Vulnérabilité critique non corrigée dans Windows

 
Poster un nouveau sujet   Répondre au sujet    Forums World-Informatique.com Index du Forum -> Virus et sécurité Version imprimable
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
deviltaz49

Technicien WI
Technicien WI


Inscrit le: 06 Avr 2004
Messages: 3455
Localisation: Sur la banquise avec les manchots

MessagePosté le: Lun Jan 02, 2006 10:28 Répondre en citant

Vulnérabilité critique non corrigée dans Windows

Source : www.secuser.com

RESUME :
Une nouvelle vulnérabilité a été découverte dans Windows. Un défaut de sécurité similaire à un défaut récemment corrigé (alerte du 08/11/05) permet à un individu malveillant de prendre le contrôle à distance de l'ordinateur de sa victime ou à un virus de s'exécuter automatiquement lors de la prévisualisation ou de l'affichage d'un fichier multimédia .WMF piégé dans l'Explorateur Windows ou le navigateur Internet Explorer. Cette faille est déjà exploitée de façon malveillante par des sites web malicieux.

LOGICIEL(S) CONCERNE(S) :
Microsoft Windows XP SP2
Microsoft Windows XP SP1
Microsoft Windows XP
Microsoft Windows 2000
Microsoft Windows ME
Microsoft Windows 98 SE
Microsoft Windows 98
Microsoft Windows 2003 Server

CORRECTIF :
Aucun correctif officiel n'est disponible pour le moment car cette faille a été découverte alors qu'elle était déjà exploitée par un site malicieux (0-day). Le risque d'exploitation malveillante est maximal car le détail d'un code permettant d'exploiter cette faille via le composant Aperçu des images et des télécopies Windows (Windows Picture and Fax Viewer) SHIMGVW.DLL a été rendu public. Outre la vigilance vis-à-vis des liens hypertextes et des fichiers non sûrs, les utilisateurs concernés peuvent mettre à jour leur antivirus car certains éditeurs ont élaboré une signature destinée à détecter les fichiers piégés (Bloodhound.Exploit.56 chez Symantec, Exploit-WMF chez McAfee, TROJ_WMFIOO.A chez Trend Micro, W32/PFV-Exploit chez F-Secure, Exploit.Win32.IMG-WMF chez Kaspersky). Les utilisateurs d'Internet Explorer peuvent également configurer le niveau de sécurité de leur navigateur sur "Elevé" ou utiliser temporairement un autre navigateur afin de prévenir une exploitation automatique via une page web malicieuse (avec un navigateur alternatif, une boîte de dialogue peut tout de même apparaître pour proposer à l'internaute de télécharger ou d'exécuter le fichier piégé, ce qu'il faut alors refuser). Il est enfin possible de désactiver le composant SHIMGVW.DLL pour limiter les risques d'exploitation malveillante utilisant le code rendu public, quel que soit le navigateur (les internautes utilisant leur ordinateur à titre professionnel devraient au préalable consulter leur service informatique ou responsable sécurité) :

* Cliquer sur "Menu Démarrer" ;
* Cliquer sur "Exécuter..." ;
* Saisir ou copier-coller "regsvr32 /u shimgvw.dll" (sans les guillemets) ;
* Presser le bouton "OK" ou la touche "Entrée" ;
* Presser le bouton "OK" dans la boîte de dialogue de confirmation.

Sa désactivation rend le composant indisponible en cas d'attaque malveillante via l'Explorateur Windows ou un navigateur, mais aussi en cas d'utilisation normale par une application légitime. Pour réactiver ce composant une fois le correctif disponible ou en cas de perturbation excessive suite à sa désactivation :

* Ouvrir une session Windows en tant qu'Administrateur (le cas échéant) ;
* Cliquer sur "Menu Démarrer" ;
* Cliquer sur "Exécuter..." ;
* Saisir ou copier-coller "regsvr32 shimgvw.dll" (sans les guillemets) ;
* Presser le bouton "OK" ou la touche "Entrée" ;
* Presser le bouton "OK" dans la boîte de dialogue de confirmation.

