Aller au contenu
Zebulon
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

= Désactiver le visualisateur d'images intégré MWF =


queruak

Messages recommandés

Bonjour à toutes et à tous,

 

Cette faille critique touche le composant « Aperçu des images et des télécopies Windows ». L’ouverture de fichiers images truqués au format WMF (Windows MetaFile) peut permettre l’exécution d’un code malicieux sur une machine non-protégée.

 

 

LOGICIEL(S) CONCERNE(S) :

Microsoft Windows XP SP2

Microsoft Windows XP SP1

Microsoft Windows XP

Microsoft Windows 2000

Microsoft Windows 2003 Server

 

 

CORRECTIF :

Aucun correctif n'est disponible pour le moment car cette faille a été découverte alors qu'elle était déjà exploitée par un site malicieux .

 

MAIS

il est tout à fait possible de désactiver le composant SHIMGVW.DLL :

 

.Démarrer, Exécuter.

 

.Puis tapez : regsvr32.exe -u shimgvw.dll .

 

.Presser le bouton "OK" ou la touche "Entrée".

 

Ouvrez ensuite l'explorateur de fichiers et allez dans le menu Outils puis Options des dossiers puis Types de fichiers et supprimez tous les types d'images vus par cette fonction de Windows.

 

La désactivation de ce composant le rend indisponible en cas d'attaque malveillante, mais aussi en cas d'utilisation normale par une application saine. Pour réactiver le composant concerné une fois le correctif disponible ou en cas de problème majeur faisant suite à sa désactivation :

 

Ouvrir une session Windows en tant qu'Administrateur (le cas échéant) ;

Cliquer sur "Menu Démarrer" ;

Cliquer sur "Exécuter..." ;

Saisir ou copier-coller : regsvr32 shimgvw.dll"

Presser le bouton "OK" ou la touche "Entrée".

 

NB:IL existe également un fichier .bat sur bleepingcomputer,avec deux options : désenregistrer et enregister la dll

 

http://www.bleepingcomputer.com/forums/topic39047.html

@+

Modifié par queruak
Lien vers le commentaire
Partager sur d’autres sites

Il y a également ce patch concocté par Ilfak Guilfanov, un spécialiste de la sécurité informatique (spécialiste windows low-level) :

 

http://www.hexblog.com/security/files/wmffix_hexblog13.exe

http://www.hexblog.com/2005/12/wmf_vuln.html

 

Ce patch ne désactive pas la composante shimgvw.dll ou la GDI32.dll elle aussi impliquée, il se contente de désactiver la fonction escape de GDI32.dll qui est à l'origine de la vulnérabilité. Cette fonction est en l'état depuis les toutes premières versions de windows (win 3.1), où elle était justifiée (pas dans les windows récents).

 

Ce patch est à désinstaller après la mise en place de la rustine Windows quand elle sera disponible.

 

Et un fichier permettant de tester la vulnérabilité du système(toute relative, valable juste pour les exploits utilisés par le test) :

 

http://www.hexblog.com/security/files/wmf_...ker_hexblog.exe

http://www.hexblog.com/2006/01/wmf_vulnera...ecker.html#more

Modifié par Svr32
Lien vers le commentaire
Partager sur d’autres sites

Bonjour à tous,

 

Le correctif officiel est désormais disponible sur Windows Update.

 

Plus d'informations ici:

 

http://www.futura-sciences.com/sinformer/b/news437b.php

http://www.futura-sciences.com/news-faille...po-maj_7926.php

 

http://www.microsoft.com/technet/security/bulletin/MS06-001.mspx

Lien vers le commentaire
Partager sur d’autres sites

Oui. Ils sont en avance, c'était prévu pour mardi 10 (tant mieux).

 

A signaler : tous les OS ne sont pas patchés (patchables ?). Mon Win 98 SE ne prend ni le patch d'Ilfak Guilfanov ni la rustine WindowsUpdate (heureusement le fichier test créé aussi par Ilfak Guilfanov me dit que mon système n'est pas vulnérable, et Avast! bloque la plupart des exploits .WMF)

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...