[INFO] MS04-28 : GDI+/JPEG in the wild

~Jean-Marc~ [MVP] a écrit:

FU2 : ms.pub.fr.securite

Bonjour à tous,

La semaine à venir risque d'être mouvementée...

On attendait l'exploitation de cette faille avant la fin du mois,
ça n'a pas loupé et c'est encore pire que prévu.

Un outil permettant de générer une image JPG lançant le téléchargement
et l'installation d'un exécutable depuis le web est maintenant à
disposition
des scripts kiddies.

PATCHEZ !
http://www.microsoft.com/france/securite/bulletins_securite/recapitulatifs/0409-jpg.asp


Source : K-Otik
http://www.k-otik.com/news/09232004.MS04-028Threat.php

@+

Salut ~Jean-Marc~

Merci pour l'info !

Mais il y a un truc que je ne comprends pas : le bulletin que tu
cites en référence indique que les utilisateurs SP2 ne sont pas
concernés. Or le moteur de WindowsUpdate me le "suggère"
fortement... Microsoft aurait-il raté une vérification croisée ?
Si ce n'est pas nécessaire pour XPSP2, pourquoi WU veut-il que je
l'installe ?

--
Ypoons
Pour m'écrire : http://www.cerbermail.com/?Qw7yVJONCF
Ne vous approchez jamais d'un ordinateur en disant ou même
seulement pensant "Je vais faire ça très vite !"

sur les news:%23P02H8yoEHA.3172@TK2MSFTNGP10.phx.gbl
Salut ~Jean-Marc~ [MVP] <doc.j-m.OTER@ouanadoudou.fr> qui signalait:

FU2 : ms.pub.fr.securite

Bonjour à tous,

La semaine à venir risque d'être mouvementée...

On attendait l'exploitation de cette faille avant la fin du mois,
ça n'a pas loupé et c'est encore pire que prévu.

Un outil permettant de générer une image JPG lançant le téléchargement
et l'installation d'un exécutable depuis le web est maintenant à
disposition des scripts kiddies.

PATCHEZ !
http://www.microsoft.com/france/securite/bulletins_securite/recapitulatifs/0409-jpg.asp

Source : K-Otik
http://www.k-otik.com/news/09232004.MS04-028Threat.php

@+

Attention ! Patcher ne suffit pas : MS patche Windows et la suite Office
(sur demande).

De tas de programmes tiers ont cette dll dans leur propre répertoire et
l'utilise (Ewido par exemple) .

Il convient donc d'utiliser le petit exe renseigné sur k-otik, repérer les
versions de gdiplus.dll sensibles ou susceptibles de l'être et les remplacer
par la version 6.0.3264.0 installée après la MAJ dans les répertoires des
progrmmes concernés.
--
http://www.optimix.be.tf /MVP WindowsXP/ http://websecurite.org
http://www.msmvps.com/XPditif/
http://experts.microsoft.fr/longhorn4u/
*Helping you void your warranty since 2000*
---***ANTISPAM***---
Click on the link to answer -Cliquez sur le lien pour répondre
http://www.cerbermail.com/?csaLJS6yvZ
@(*0*)@ JacK

Salutations *JacK [MVP]* !
Dans http://groups.google.fr/groups?threadm=%23$m$bJ3oEHA.2340@TK2MSFTNGP10.phx.gbl
tu nous disais :

Attention ! Patcher ne suffit pas : MS patche Windows et la suite
Office (sur demande).

De tas de programmes tiers ont cette dll dans leur propre répertoire
et l'utilise (Ewido par exemple) .

Il convient donc d'utiliser le petit exe renseigné sur k-otik,
repérer les versions de gdiplus.dll sensibles ou susceptibles de
l'être et les remplacer par la version 6.0.3264.0 installée après la
MAJ dans les répertoires des progrmmes concernés.

Merci JacK pour cette information essentielle que j'avais omise de
préciser dans mon message.

Elle réponds également à la question de Ypoons.

@+

--
~Jean-Marc~ MSAE & MVP Windows XP Fr
M'écrire : http://msmvps.com/docxp/contact.aspx
- http://perso.wanadoo.fr/doc.jm/ - http://msmvps.com/docxp/ -
Aide en DIRECT sur Internet : http://communautes-ms.akro-net.org/

JacK [MVP] wrote:

sur les news:%23P02H8yoEHA.3172@TK2MSFTNGP10.phx.gbl
Salut ~Jean-Marc~ [MVP] <doc.j-m.OTER@ouanadoudou.fr> qui signalait:

FU2 : ms.pub.fr.securite

Bonjour à tous,

La semaine à venir risque d'être mouvementée...