Les dernières investigations indiquent que le défaut de sécurité ne se trouve pas dans le composant SHIMGVW.DLL mais dans la fonction Escape() de la bibliothèque GDI32.DLL, ce qui explique que la faille soit exploitable par d'autres moyens que l'Aperçu des images et des télécopies Windows (dont les applications Paint et Lotus Notes). Par ailleurs, il est possible de modifier l'extension d'un fichier .WMF piégé tout en lui conservant sa nocivité (en optant par exemple par une extension .JPG), donc la vigilance vis-à-vis des liens hypertextes et des fichiers non sûrs reste indispensable en attendant la disponibilité d'un correctif, surtout en cette période d'échange de cartes virtuelles et autres images.

31/12/05 : un second exploit (code permettant à un programmeur même non spécialiste de concevoir des programmes exploitant la faille) a été rendu public de façon irresponsable par des contributeurs spécialisés. Il permet la création de fichiers piégés plus difficilement détectables par les antivirus et serait déjà exploité de façon malveillante sous la forme de courriers éléctroniques contenant une image piégée (notamment HappyNewYear.jpg) provoquant l'installation d'une porte dérobée. Un expert en sécurité a de son côté publié un correctif non officiel temporaire (wmffix_hexblog13.exe) pour les versions récentes de Windows : contrairement à la solution partielle consistant à désactiver le composant SHIMGVW.DLL, qui protège uniquement contre l'exploit correspondant, ce correctif offre une protection plus complète en empêchant toute utilisation de la fonction vulnérable de la bibliothèque GDI32.DLL sans pour autant perturber significativement le fonctionnement du système, mais ce n'est pas un correctif officiel donc il est proposé sans aucune garantie (à installer en étant Administrateur et à désinstaller via le Menu Démarrer > Panneau de Configuration > Ajout / Suppression de programmes > supprimer le programme "Windows WMF Metafile Vulnerability HotFix" en cas de problème ou avant d'installer le correctif officiel). Compte tenu de la gravité de la situation, nous recommandons la désactivation du composant SHIMGVW.DLL et l'application de ce correctif non officiel, en attendant la disponibilité d'un correctif officiel.
Revenir en haut
Invisible Voir le profil de l'utilisateur Envoyer un message privé Voir les profils informatiques
boubou78400

Habitué
Habitué


Inscrit le: 28 Fév 2005
Messages: 179
Localisation: yvelines

MessagePosté le: Mar Jan 03, 2006 2:17 Répondre en citant

que penser de ces différentes mises en gardes? doit on les yeux fermés appliquer le correctif non officiel sans autres risques? ou bien es t il indispensable de désactiver SHIMGVW.DLL ? en tant que profane de la sécurité on ne sait plus trop à quoi se vouer!! Question
Revenir en haut
Déconnecté Voir le profil de l'utilisateur Envoyer un message privé Voir les profils informatiques
deviltaz49

Technicien WI
Technicien WI


Inscrit le: 06 Avr 2004
Messages: 3455
Localisation: Sur la banquise avec les manchots

MessagePosté le: Mar Jan 03, 2006 10:43 Répondre en citant

Citation:
la vigilance vis-à-vis des liens hypertextes et des fichiers non sûrs


C'est surtout à ce conseil que j'adhère le plus.
Le meilleur anti-virus reste l'utilisateur vigilant et comme un homme averti en vaut deux ...
Revenir en haut
Invisible Voir le profil de l'utilisateur Envoyer un message privé Voir les profils informatiques
jolan

Technicien WI
Technicien WI


Inscrit le: 15 Aoû 2003
Messages: 1063

MessagePosté le: Jeu Jan 05, 2006 20:41 Répondre en citant

Citation:
Plusieurs éditeurs d'antivirus et spécialistes de la sécurité informatique sont unanimes: la faille décelée dans les librairies d'images WMF de Windows est sérieuse. Le patch est annoncé par Microsoft pour le 10 janvier.

