Je suis surpris de n'avoir pas entendu parler de la faille concernant
l'interpretation des images WMF par Windows sur ce newsgroup compte tenu
de sa severité. Pour information, c'est une faille dans un composant
présent dans Windows (versions de 98 à XP SP2 selon mes informations),
qui permet l'execution de code malicieux lors de la préparation d'un
thumbnail d'un fichier WMF malicieux. Microsoft a émis un advisory
concenrant cette faille [1].
Compte tenu de la tendance de Windows à afficher automatiquement des
apercus, la severité de cette faille est trés élevée, d'autant plus
qu'un exploit [2] est disponible.
Il parait que cette faille est deja activement exploitée "in the wild".
Je rappelle à ce sujet qu'un workaround est disponible sur la page de
l'advisory de chez Microsoft [1] (voir dans Suggested Actions /
Workarounds). Je recommande à tous les utilisateurs Windows d'appliquer
ce workaround, mais aussi de RENOMMER la DLL shimgvw.dll aprés avoir
appliqué le workaround, pour empecher un programme de l'appeler
directement. Attention cependant, en renommant la DLL les programmes
linkés à celle-ci risquent de ne plus démarrer. Je ne garantie pas que
cela fonctionne à tous les coups ni que ca ne plantera pas votre
machine, mais cette manip n'a eu aucun effet notable sur le
fonctionnement de la machine Windows XP SP2 sur laquelle j'ai testé.
Ne pas oublier de
remettre le nom original de la DLL et de l'enregistrer à nouveau une
fois qu'un patch est disponible (toujours comme c'est indiqué sur
l'advisory[1] de MS), ce qui n'est pas le cas actuellement
malheureusement.
Je fais aussi remarquer que ce n'est pas parce qu'un fichier ne porte
pas pour extension .WMF qu'il n'est pas dangereux: un fichier WMF
malicieux renommé, par exemple, en .JPG fonctionnera aussi bien.
L'impact de cet exploit peut aussi visiblement être réduit en activant
DEP, la protection contre les buffer overflows de Windows, integrée à
Windows XP SP2. Par défaut elle est activée seulement pour les processus
système, mais l'utilisateur peut choisir de l'étendre à tous les
processus (avec d'éventuels effets de bord). Voir la FAQ dans l'advisory
[1] de MS.
Il y a un vecteur de propagation particulièrement inquiétant dont
personne ne semble parler: MSN Messenger. Ce client a la manie
d'afficher automatiquement un aperçu des fichiers qu'il est sur le point
de recevoir d'un autre ordinateur. Si les quelques conditions
d'exploitation necessaires sont réellement existantes, je pense que vous
imaginez ce qu'un "méchant" peut en faire... un bon gros ver bien
virulent :\
Joyeuses fêtes de fin d'année à tous,
Bertrand
[1] http://www.microsoft.com/technet/security/advisory/912840.mspx
[2] Hé non, je donne pas d'URL. Dommage. :)