On attendait l'exploitation de cette faille avant la fin du mois,
ça n'a pas loupé et c'est encore pire que prévu.

Un outil permettant de générer une image JPG lançant le téléchargement
et l'installation d'un exécutable depuis le web est maintenant à
disposition des scripts kiddies.

PATCHEZ !
http://www.microsoft.com/france/securite/bulletins_securite/recapitulatifs/0409-jpg.asp


Source : K-Otik
http://www.k-otik.com/news/09232004.MS04-028Threat.php

@+

Attention ! Patcher ne suffit pas : MS patche Windows et la suite
Office (sur demande).

De tas de programmes tiers ont cette dll dans leur propre répertoire et
l'utilise (Ewido par exemple) .

Il convient donc d'utiliser le petit exe renseigné sur k-otik, repérer
les versions de gdiplus.dll sensibles ou susceptibles de l'être et les
remplacer par la version 6.0.3264.0 installée après la MAJ dans les
répertoires des progrmmes concernés.

Il scanne aussi d'autres dll:
Scanning Drive D:...
D:Program FilesFichiers communsMicrosoft SharedOFFICE11MSO.DLL
Version: 11.0.6360.0
D:Program FilesFichiers communsMicrosoft SharedVGXvgx.dll
Version: 6.0.2900.2180
D:Program FilesMicrosoft OfficeOFFICE11GDIPLUS.DLL
Version: 6.0.3264.0
D:WINDOWS$NtServicePackUninstall$sxs.dll
Version: 5.1.2600.1106 <-- Vulnerable version
D:WINDOWS$NtServicePackUninstall$vgx.dll
Version: 6.0.2800.1106 <-- Possibly vulnerable (Win2K SP2 and SP3
w/IE6 SP1 only)
D:WINDOWSServicePackFilesi386sxs.dll
Version: 5.1.2600.2180
D:WINDOWSServicePackFilesi386vgx.dll
Version: 6.0.2900.2180
D:WINDOWSsystem32sxs.dll
Version: 5.1.2600.2180
D:WINDOWSWinSxSInstallTemp3641387GdiPlus.dll
Version: 5.1.3102.2180
D:WINDOWSWinSxSx86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.0.0_x-ww_8d353f13GdiPlus.dll
Version: 5.1.3097.0 <-- Possibly vulnerable (Windows Side-By-Side DLL)
D:WINDOWSWinSxSx86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.10.0_x-ww_712befd8GdiPlus.dll
Version: 5.1.3101.0 <-- Possibly vulnerable (Windows Side-By-Side DLL)
D:WINDOWSWinSxSx86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.2180_x-ww_522f9f82GdiPlus.dll
Version: 5.1.3102.2180
Scan Complete.

Bonjour,

PATCHEZ !
http://www.microsoft.com/france/securite/bulletins_securite/recapitulatifs/0409-jpg.asp


Source : K-Otik
http://www.k-otik.com/news/09232004.MS04-028Threat.php

Attention ! Patcher ne suffit pas : MS patche Windows et la suite

Office (sur demande).

De tas de programmes tiers ont cette dll dans leur propre répertoire
et l'utilise (Ewido par exemple) .

Il convient donc d'utiliser le petit exe renseigné sur k-otik,
repérer les versions de gdiplus.dll sensibles ou susceptibles de
l'être et les remplacer par la version 6.0.3264.0 installée après la
MAJ dans les répertoires des progrmmes concernés.

Il scanne aussi d'autres dll:

Oui Microsoft n'est pas clair sur ce coup, il diffuse des mises à jour, et
il
reste plusieurs copies du même nom de fichier en versions différentes. Et
certaines cités par Otik comme étant vulnérable. Ce serait dans des
répertoires de logiciels tiers, mais non c'est dans
":WINDOWSWinSxSx86_Microsoft.Windows.GdiPlus_6595....."

Que veux-tu que l'on y comprenne ?


--
@:-)
FAQ Windows XP ==> http://a.vouillon.online.fr/

JacK [MVP] wrote:

Attention ! Patcher ne suffit pas : MS patche Windows et la suite
Office (sur demande).

De tas de programmes tiers ont cette dll dans leur propre répertoire et
l'utilise (Ewido par exemple) .

Il convient donc d'utiliser le petit exe renseigné sur k-otik, repérer
les versions de gdiplus.dll sensibles ou susceptibles de l'être et les
remplacer par la version 6.0.3264.0 installée après la MAJ dans les
répertoires des progrmmes concernés.

