(réponses transférées sur microsoft.public.fr.securite)
Bonjour à tous,
Il est temps, je crois, de faire le point sur la faille WMF/SHIMGVW.DLL
(SHell IMaGe VieWer) :
1) Cette faille était déjà exploitée depuis environ 15 jours, 1 mois. (avant
que les médias ne s'emparent de l'affaire)
2) Elle est _extrêmement critique_ et concerne I.E., mais aussi FF et d'autres
navigateurs alternatifs. (elle n'attaque pas le navigateur lui-même, mais
un des éléments qui sert à traiter les images)
3) De nombreuses variantes existent. La plupart des éditeurs antivirus ont
mis à jour leurs bases de signature.
Une video démontre le caractère critique du problème et certains pourraient
bien y reconnaître un aperçu de leurs propres soucis :
http://msmvps.com/blogs/docxp/archive/2005/12/30/WMF_Video.aspx
Microsoft a publié un bulletin d'alerte :
http://www.microsoft.com/technet/security/advisory/912840.mspx
Et propose, faute de mieux pour le moment, une solution qui vous couvrira
(mais pas à 100 %) :
A) Démarrer > Exécuter : regsvr32 /u shimgvw.dll
Cette commande va produire des effets secondaires. Les plus notables sont
l'arrêt du fonctionnement de l'aperçu des images et télécopies, la perte de
l'affichage des miniatures ainsi que la perte de la fonctionnalité "pellicule"
dans les dossiers d'images.
Vous ne serez pas couvert par le désenregistrement de shimgvw.dll si vous
ouvrez un WMF dans MSPaint !
La commande inverse est :
regsvr32 shimgvw.dll
Evidemment, elle réactive la faille en question et ne sera à appliquer
qu'une fois le patch sorti. (à moins que le patch ne s'occupe de le faire)
B) Bien sur, mettez à jour votre anti-virus !
Méfiez-vous de TOUS les formats d'image, un WMF dangereux renommé (par
exemple) en GIF ou en JPG reste dangereux !
Pour le moment, cette faille est utilisée pour installer des spywares ou des faux
anti-spywares (qui vous nettoient contre des $$$$$$), il est très possible qu'elle
soit exploitée dans un futur proche pour installer des trojan et d'autres malwares.
Donc, exécutez les 2 points A) et B) et vous serez couverts à 98 %. Les 2 %
restant seront évités avec un peu de bon sens... ;-)
Avec un peu de chance, un patch sera diffusé le Mardi 10 Janvier 2006 vers
20 heures. D'ici là, prenez vos précautions !
Pour les techniciens, des infos actualisées régulièrement sont disponibles sur le
blog de F-Secure :
http://www.f-secure.com/weblog/
Bon réveillon !
--
~Jean-Marc~ MVP Shell/User Fr
M'écrire : http://msmvps.com/blogs/docxp/contact.aspx
- http://docxp.mvps.org - http://msmvps.com/blogs/docxp/ -
Aide en DIRECT sur Internet : http://communautes-ms.akro-net.org/
Tu as raison quand tu dit que les hackers deviennent de plus en plus fort. Et je pense que no FAI ont une responsabilité la dedans. Je pense qu'il devrais avertir ceux que leurs ordinateur à été changé en Zombie par les hackers je pense qu'en vérifiant leurs tuyaux il pourrais détecter les zombie. Et couper la ligne de ceux qui sont infecter jusqu'à ce que l'ordinateur soit nettoyé. Pas d'accord avec toi sur ce point car s'il te coupe la ligne c'est qu'ils ont egalement accès à ton PC et c'est une atteinte à la vie privée des gens défendue par la CNIL ( bien que certains FAI s'en moquent éperdument mais bon ) Car la majorité des néophites qui utilise des ordinateurs ne savent pas qu'ils sont infecté et endure les lenteurs que provoque ses infections. Certain d'entre eux n'ont aucune protection (pas d'antivirus, antispyware, firewall) oui et bien alors là excuses moi mais ce sont des masos bien que moi je suis en connection Kit Wanadoo donc un peu maso aussi ( petite parenthèse pour un collègue non stp Jean Marc je te vois venir n'en dis pas plus merci lol ) Pour ce qui est des compagnies antivirus il ne peuvent pas bien protéger nos ordi contre toutes les variantes d'un virus utilisant cette faille. Microsoft à une responsabilité évidente la dedans ainsi que les sites infectés. Microsoft je ne vois pas pourquoi Microsoft ne peut pas gérer tout ce qui se passe sur le net. Je pense que c'est plutot à nous internautes de nous responsabiliser et surtout nous méfier en ne cliquant pas sur tout ce qui bouge enfin là c'est un avis personnel et qui n'engage que moi mais bon avec un peu d'expérience d'Internet on l'apprend à ces dépends.
