Friday 5 February 2010
Article  Military importance of cyber recognised

Wednesday 3 February 2010
Article  NFC security takes a step closer

Wednesday 3 February 2010
In Brief  City University launches CIO Masters course

Friday 29 January 2010
Article  Utility networks: A security nightmare

Wednesday 27 January 2010
Article  iPhone 4 OS to increase security stakes

Tuesday 26 January 2010
Audio Podcast  IFMAP - Future Standard of Network Devices? Part 2

Monday 25 January 2010
Audio Podcast  IFMAP - Future Standard of Network Devices? Part 1

Friday 22 January 2010
In Brief  No business IT assets by 2012?

Wednesday 20 January 2010
Article  Operation Aurora 'nothing new'

Tuesday 19 January 2010
Audio Podcast  Criminal Access to Health Records

Monday 18 January 2010
Audio Podcast  The Problem with Security Awareness Education

Wednesday 6 January 2010
Article  SecurityVibes biggest stories of 2009

Tuesday 29 December 2009
Audio Podcast  Web 2.0 Social Networks in Court and Legislation

Wednesday 23 December 2009
Article  Social and SEO attacks, DDoS key vectors in 2010

Tuesday 22 December 2009
In Brief  Howard Schmidt confirmed as US Cybersecurity Coordinator

Written by Jerome Saiz (SecurityVibes)
Published on Friday 30 December 2005
0 comment(s) | Subnetwork France

[Note : consultez de préférence cet article, plus récent, pour un point complet au sujet de la vulnérabilité WMF]C'est un cocktail de fête, mais celui-ci est explosif : une vulnérabilité non corrigée dans Windows permet d'installer n'importe quoi à la visite d'un site web ou à partir d'un email. Vient s'y ajouter un code d'exploitation disponible sur Internet, et le tout arrive bien entendu durant les fêtes de fin d'année, alors que les internautes un peu naïfs y vont de leur carte de voeux virtuelle particulièrement simple à piéger.La faille frappe à nouveau l'interprétation des images au format .WMF, dont Windows faisait déjà les frais le mois dernier. Mais tandis que la première est corrigée, celle-ci ne l'est pas : on appelle ça un "Zero Day", c'est à dire lorsque les pirates sont libres d'agir avant que l'éditeur n'ait pu protéger ses clients.Et les pirates, justement, ne s'en privent pas : selon Microsoft, cette vulnérabilité serait déjà activement exploitée pour installer des codes malicieux à travers le web (probablement essentiellement des spywares, adwares et autres bots destinés à "zombifier" le PC).Selon la société eEye, à l'origine de l'annonce, les utilisateurs d'Internet Explorer sont les plus exposés car chez eux la faille peut-être exploitée automatiquement à la visite d'un site web. Mais que les adeptes des autres navigateurs ne se réjouissent pas trop vite : ils peuvent aussi être victimes de cette faille s'ils tentent d'ouvrir spécifiquement une image au format .WMF (en l'ayant, par exemple, téléchargée au préalable. Mais certes, il faut le vouloir !).Notons enfin que rien n'empêche de créer une image piégée à ce format et de la renommer, par exemple, en JPG. A sa lecture, le système détectera qu'il s'agit du format WMF et l'interprétera en tant que tel, déclenchant au passage l'exploitation de la vulnérabilité. Méfiez-vous donc également des autres formats d'images...Bien qu'aucun correctif ne soit disponible pour cette vulnérabilité, Microsoft indique qu'il est possible d'en atténuer les effets en activant la fonction DEP (protection de la mémoire contre certains dépassements de mémoire tampon) intégrée à Windows XP SP2. Active par défaut uniquement pour les processus du système, la protection DEP peut en effet être étendue à tous les processus, avec cependant plus ou moins de bonheur en matière de stabilité.Par ailleurs, sous Windows Server 2003, Outlook Express lit les courriers en texte brut par défaut, ce qui le rend moins vulnérable (il n'y aura aucun affichage automatique d'une image piégée, mais l'internaute sera toujours vulnérable s'il clique sur un lien communiqué dans le courrier).Pour le reste, toutes les versions de Windows, de 98 à 2003 sont concernées par cette vulnérabilité.Bien sûr, celle-ci exploitant essentiellement le navigateur Internet Explorer comme vecteur de choix, il est aussi possible d'en changer, le temps que Microsoft publie le correctif ad-hoc.Par ailleurs, les éditeurs d'antivirus commencent à mettre leurs produits à jour afin de détecter l'utilisation de l'exploit publié. Un passage par la case mise à jour s'impose donc !Enfin, les utilisateurs plus à l'aise avec leur système peuvent désactiver purement et simplement le composant vulnérable (depuis la ligne de commande depuis le répertoire system32 : regsvr32 /U shimgvw.dll, suivi de regsvr32 shimgvw.dll pour le réactiver une fois le correctif appliqué).Attention cependant : nous n'avons pas testé ce remède, et la désactivation du composant est susceptible d'avoir un impact sur de nombreux logiciels qui comptent sur sa présence, et notamment en ce qui concerne l'affichage de fax. En outre, Microsoft n'a pas spécifiquement conseillé cette parade et la portée de cette faille laisse croire qu'elle peut être exploitée par d'autres voies.

• L'alerte de Microsoft (en anglais).