Merci Jack,
Je me posais également la question des autres programmes utilisant
gdiplus.dll

--
Régis Caspar

Alain Vouillon a écrit:

Bonjour,

Il convient donc d'utiliser le petit exe renseigné sur k-otik,
repérer les versions de gdiplus.dll sensibles ou susceptibles de
l'être et les remplacer par la version 6.0.3264.0 installée après la
MAJ dans les répertoires des progrmmes concernés.

Il scanne aussi d'autres dll:

Oui Microsoft n'est pas clair sur ce coup, il diffuse des mises à jour,
et il
reste plusieurs copies du même nom de fichier en versions différentes. Et
certaines cités par Otik comme étant vulnérable. Ce serait dans des
répertoires de logiciels tiers, mais non c'est dans
":WINDOWSWinSxSx86_Microsoft.Windows.GdiPlus_6595....."

Que veux-tu que l'on y comprenne ?

Salut à tous

Bon, en clair, comment on fait ?
Si j'ai bien compris, pour gdiplus.dll, on remplace et c'est
tout. Mais pour vgx.dll, sxs.dll, on fait quoi ?

--
Ypoons
Pour m'écrire : http://www.cerbermail.com/?Qw7yVJONCF
Ne vous approchez jamais d'un ordinateur en disant ou même
seulement pensant "Je vais faire ça très vite !"

"JacK [MVP]" <ihate@spam.gov> a écrit dans le message de news:%23$m$bJ3oEHA.2340@TK2MSFTNGP10.phx.gbl...

sur les news:%23P02H8yoEHA.3172@TK2MSFTNGP10.phx.gbl
Salut ~Jean-Marc~ [MVP] <doc.j-m.OTER@ouanadoudou.fr> qui signalait:

FU2 : ms.pub.fr.securite

PATCHEZ !
http://www.microsoft.com/france/securite/bulletins_securite/recapitulatifs/0409-jpg.asp

Source : K-Otik
http://www.k-otik.com/news/09232004.MS04-028Threat.php

@+

Attention ! Patcher ne suffit pas : MS patche Windows et la suite Office
(sur demande).

De tas de programmes tiers ont cette dll dans leur propre répertoire et
l'utilise (Ewido par exemple) .

Il convient donc d'utiliser le petit exe renseigné sur k-otik, repérer les
versions de gdiplus.dll sensibles ou susceptibles de l'être et les remplacer
par la version 6.0.3264.0 installée après la MAJ dans les répertoires des
progrmmes concernés.
--
http://www.optimix.be.tf /MVP WindowsXP/ http://websecurite.org
http://www.msmvps.com/XPditif/
http://experts.microsoft.fr/longhorn4u/
*Helping you void your warranty since 2000*
---***ANTISPAM***---
Click on the link to answer -Cliquez sur le lien pour répondre
http://www.cerbermail.com/?csaLJS6yvZ
@(*0*)@ JacK

Bonjour

Avec WindowsXP SP1 et en passant le GDIScan de K-OTIK je corrige le gdiplus.dll de Microsoft Picture IT! 2002
(la version passe de 5.1.3097.0 à 5.1.3102.1355 ) et plus de vulnérabilité déclarée .
Il me reste des versions vulnérables pour :
C:I386ASMS1000MSFTWINDOWSGDIPLUSGDIPLUS.DLL
C:WINDOWSI386ASMS1000MSFTWINDOWSGDIPLUSGDIPLUS.DLL
C:WINDOWSServicePackFilesi386sxs.dll
Où trouve-t-on les correctifs ?
Merci pour moi et les autres si vous pouvez préciser .
Amitiés Robert

Bonjour ~Jean-Marc~ [MVP]

Il convient donc d'utiliser le petit exe renseigné sur k-otik,
repérer les versions de gdiplus.dll sensibles ou susceptibles de
l'être et les remplacer par la version 6.0.3264.0 installée après la
MAJ dans les répertoires des progrmmes concernés.

La version la plus récente que j'ai sur ma bécane est : 5.1.3102.1360
Apparemment ça suffit pour enlever les lignes rouges sur le test.
Ceci dit, vu le travail que ça demande,
je me demande comment un utilisateur, j'allais dire "normal",
qui ne fréquente pas ce forum et s'attend à ce que sa machine fonctionne
toute seule entre deux révisions peut s'en sortir.