Cordialement.
Jean Pierre.
Je pense qu'en éliminant les zombies on pourrais ralentir de facon significative les hackers.
bye
"Jean Pierre" .no spam.fr. rofl> wrote in message news:
Dans le message:%, Denys Levesque a écrit:
bonsoir Jean-Pierre
le best est d'attendre le patch de microsoft car si tu prend autre chose tu n'as aucune garantie sur son efficacité et en plus il y a peut-etre un trou de sécurité encore pire que ce que tu as présentement. alors moi je te suggère d'attendre Microsoft et laisser ton firewall et ton antivirus s'occuper des conséquence de cette faille.
bye
"Jean Pierre" .no spam.fr. rofl> wrote in message news:
Dans le message:O%, ~Jean-Marc~ [MVP] a écrit:
Salutations Michel Doucet, tu nous disais :
Bonjour et meilleurs voeux. Bonjour et meilleurs voeux. Bonjour et meilleurs voeux. Bonjour et meilleurs voeux.
Merci, de même !
La dinde est mal passée ? :-)))
A modérer pour les butineurs alternatifs: "Toujours d'après F-Secure, les utilisateurs d'Internet Explorer sont potentiellement plus menacés que ceux utilisant des navigateurs alternatifs (Firefox, Opera). En effet alors que l'affichage des fichiers WMF est automatique sous Internet Explorer, l'utilisateur est interrogé sur sa volonté d'afficher un tel fichier avec les navigateurs comme Firefox ou Opera."
Oui, si on veut... Et si je lui présente un WMF renommé en JPG à ton FF, il couine ou il avale tout rond ?
Pour ceux que ça intéresse, j'ai mis à jour mon blog avec des infos récentes et particulièrement un patch temporaire non-MS : http://msmvps.com/blogs/docxp/archive/2006/01/02/WMF_NextStep.aspx
Cordialement
Salut Jean Marc,
Concernant ce patch j'avais posé une question sur le forum mais pas de réponse. Donc ce patch doit on l'appliquer ou bien attendre la prochaine MAJ de Microsoft corrigeant la faille ?
Merci d'avance de ta réponse.
Cordialement.
Jean Pierre.
Bonjour Denys,
De mon coté j'ai déja appliqué la solution donnée par Jean Marc ( vu sur Sécuser également ) et ensuite j'ai appliqué également le patch car perso je ne sais pas qd sortira le patch de Microsoft donc j'ai un peu pris les devants. Quoi qu'il en soit comme je le disais également certains logiciels anti spy ont intégré ds leur base anti un programme de détection de cette p..... et s........ de faille WMF notamment a² l'a fait.
Maintenant comme nous l'a souligné Jean Marc suffit de ne pas cliquer sur tout et n'importe quoi mais bon j'ai l'impression également que les hackers deviennent de plus en plus nombreux et surtout plus forts et cela est très inquiétant pour le futur.
Cordialement.
Jean Pierre.
Dans le message:e5tynyHEGHA.2708@TK2MSFTNGP11.phx.gbl,
Denys Levesque <NoSpam.Spyware@spam.spam.com> a écrit:
Salut Jean Pierre
Re Denys
Tu as raison quand tu dit que les hackers deviennent de plus en plus
fort. Et je pense que no FAI ont une responsabilité la dedans.
Je pense qu'il devrais avertir ceux que leurs ordinateur à été changé
en Zombie par les hackers je pense qu'en vérifiant leurs tuyaux il
pourrais détecter les zombie. Et couper la ligne de ceux qui sont
infecter jusqu'à ce que l'ordinateur soit nettoyé. Pas d'accord avec
toi sur ce point car s'il te coupe la ligne c'est qu'ils ont egalement
accès à ton PC et c'est une atteinte à la vie privée des gens défendue
par la CNIL ( bien que certains FAI s'en moquent éperdument mais bon )
Car la majorité des néophites qui utilise des ordinateurs ne savent
pas qu'ils sont infecté et endure les lenteurs que provoque ses
infections. Certain d'entre eux n'ont aucune protection (pas
d'antivirus, antispyware, firewall) oui et bien alors là excuses moi
mais ce sont des masos bien que moi je suis en connection Kit Wanadoo
donc un peu maso aussi ( petite parenthèse pour un collègue non stp
Jean Marc je te vois venir n'en dis pas plus merci lol )
Pour ce qui est des compagnies antivirus il ne peuvent pas bien
protéger nos ordi contre toutes les variantes d'un virus utilisant
cette faille. Microsoft à une responsabilité évidente la dedans ainsi
que les sites infectés. Microsoft je ne vois pas pourquoi Microsoft ne
peut pas gérer tout ce qui se passe sur le net. Je pense que c'est
plutot à nous internautes de nous responsabiliser et surtout nous
méfier en ne cliquant pas sur tout ce qui bouge enfin là c'est un avis
personnel et qui n'engage que moi mais bon avec un peu d'expérience
d'Internet on l'apprend à ces dépends.
