Première publication le 02/01/2006Windows toujours sous la menace d’images WMF piégées
bord.Les pirates n’ont pas chômé pendant les fêtes de fin d’année. Certains se sont appliqués à exploiter la dernière faille de Windows, révélée la semaine dernière, qui concerne l’interpréteur d’images WMF (Windows Meta
File) du système d’exploitation. En l’espace de quelques jours, quatre-vingts exploitations de cette vulnérabilité ont déjà été recensées.Il s’agit principalement de téléchargements de chevaux de Troie ou de keyloggers (enregistreurs de frappe au clavier). Un ver, circulant via MSN Messenger, a également été détecté. Autant de moyens qui permettent à
un pirate de prendre le contrôle à distance d’un ordinateur.Pourtant, WMF est un format graphique peu répandu à l’échelle du Web. Il est surtout exploité par les bibliothèques d’images fournies avec la suite bureautique Office de Microsoft, les cliparts ou encore Windows Fax. La faille n’en est
pas moins considérée comme critique par certains éditeurs : ‘ C’est la technique d’infection employée qui rend cette vulnérabilité dangereuse : les images WMF sont lues automatiquement par Internet Explorer et les
autres outils Windows. Il suffit, par exemple, d’effectuer une recherche avec l’explorateur, qui affiche les images en miniature ‘, explique David Touzeau, consultant sécurité chez Kaspersky.
Un correctif sous le manteau
La plupart des
versions de Windows, de 98 à Server 2003, sont concernées. De leur côté, les éditeurs d’antivirus ont pris leurs précautions, en fournissant à leurs clients des
parades aux attaques exploitant cette nouvelle vulnérabilité. Mais, à ce jour, la faille elle-même n’a pas été comblée par Microsoft, qui n’a pas encore jugé bon de livrer de correctif pour les différentes versions de son système d’exploitation.Si certains spécialistes parient sur un retard destiné à attendre la livraison du prochain bulletin de sécurité mensuel de l’éditeur (mi-janvier), d’autres soulignent la difficulté de la tâche : ‘ Il ne
s’agit pas à proprement parler d’une faille. Mais plutôt de l’exploitation détournée d’une fonction du format WMF, qui permet de faire appel à des processus externes ‘, rappelle François Paget, chercheur antivirus chez
McAfee.En attendant, les plus téméraires pourront se procurer un patch non officiel qui circule sur le Net. ‘ Mais il est préférable de désactiver la DLL [bibliothèque de programmation utilisée par Windows,
NDLR] en cause, plutôt que de devoir désinstaller ce patch provisoire lorsque le patch officiel sera disponible…. ‘, prévient sur son site l’éditeur McAfee. Et dans tous les cas, mieux vaut réfléchir à deux
fois avant d’ouvrir ses cartes de v?”ux : lextension .WMF peut être camouflée en innocent Jpeg.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.