--

A+

Le 26/09/2004, Alain Vouillon a supposé :

Bonjour,

PATCHEZ !
http://www.microsoft.com/france/securite/bulletins_securite/recapitulatifs/0409-jpg.asp


Source : K-Otik
http://www.k-otik.com/news/09232004.MS04-028Threat.php

Attention ! Patcher ne suffit pas : MS patche Windows et la suite

Office (sur demande).

De tas de programmes tiers ont cette dll dans leur propre répertoire
et l'utilise (Ewido par exemple) .

Il convient donc d'utiliser le petit exe renseigné sur k-otik,
repérer les versions de gdiplus.dll sensibles ou susceptibles de
l'être et les remplacer par la version 6.0.3264.0 installée après la
MAJ dans les répertoires des progrmmes concernés.

Il scanne aussi d'autres dll:

Oui Microsoft n'est pas clair sur ce coup, il diffuse des mises à jour, et il
reste plusieurs copies du même nom de fichier en versions différentes. Et
certaines cités par Otik comme étant vulnérable. Ce serait dans des
répertoires de logiciels tiers, mais non c'est dans
":WINDOWSWinSxSx86_Microsoft.Windows.GdiPlus_6595....."

Que veux-tu que l'on y comprenne ?

bonsoir,
si sieur Vouillon n'y comprend rien, comment ma petite personne va t
elle comprendre ?
Petite ( ), puis je supprimer ceci et tout ce que cela comporte ?:
C:WINDOWSSoftwareDistributionDownloadS-1-5-18e92ff5501f813d2ec95068424de2bb6backup
Voici ce que me dit le scan :
( toutes mes excuses, c'est long )
Scanning Drive C:...
C:WINDOWSsystem32dllcachesxs.dll
Version: 5.1.2600.1515
C:WINDOWSsystem32dllcachevgx.dll
Version: 6.0.2800.1106 <-- Possibly vulnerable (Win2K SP2 and SP3
w/IE6 SP1 only)
C:WINDOWSsystem32sxs.dll
Version: 5.1.2600.1515
C:WINDOWSWinSxSx86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.0.0_x-ww_8d353f13GdiPlus.dll
Version: 5.1.3092.0 <-- Possibly vulnerable (Windows Side-By-Side
DLL)
C:WINDOWSWinSxSx86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.10.0_x-ww_712befd8GdiPlus.dll
Version: 5.1.3101.0 <-- Possibly vulnerable (Windows Side-By-Side
DLL)
C:WINDOWSWinSxSx86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.1360_x-ww_24a2ed47GdiPlus.dll
Version: 5.1.3102.1360
C:WINDOWSLastGoodSystem32dllcachesxs.dll
Version: 5.1.2600.1106 <-- Vulnerable version
C:WINDOWSLastGoodSystem32dllcachevgx.dll
Version: 6.0.2800.1106 <-- Possibly vulnerable (Win2K SP2 and SP3
w/IE6 SP1 only)
C:WINDOWSLastGoodSystem32sxs.dll
Version: 5.1.2600.1106 <-- Vulnerable version
C:WINDOWS$NtUninstallKB839645$sxs.dll
Version: 5.1.2600.1106 <-- Possibly vulnerable (Backup for uninstall
purposes)
C:WINDOWSSoftwareDistributionDownloadS-1-5-18e92ff5501f813d2ec95068424de2bb6backupasms10msftwindowsgdiplusgdiplus.dll
Version: 5.1.3102.1360
C:WINDOWSSoftwareDistributionDownloadS-1-5-18e92ff5501f813d2ec95068424de2bb6backupsxs.dll
Version: 5.1.2600.1515
C:WINDOWSSoftwareDistributionDownloadS-1-5-18e92ff5501f813d2ec95068424de2bb6backupvgx.dll
Version: 6.0.2800.1106 <-- Possibly vulnerable (Win2K SP2 and SP3
w/IE6 SP1 only)
C:Program FilesFichiers communsMicrosoft SharedVGXvgx.dll
Version: 6.0.2800.1106 <-- Possibly vulnerable (Win2K SP2 and SP3
w/IE6 SP1 only)
C:Program FilesFichiers communsMicrosoft SharedOFFICE11MSO.DLL
Version: 11.0.6360.0
C:Program FilesMicrosoft OfficeOFFICE11GDIPLUS.DLL
Version: 6.0.3264.0
Scan Complete. >:|
Que faire ?
Cordialement

--
pour me répondre : http://cerbermail.com/?h65ApHr50N

Ceci est une signature automatique de MesNews.
Site : http://www.mesnews.net