Cordialement.
Jean Pierre.
Je pense qu'en éliminant les zombies on pourrais ralentir de facon
significative les hackers.
bye
"Jean Pierre" <jeanpierre@rofl .no spam.fr. rofl> wrote in message
news:O7LO2HFEGHA.516@TK2MSFTNGP15.phx.gbl...
Dans le message:%23DdEXTBEGHA.984@tk2msftngp13.phx.gbl,
Denys Levesque <NoSpam.Spyware@spam.spam.com> a écrit:
bonsoir Jean-Pierre
le best est d'attendre le patch de microsoft car si tu prend autre
chose tu n'as aucune garantie sur son efficacité et en plus il y a
peut-etre un trou de sécurité encore pire que ce que tu as
présentement.
alors moi je te suggère d'attendre Microsoft et laisser ton firewall
et ton antivirus s'occuper des conséquence de cette faille.
bye
"Jean Pierre" <jeanpierre@rofl .no spam.fr. rofl> wrote in message
news:uugM9X8DGHA.2292@tk2msftngp13.phx.gbl...
Dans le message:O%238f9O8DGHA.3984@TK2MSFTNGP14.phx.gbl,
~Jean-Marc~ [MVP] <doc.j-m.OTER@ouanadoudou.fr> a écrit:
Salutations Michel Doucet, tu nous disais :
Bonjour et meilleurs voeux.
Bonjour et meilleurs voeux.
Bonjour et meilleurs voeux.
Bonjour et meilleurs voeux.
Merci, de même !
La dinde est mal passée ? :-)))
A modérer pour les butineurs alternatifs:
"Toujours d'après F-Secure, les utilisateurs d'Internet Explorer
sont potentiellement plus menacés que ceux utilisant des
navigateurs alternatifs (Firefox, Opera). En effet alors que
l'affichage des fichiers WMF est automatique sous Internet
Explorer, l'utilisateur est interrogé sur sa volonté d'afficher
un tel fichier avec les navigateurs comme Firefox ou Opera."
Oui, si on veut... Et si je lui présente un WMF renommé en JPG à
ton FF, il couine ou il avale tout rond ?
Pour ceux que ça intéresse, j'ai mis à jour mon blog avec des
infos récentes et particulièrement un patch temporaire non-MS :
http://msmvps.com/blogs/docxp/archive/2006/01/02/WMF_NextStep.aspx
Cordialement
Salut Jean Marc,
Concernant ce patch j'avais posé une question sur le forum mais pas
de réponse.
Donc ce patch doit on l'appliquer ou bien attendre la prochaine MAJ
de Microsoft corrigeant la faille ?
Merci d'avance de ta réponse.
Cordialement.
Jean Pierre.
Bonjour Denys,
De mon coté j'ai déja appliqué la solution donnée par Jean Marc ( vu
sur Sécuser également ) et ensuite j'ai appliqué également le patch
car perso je ne sais pas qd sortira le patch de Microsoft donc j'ai
un peu pris les devants.
Quoi qu'il en soit comme je le disais également certains logiciels
anti spy ont intégré ds leur base anti un programme de détection de
cette p..... et s........ de faille WMF notamment a² l'a fait.
Maintenant comme nous l'a souligné Jean Marc suffit de ne pas
cliquer sur tout et n'importe quoi mais bon j'ai l'impression
également que les hackers deviennent de plus en plus nombreux et
surtout plus forts et cela est très inquiétant pour le futur.
