Accueil Actualités Maroc Forum Contact
:: Actualités
:: Menu principal
:: Actu thématique
:: Top du maroc
:: Archives
mars 2010
février 2010
janvier 2010
décembre 2009
Novembre 2009
Octobre 2009
Septembre 2009
Août 2009
Juillet 2009
Juin 2009
Mai 2009
Avril 2009
Mars 2009
Février 2009
Janvier 2009
Décembre 2008
Novembre 2008
Octobre 2008
Septembre 2008
Août 2008
Juillet 2008
Juin 2008
Mai 2008
Avril 2008
Mars 2008
Février 2008
Janvier 2008
Décembre 2007
Novembre 2007
Octobre 2007
Septembre 2007
Août 2007
Juillet 2007
Juin 2007
Mai 2007
Avril 2007
Mars 2007
Février 2007
Janvier 2007
Décembre 2006
Novembre 2006
Octobre 2006
Septembre 2006
Août 2006
Juillet 2006
Juin 2006
Mai 2006
Avril 2006
Mars 2006
Février 2006
Janvier 2006
Décembre 2005
Novembre 2005
Octobre 2005
Septembre 2005
Août 2005
Juillet 2005
Juin 2005
Mars 2005
:: Recherche

Recherche avancée
:: Qui est en ligne
13 utilisateur(s) en ligne (dont 8 sur Actualités)

Membre(s): 0
Invité(s): 13

plus...

Technologie : Faille WMF Windows : la situation s’aggrave
Posté par Sarah le 2/1/2006 22:04:45 (771 lectures)

Une nouvelle exploitation de la faille des images WMF a été décrite. D’autre part l’ensemble des informations actuellement disponible montre une situation assez critique.

Ce nouveau malware se présente sous la forme d’un fichier avec l’extension .jpg pour tromper l’utilisateur, mais c’est un authentique fichier WMF qui est interprété comme tel grâce à son en-tête. En réalité l’extension peut être n’importe quelle extension de type image.

Il se compose de trois parties : un début constitué par une séquence d’octets "poubelle" (junk), assez longue pour tromper certains systèmes de filtrage ; une charge nocive ; une "queue" formée d’une séquence d’octets aléatoires. La charge nocive est capable de télécharger sur l’ordinateur divers types de malwares, comme cela a déjà été expliqué dans une précédente actualité.

En quoi cette information est-elle inquiétante ?

À la date du 1er janvier 06 aucun antivirus ne détecte ce nouvel exploit. En outre la structure du fichier rend très difficile l’établissement d’une signature facilement utilisable par les antivirus. Le fichier n’a pas besoin d’être ouvert pour exploiter la faille : si le fichier est sauvegardé dans un répertoire la charge nocive s’exécutera dès qu’un outil d’indexation le prendra en compte, ou simplement si vous ouvrez le répertoire avec l’affichage en mode vignette (car Windows est bien obligé de lire le fichier pour créer la vignette). Enfin ces fichiers WMF peuvent arriver par des voies très diverses : sites Web piégés, pièce attachée à un mail, messagerie instantanée, groupe de news consacrés aux images, P2P, documents Word…

Pourquoi cette faille pose-t-elle un problème particulier ?

Les images de type BMP, GIF ou JPEG sont des suites d’octets, éventuellement compressés, qui représentent des pixels. Autrement dit ce sont des données passives (images bitmap). Au contraire dans une image WMF (image de type vectoriel) les divers objets (lignes droites ou courbes, polygones, cercles, surfaces…) sont représentés par des formules mathématiques qui doivent être calculées pour reconstruire l’image. Les fichiers WMF peuvent donc appeler des procédures externes (contenues dans des dll du système) et si cet appel est spécialement conformé, la procédure appelée pourra être utilisée pour exécuter le code nocif.

On peut imaginer que la correction de la faille puisse être délicate car elle oblige à repenser le mécanisme de la fonction exploitée, sans compter que d’autres fonctions peuvent peut-être être utilisées à l’avenir. Il n’existe pour le moment aucun correctif de Microsoft. Bien que cela ne semble pas avoir été encore testé, Windows 98 et Millenium sont supposés vulnérables et le SANS (organisme de sécurité informatique bien connu) avance qu’il n’y aura pas de correctif pour ces anciennes versions.

Il existe un patch non officiel distribué par le SANS. Il a été initialement conçu pour Windows XP SP2, mais il a été modifié pour fonctionner aussi avec le SP1 et Windows 2000. Si vous utilisez ce patch, ce sera à vos risques et périls, bien qu’il ait été soigneusement vérifié. Le SANS suggère d’utiliser ce patch et, par sécurité, d’inactiver la dll leurrée en exécutant la ligne de commande suivante qui supprimera son enregistrement dans la base de registre :

regsvr32 -u %windir%\system32\shimgvw.dll

Quand le patch officiel sera sorti, désinstaller le patch non officiel (par Ajout et suppression de programmes) et réenregistrer la dll par :

regsvr32 shimgvw.dll

Vous êtes toutefois informés que l’inactivation de cette dll supprime l’affichage des vignettes et le fonctionnement de l’aperçu des images et des télécopies de Windows. En outre cette dll peut être réenregistrée à votre insu, par exemple par un cheval de Troie. Enfin le patch non officiel ne supprime pas l’infection, si par malheur vous en avez été victime.

Votre décision quant à l’utilisation de ces solutions provisoires dépend donc du niveau de risque que vous prenez dans votre utilisation d’Internet. Notez toutefois que des sites de confiance peuvent être compromis par des pirates qui peuvent rajouter des images WMF piégées (cela s’est produit pour knoppix-std.org).

Format imprimable Envoyer cet article à un(e) ami(e)

:: Télé En Direct
:: Publicités

:: Top Articles
:: Connexion
Pseudo : 

Mot de passe : 


Perdu le mot de passe ?

Inscrivez-vous maintenant !