Monday 8 March 2010
Audio Podcast  Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010
Article  Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010
Article  Cloud security threats identified by CSA

Tuesday 2 March 2010
In Brief  Vote for your CSO Interchange topics

Thursday 25 February 2010
Article  Cloud Computing : a simple question of supplier risk

Monday 22 February 2010
Article  Most dangerous coding errors outed

Monday 22 February 2010
In Brief  Microsoft IE users to get browser choice update

Friday 19 February 2010
Article  Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010
In Brief  Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010
Audio Podcast  The Challenges of Cross Border eID

Monday 15 February 2010
Audio Podcast  The Readiness of eID in Europe Part 2

Sunday 14 February 2010
Audio Podcast  The Readiness of eID in Europe Part 1

Thursday 11 February 2010
Article  Concern at DDoS sophistication rise

Monday 8 February 2010
Article  Voice encryption standard takes a beating

Friday 5 February 2010
Article  Military importance of cyber recognised

Written by Jerome Saiz (SecurityVibes)
Published on Friday 30 December 2005
0 comment(s) | Subnetwork France

[Note : consultez de préférence cet article, plus récent, pour un point complet au sujet de la vulnérabilité WMF]C'est un cocktail de fête, mais celui-ci est explosif : une vulnérabilité non corrigée dans Windows permet d'installer n'importe quoi à la visite d'un site web ou à partir d'un email. Vient s'y ajouter un code d'exploitation disponible sur Internet, et le tout arrive bien entendu durant les fêtes de fin d'année, alors que les internautes un peu naïfs y vont de leur carte de voeux virtuelle particulièrement simple à piéger.La faille frappe à nouveau l'interprétation des images au format .WMF, dont Windows faisait déjà les frais le mois dernier. Mais tandis que la première est corrigée, celle-ci ne l'est pas : on appelle ça un "Zero Day", c'est à dire lorsque les pirates sont libres d'agir avant que l'éditeur n'ait pu protéger ses clients.Et les pirates, justement, ne s'en privent pas : selon Microsoft, cette vulnérabilité serait déjà activement exploitée pour installer des codes malicieux à travers le web (probablement essentiellement des spywares, adwares et autres bots destinés à "zombifier" le PC).Selon la société eEye, à l'origine de l'annonce, les utilisateurs d'Internet Explorer sont les plus exposés car chez eux la faille peut-être exploitée automatiquement à la visite d'un site web. Mais que les adeptes des autres navigateurs ne se réjouissent pas trop vite : ils peuvent aussi être victimes de cette faille s'ils tentent d'ouvrir spécifiquement une image au format .WMF (en l'ayant, par exemple, téléchargée au préalable. Mais certes, il faut le vouloir !).Notons enfin que rien n'empêche de créer une image piégée à ce format et de la renommer, par exemple, en JPG. A sa lecture, le système détectera qu'il s'agit du format WMF et l'interprétera en tant que tel, déclenchant au passage l'exploitation de la vulnérabilité. Méfiez-vous donc également des autres formats d'images...Bien qu'aucun correctif ne soit disponible pour cette vulnérabilité, Microsoft indique qu'il est possible d'en atténuer les effets en activant la fonction DEP (protection de la mémoire contre certains dépassements de mémoire tampon) intégrée à Windows XP SP2. Active par défaut uniquement pour les processus du système, la protection DEP peut en effet être étendue à tous les processus, avec cependant plus ou moins de bonheur en matière de stabilité.Par ailleurs, sous Windows Server 2003, Outlook Express lit les courriers en texte brut par défaut, ce qui le rend moins vulnérable (il n'y aura aucun affichage automatique d'une image piégée, mais l'internaute sera toujours vulnérable s'il clique sur un lien communiqué dans le courrier).Pour le reste, toutes les versions de Windows, de 98 à 2003 sont concernées par cette vulnérabilité.Bien sûr, celle-ci exploitant essentiellement le navigateur Internet Explorer comme vecteur de choix, il est aussi possible d'en changer, le temps que Microsoft publie le correctif ad-hoc.Par ailleurs, les éditeurs d'antivirus commencent à mettre leurs produits à jour afin de détecter l'utilisation de l'exploit publié. Un passage par la case mise à jour s'impose donc !Enfin, les utilisateurs plus à l'aise avec leur système peuvent désactiver purement et simplement le composant vulnérable (depuis la ligne de commande depuis le répertoire system32 : regsvr32 /U shimgvw.dll, suivi de regsvr32 shimgvw.dll pour le réactiver une fois le correctif appliqué).Attention cependant : nous n'avons pas testé ce remède, et la désactivation du composant est susceptible d'avoir un impact sur de nombreux logiciels qui comptent sur sa présence, et notamment en ce qui concerne l'affichage de fax. En outre, Microsoft n'a pas spécifiquement conseillé cette parade et la portée de cette faille laisse croire qu'elle peut être exploitée par d'autres voies.

• L'alerte de Microsoft (en anglais).