Tu as raison quand tu dit que les hackers deviennent de plus en plus fort. Et je pense que no FAI ont une responsabilité la dedans. Je pense qu'il devrais avertir ceux que leurs ordinateur à été changé en Zombie par les hackers je pense qu'en vérifiant leurs tuyaux il pourrais détecter les zombie. Et couper la ligne de ceux qui sont infecter jusqu'à ce que l'ordinateur soit nettoyé. Pas d'accord avec toi sur ce point car s'il te coupe la ligne c'est qu'ils ont egalement accès à ton PC et c'est une atteinte à la vie privée des gens défendue par la CNIL ( bien que certains FAI s'en moquent éperdument mais bon ) Car la majorité des néophites qui utilise des ordinateurs ne savent pas qu'ils sont infecté et endure les lenteurs que provoque ses infections. Certain d'entre eux n'ont aucune protection (pas d'antivirus, antispyware, firewall) oui et bien alors là excuses moi mais ce sont des masos bien que moi je suis en connection Kit Wanadoo donc un peu maso aussi ( petite parenthèse pour un collègue non stp Jean Marc je te vois venir n'en dis pas plus merci lol ) Pour ce qui est des compagnies antivirus il ne peuvent pas bien protéger nos ordi contre toutes les variantes d'un virus utilisant cette faille. Microsoft à une responsabilité évidente la dedans ainsi que les sites infectés. Microsoft je ne vois pas pourquoi Microsoft ne peut pas gérer tout ce qui se passe sur le net. Je pense que c'est plutot à nous internautes de nous responsabiliser et surtout nous méfier en ne cliquant pas sur tout ce qui bouge enfin là c'est un avis personnel et qui n'engage que moi mais bon avec un peu d'expérience d'Internet on l'apprend à ces dépends.
Cordialement.
Jean Pierre.
Je pense qu'en éliminant les zombies on pourrais ralentir de facon significative les hackers.
bye
"Jean Pierre" .no spam.fr. rofl> wrote in message news:
Dans le message:%, Denys Levesque a écrit:
bonsoir Jean-Pierre
le best est d'attendre le patch de microsoft car si tu prend autre chose tu n'as aucune garantie sur son efficacité et en plus il y a peut-etre un trou de sécurité encore pire que ce que tu as présentement. alors moi je te suggère d'attendre Microsoft et laisser ton firewall et ton antivirus s'occuper des conséquence de cette faille.
bye
"Jean Pierre" .no spam.fr. rofl> wrote in message news:
Dans le message:O%, ~Jean-Marc~ [MVP] a écrit:
Salutations Michel Doucet, tu nous disais :
Bonjour et meilleurs voeux. Bonjour et meilleurs voeux. Bonjour et meilleurs voeux. Bonjour et meilleurs voeux.
Merci, de même !
La dinde est mal passée ? :-)))
A modérer pour les butineurs alternatifs: "Toujours d'après F-Secure, les utilisateurs d'Internet Explorer sont potentiellement plus menacés que ceux utilisant des navigateurs alternatifs (Firefox, Opera). En effet alors que l'affichage des fichiers WMF est automatique sous Internet Explorer, l'utilisateur est interrogé sur sa volonté d'afficher un tel fichier avec les navigateurs comme Firefox ou Opera."
Oui, si on veut... Et si je lui présente un WMF renommé en JPG à ton FF, il couine ou il avale tout rond ?
Pour ceux que ça intéresse, j'ai mis à jour mon blog avec des infos récentes et particulièrement un patch temporaire non-MS : http://msmvps.com/blogs/docxp/archive/2006/01/02/WMF_NextStep.aspx
Cordialement
Salut Jean Marc,
Concernant ce patch j'avais posé une question sur le forum mais pas de réponse. Donc ce patch doit on l'appliquer ou bien attendre la prochaine MAJ de Microsoft corrigeant la faille ?
Merci d'avance de ta réponse.
Cordialement.
Jean Pierre.
Bonjour Denys,
De mon coté j'ai déja appliqué la solution donnée par Jean Marc ( vu sur Sécuser également ) et ensuite j'ai appliqué également le patch car perso je ne sais pas qd sortira le patch de Microsoft donc j'ai un peu pris les devants. Quoi qu'il en soit comme je le disais également certains logiciels anti spy ont intégré ds leur base anti un programme de détection de cette p..... et s........ de faille WMF notamment a² l'a fait.
Maintenant comme nous l'a souligné Jean Marc suffit de ne pas cliquer sur tout et n'importe quoi mais bon j'ai l'impression également que les hackers deviennent de plus en plus nombreux et surtout plus forts et cela est très inquiétant pour le futur.
