Finlande) et Sunbelt (Etats-Unis) signalent conjointement une ‘’nouvelle’’ vulnérabilité affectant un format d’image sous Microsoft Windows. Les guillemets autour du mot ‘’nouvelle’’ s’expliquent par le fait que la faille a déjà été mentionnée dans nos colonnes, et que Microsoft avait, à cette occasion, en novembre dernier, présenté un correctif ; on croyait alors l’affaire réglée, mais il semblerait que le problème soit plus coriace que prévu.
En cause dans cette affaire, une DLL (Dynamic Link Library), autrement dit un fichier dont le contenu est modifié en permanence par diverses applications, au gré de leurs besoins. La coupable se nomme ‘’SHIMGVW.DLL’’, et Windows (XP SP2 et Server 2003 dans le cas qui nous occupe) la lance à chaque fois que vous tentez de visualiser une image au moyen de l’auxiliaire de Windows prévu à cet effet.
Cette DLL contient un défaut qui peut autoriser, lors de l’affichage d’une image piégée, l’exécution d’un code malicieux, et la prise de contrôle de votre PC à distance par des gens pas forcément bien intentionnés…
Chez F-Secure comme chez Sunbelt, on a mené sa petite enquête, et on s’est aperçu que de nombreux sites aux motivations douteuses se faisaient une joie d’exploiter cette faiblesse de Windows. Dans certains cas, le fait de cliquer sur une image entraînait l’installation d’un ‘’simple’’ logiciel espion, mais rien n’empêche les pirates du Web de passer à l’étape supérieure, et d’installer sur votre machine vers et virus.
F-Secure donne à cette menace les noms de W32/PFV-Exploit.A, W32/PFV-Exploit.B et W32/PFV-Exploit.C . L’éditeur insiste sur le fait qu'une simple visite au moyen d’Internet Explorer sur un site contenant des images piégées peut suffire à infecter votre PC ; avec Mozilla Firefox, vous devrez cliquer sur l’image, voire la télécharger, pour subir des dommages.
Microsoft s’est saisi de l’affaire et propose une solution temporaire, en attendant un authentique correctif, qui pourrait, ou ne pourrait pas, faire son apparition avant le Patch Tuesday de janvier prochain.
Une modification de la Base de Registre de Windows est nécessaire, et peut être effectuée de deux manières différentes.
La première consiste en une ligne de commande qui désactive la DLL incriminée. Il faut pour cela cliquer sur Démarrer, puis sur Exécuter, puis entrer la commande suivante :
regsvr32 /u shimgvw.dll
Pour réactiver la DLL, il suffit de taper:
regsvr32 shimgvw.dll
Vous pouvez aussi, si vous vous sentez une âme de bricoleur, aller directement dans la Base de Registre de Windows en cliquant sur Démarrer, puis Exécuter, puis en entrant la commande ‘’regedit’’ (sans les guillemets) et en modifiant la clé suivante :
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/SystemFileAssociations/image/
ShellEx/ContextMenuHandlers/ShellImagePreview
Pour désactiver la DLL douteuse, vous devez simplement effacer la valeur par défaut dans la colonne de données.
Pour réactiver la DLL, c’est un peu plus compliqué, et un copier-coller s’impose, histoire de ne pas se tromper : double-cliquez sur la valeur par défaut (elle doit être de type REG_SZ ; au besoin, recréez en une par un clic-droit), et entrez:
{e84fda7c-1d6a-45f6-b725-cb260c236066}
Une sauvegarde du Registre de Windows serait bien sûr une bonne idée avant toute manipulation.
Vous n’aimez pas mettre les mains dans le cambouis ' Aucun problème. Il vous suffit de télécharger les modifications de registre ici (désactivation de la DLL) ou là (réactivation de la DLL). Si vous possédez un logiciel tiers de représentation graphique, il prendra automatiquement le relais de celui de Windows; dans le cas contraire, vous ne pourrez plus visualiser de miniatures de vos images.
A noter que ces correctifs sont en anglais, et peuvent refuser de s'installer sur une machine française. Ajoutons également qu'il vaut mieux effectuer ces manipulations depuis Internet Explorer, sous peine voir une simple ligne s'afficher dans votre navigateur Internet.
En attendant une vraie réponse de la part de Microsoft, cela devrait au moins vous mettre à l’abri des mauvaises surprises.