Les experts en sécurité jugent la faille affectant WMF très critique, car les antivirus classiques et les signatures IDS ne reconnaissent pas le code nocif contenu dans des fichiers Jpeg, Gif ou Bitmap, qui semblent normaux en apparence.



Souce :Zdnet.fr

Un fichier d' image classique , .jpeg par exemple , peut etre en fait un fichier .wmf nocif (apres avoir été renommer). Confused

Une vidéo qui montre le fonctionnement de cette faille : http://www.websensesecuritylabs.com/images/alerts/wmf-movie.wmv . Ca fait un peu peur .
Revenir en haut
Déconnecté Voir le profil de l'utilisateur Envoyer un message privé
Ganache

Fidèle
Fidèle


Inscrit le: 20 Juin 2004
Messages: 352
Localisation: Montpellier

MessagePosté le: Jeu Jan 05, 2006 22:38 Répondre en citant

Ca fait surtout rire.
_________________
"Si tu travailles avec un marteau-piqueur pendant un tremblement de terre, désynchronise-toi, sinon tu travailles pour rien." JC Vandamme.
Revenir en haut
Déconnecté Voir le profil de l'utilisateur Envoyer un message privé
jolan

Technicien WI
Technicien WI


Inscrit le: 15 Aoû 2003
Messages: 1063

MessagePosté le: Jeu Jan 05, 2006 23:02 Répondre en citant

Ce n est pas tellement drole . Une image jpeg peut etre en fait un fichier nocif. Il suffit que l extension du fichier wmf nocif soit changée. Et les antivirus ne peuvent apparement pas détecter un fichier qui exploite cette faille .


Mise a jour du message

Un bulletin de microsoft a été publier. http://www.microsoft.com/technet/security/bulletin/ms06-001.mspx
Il y a des mises à jours pour windows 2000 et windows xp , disponibles avec windows update.
Revenir en haut
Déconnecté Voir le profil de l'utilisateur Envoyer un message privé
deviltaz49

Technicien WI
Technicien WI


Inscrit le: 06 Avr 2004
Messages: 3455
Localisation: Sur la banquise avec les manchots

MessagePosté le: Ven Jan 06, 2006 12:05 Répondre en citant

Source : www.secuser.com

CORRECTIF :
Les utilisateurs concernés doivent appliquer le correctif correspondant à la version de leur logiciel via le service WindowsUpdate (en français) ou en le téléchargeant sur le site de l'éditeur. Les utilisateurs ayant installé le correctif non officiel (wmffix_hexblog14.exe) doivent ensuite redémarrer leur ordinateur, puis désinstaller ce correctif (Démarrer > Panneau de Configuration > Ajout / Suppression de programmes > supprimer "Windows WMF Metafile Vulnerability HotFix"), puis redémarrer à nouveau leur ordinateur. Les utilisateurs ayant désactivé le composant SHIMGVW.DLL (Aperçu des images et des télécopies Windows) afin de limiter les risques d'exploitation malveillante peuvent le réactiver comme suit :

* Ouvrir une session Windows en tant qu'Administrateur (le cas échéant) ;
* Cliquer sur "Menu Démarrer" ;
* Cliquer sur "Exécuter..." ;
* Saisir ou copier-coller "regsvr32 shimgvw.dll" (sans les guillemets) ;
* Presser le bouton "OK" ou la touche "Entrée" ;
* Presser le bouton "OK" dans la boîte de dialogue de confirmation.

Microsoft aura finalement avancé la date de publication du correctif, initialement programmée le 10/01/06.
Revenir en haut
Invisible Voir le profil de l'utilisateur Envoyer un message privé Voir les profils informatiques
Montrer les messages depuis:    Voir le sujet précédent :: Voir le sujet suivant  
Poster un nouveau sujet   Répondre au sujet    Forums World-Informatique.com Index du Forum -> Virus et sécurité Toutes les heures sont au format GMT + 1 Heure
Page 1 sur 1

 
Sauter vers:  
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum



Powered by phpBB © 2001, 2005 phpBB Group   -   Traduction par : phpBB-fr.com
Hébergement offert par OVH