= Désactiver le visualisateur d'images intégré MWF =

[queruak]

Bonjour à toutes et à tous,

 

Cette faille critique touche le composant « Aperçu des images et des télécopies Windows ». L’ouverture de fichiers images truqués au format WMF (Windows MetaFile) peut permettre l’exécution d’un code malicieux sur une machine non-protégée.

 

 

LOGICIEL(S) CONCERNE(S) :

Microsoft Windows XP SP2

Microsoft Windows XP SP1

Microsoft Windows XP

Microsoft Windows 2000

Microsoft Windows 2003 Server

 

 

CORRECTIF :

Aucun correctif n'est disponible pour le moment car cette faille a été découverte alors qu'elle était déjà exploitée par un site malicieux .

 

MAIS

il est tout à fait possible de désactiver le composant SHIMGVW.DLL :

 

.Démarrer, Exécuter.

 

.Puis tapez : regsvr32.exe -u shimgvw.dll .

 

.Presser le bouton "OK" ou la touche "Entrée".

 

Ouvrez ensuite l'explorateur de fichiers et allez dans le menu Outils puis Options des dossiers puis Types de fichiers et supprimez tous les types d'images vus par cette fonction de Windows.

 

La désactivation de ce composant le rend indisponible en cas d'attaque malveillante, mais aussi en cas d'utilisation normale par une application saine. Pour réactiver le composant concerné une fois le correctif disponible ou en cas de problème majeur faisant suite à sa désactivation :

 

Ouvrir une session Windows en tant qu'Administrateur (le cas échéant) ;

Cliquer sur "Menu Démarrer" ;

Cliquer sur "Exécuter..." ;

Saisir ou copier-coller : regsvr32 shimgvw.dll"

Presser le bouton "OK" ou la touche "Entrée".

 

NB:IL existe également un fichier .bat sur bleepingcomputer,avec deux options : désenregistrer et enregister la dll

 

http://www.bleepingcomputer.com/forums/topic39047.html

@+

Modifié le 3 janvier 2006 par queruak

[Svr32]

Il y a également ce patch concocté par Ilfak Guilfanov, un spécialiste de la sécurité informatique (spécialiste windows low-level) :

 

http://www.hexblog.com/security/files/wmffix_hexblog13.exe

http://www.hexblog.com/2005/12/wmf_vuln.html

 

Ce patch ne désactive pas la composante shimgvw.dll ou la GDI32.dll elle aussi impliquée, il se contente de désactiver la fonction escape de GDI32.dll qui est à l'origine de la vulnérabilité. Cette fonction est en l'état depuis les toutes premières versions de windows (win 3.1), où elle était justifiée (pas dans les windows récents).

 

Ce patch est à désinstaller après la mise en place de la rustine Windows quand elle sera disponible.

 

Et un fichier permettant de tester la vulnérabilité du système(toute relative, valable juste pour les exploits utilisés par le test) :

 

http://www.hexblog.com/security/files/wmf_...ker_hexblog.exe

http://www.hexblog.com/2006/01/wmf_vulnera...ecker.html#more

Modifié le 2 janvier 2006 par Svr32

[queruak]

Bonjour à tous,

 

Le correctif officiel est désormais disponible sur Windows Update.

 

Plus d'informations ici:

 

http://www.futura-sciences.com/sinformer/b/news437b.php

http://www.futura-sciences.com/news-faille...po-maj_7926.php

 

http://www.microsoft.com/technet/security/bulletin/MS06-001.mspx

[Médicus 33]

Bonsoir à tous

 

C'est bien le même qu'ici ?

[Svr32]

Oui. Ils sont en avance, c'était prévu pour mardi 10 (tant mieux).

 

A signaler : tous les OS ne sont pas patchés (patchables ?). Mon Win 98 SE ne prend ni le patch d'Ilfak Guilfanov ni la rustine WindowsUpdate (heureusement le fichier test créé aussi par Ilfak Guilfanov me dit que mon système n'est pas vulnérable, et Avast! bloque la plupart des exploits .WMF)