WMF : Un point d'étape
L'information sur cette faille est abondante et nécessite de faire le point :
- Cette faille était déjà exploitée depuis environ 1 mois, voire plus. (bien avant que les médias ne s'emparent de l'affaire)
- Elle est extrêmement critique et concerne I.E., mais aussi FF et d'autres navigateurs alternatifs. (elle n'attaque pas le navigateur lui-même, mais un des éléments qui sert à traiter les images)
- Des mails et des liens dans les messageries instantanées sont maintenant utilisés pour envoyer ces images infectées aux cibles potentielles. Il n'est donc plus nécessaire de se rendre sur un site dangereux pour être infecté, puisque c'est l'infection qui vient à vous !
- De nombreuses variantes existent dans 2 générations. La plupart des éditeurs antivirus ont mis à jour leurs bases de signature pour la première génération de WMF infectés; pour la deuxième, seuls McAfee (à partir de DAT 4664), Symantec et e-Trust ont mis à jour leurs bases (d'après ISC).
Une video démontre le caractère critique du problème et certains pourraient bien y reconnaître un aperçu de leurs propres soucis.
Microsoft a publié un bulletin d'alerte et propose, faute de mieux pour le moment, une solution qui vous couvrira (mais pas à 100 %) :
Démarrer > Exécuter : regsvr32 /u shimgvw.dll
Cette commande va produire des effets secondaires. Les plus notables sont l'arrêt du fonctionnement de l'aperçu des images et télécopies, la perte de l'affichage des miniatures ainsi que la perte de la fonctionnalité "pellicule" dans les dossiers d'images.
Vous ne serez pas couvert par le désenregistrement de shimgvw.dll si vous ouvrez un WMF dans MSPaint !
La commande inverse est :
regsvr32 shimgvw.dll
Evidemment, elle réactive la faille en question et ne sera à appliquer qu'une fois le patch sorti. (à moins que le patch ne s'occupe de le faire)
Bien sur, mettez à jour votre anti-virus !
Méfiez-vous de TOUS les formats d'image, un WMF dangereux renommé (par exemple) en GIF ou en JPG reste dangereux !
Pour le moment, cette faille est utilisée pour installer des spywares ou des faux anti-spywares (qui vous nettoient contre des $$$), il est très possible qu'elle soit exploitée dans un futur proche pour installer des trojan et d'autres malwares.
Donc, exécutez les 2 points signalés par et vous serez couverts à 98 %. Les 2 % restant seront évités avec un peu de bon sens...
Pour ceux qui désirent une plus grande sécurité, un patch non officiel (et qui n'a pas été validé par Microsoft) est disponible ici ainsi qu'un test de vulnérabilité.
(si vous l'utilisez, je vous conseille de désinstaller ce patch temporaire avant d'installer le patch officiel)
Avec un peu de chance, ce patch officiel sera diffusé le Mardi 10 Janvier 2006 vers 20 heures. D'ici là, prenez vos précautions !
Pour les techniciens, des infos actualisées régulièrement sont disponibles sur le blog de F-Secure.