Les firmes de sécurité informatiques F-Secure (Finlande) et Sunbelt (Etats-Unis) signalent conjointement une ‘’nouvelle’’ vulnérabilité affectant un format d’image sous Microsoft Windows. Les guillemets autour du mot ‘’nouvelle’’ s’expliquent par le fait que la faille a déjà été mentionnée dans nos colonnes, et que Microsoft avait, à cette occasion, en novembre dernier, présenté un correctif ; on croyait alors l’affaire réglée, mais il semblerait que le problème soit plus coriace que prévu.
En cause dans cette affaire, une DLL (Dynamic Link Library), autrement dit un fichier dont le contenu est modifié en permanence par diverses applications, au gré de leurs besoins. La coupable se nomme ‘’SHIMGVW.DLL’’, et Windows (XP SP2 et Server 2003 dans le cas qui nous occupe) la lance à chaque fois que vous tentez de visualiser une image au moyen de l’auxiliaire de Windows prévu à cet effet.
Cette DLL contient un défaut qui peut autoriser, lors de l’affichage d’une image piégée, l’exécution d’un code malicieux, et la prise de contrôle de votre PC à distance par des gens pas forcément bien intentionnés…
Chez F-Secure comme chez Sunbelt, on a mené sa petite enquête, et on s’est aperçu que de nombreux sites aux motivations douteuses se faisaient une joie d’exploiter cette faiblesse de Windows. Dans certains cas, le fait de cliquer sur une image entraînait l’installation d’un ‘’simple’’ logiciel espion, mais rien n’empêche les pirates du Web de passer à l’étape supérieure, et d’installer sur votre machine vers et virus.
F-Secure donne à cette menace les noms de W32/PFV-Exploit.A, W32/PFV-Exploit.B et W32/PFV-Exploit.C . L’éditeur insiste sur le fait qu'une simple visite au moyen d’Internet Explorer sur un site contenant des images piégées peut suffire à infecter votre PC ; avec Mozilla Firefox, vous devrez cliquer sur l’image, voire la télécharger, pour subir des dommages.
Microsoft s’est saisi de l’affaire et propose une solution temporaire, en attendant un authentique correctif, qui pourrait, ou ne pourrait pas, faire son apparition avant le Patch Tuesday de janvier prochain.
Une modification de la Base de Registre de Windows est nécessaire, et peut être effectuée de deux manières différentes.
La première consiste en une ligne de commande qui désactive la DLL incriminée. Il faut pour cela cliquer sur Démarrer, puis sur Exécuter, puis entrer la commande suivante :
regsvr32 /u shimgvw.dll
Pour réactiver la DLL, il suffit de taper:
regsvr32 shimgvw.dll
Vous pouvez aussi, si vous vous sentez une âme de bricoleur, aller directement dans la Base de Registre de Windows en cliquant sur Démarrer, puis Exécuter, puis en entrant la commande ‘’regedit’’ (sans les guillemets) et en modifiant la clé suivante :
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/SystemFileAssociations/image/
ShellEx/ContextMenuHandlers/ShellImagePreview
Pour désactiver la DLL douteuse, vous devez simplement effacer la valeur par défaut dans la colonne de données.
Pour réactiver la DLL, c’est un peu plus compliqué, et un copier-coller s’impose, histoire de ne pas se tromper : double-cliquez sur la valeur par défaut (elle doit être de type REG_SZ ; au besoin, recréez en une par un clic-droit), et entrez:
{e84fda7c-1d6a-45f6-b725-cb260c236066}
Une sauvegarde du Registre de Windows serait bien sûr une bonne idée avant toute manipulation.
Vous n’aimez pas mettre les mains dans le cambouis ' Aucun problème. Il vous suffit de télécharger les modifications de registre ici (désactivation de la DLL) ou là (réactivation de la DLL). Si vous possédez un logiciel tiers de représentation graphique, il prendra automatiquement le relais de celui de Windows; dans le cas contraire, vous ne pourrez plus visualiser de miniatures de vos images.
A noter que ces correctifs sont en anglais, et peuvent refuser de s'installer sur une machine française. Ajoutons également qu'il vaut mieux effectuer ces manipulations depuis Internet Explorer, sous peine voir une simple ligne s'afficher dans votre navigateur Internet.
En attendant une vraie réponse de la part de Microsoft, cela devrait au moins vous mettre à l’abri des mauvaises surprises.
Source :
BetaNews
