Passer au contenu

Windows piégé par des images vérolées

Avec la dernière faille en date, le simple affichage d’une image au format Jpeg peut entraîner l’exécution d’une commande donné par un pirate. Plusieurs démonstrations d’attaques circulent déjà sur Internet. Un correctif est
disponible.

Voici venu le temps des virus graphiques. Une aubaine pour les pirates : si tout le monde se méfie aujourd’hui des fichiers exécutables, ce n’est pas encore le cas avec les images. Pourtant, à cause d’un simple composant standard
(la
librairie
Graphic Device Interface Plus, ou GDI+), il est en théorie possible de prendre le contrôle d’un PC à la seule lecture d’une image piégée. Seul les
systèmes d’exploitation Microsoft seraient aujourd’hui touchés par cette faille.Un pirate devra réunir plusieurs conditions avant de pouvoir piéger ainsi un internaute : d’abord concevoir une image au format
Jpeg spécialement modifiée pour faire ‘ planter ‘ la librairie vulnérable. Il faut ensuite pousser l’internaute à afficher le fichier vérolé avec un
programme qui utilise bien cette librairie. Mais ce n’est pas le plus difficile tant cette dernière est répandue : on la trouve dans tous les Windows récents et dans Outlook, FrontPage, dans les programmes créés avec Visual Studio .NET…
sans même parler des éditeurs tiers dont les logiciels utilisent GDI+, mais qui ne communiquent pas sur le sujet.Au moment de l’ouverture du fichier, non seulement l’image ne s’affichera pas suite au plantage du programme, mais le pirate pourra lancer l’exécution sur l’ordinateur de sa victime d’une commande (par exemple dissimulée dans le code de
l’image) mise au point par ses soins.

L’arrivée d’un virus de grande ampleur ne va pas tarder

A l’heure actuelle, des pirates mettent au point des outils suffisamment nuisibles pour lancer une attaque automatisée capable de prendre le contrôle de milliers d’ordinateurs à l’aide d’un ver ou d’un virus. Déjà, les premières étapes
sont franchies : quelques jours à peine après la publication de l’alerte, un premier outil montrait qu’il était possible de faire ‘ planter ‘ un PC à la seule lecture d’une image Jpeg piégée. Et depuis quelques heures,
un nouveau programme est capable de faire exécuter une commande à Windows.Pour la plupart des observateurs, dont le SANS Institute, l’apparition d’un virus capable d’exploiter cette faille à grande échelle n’est plus qu’une question de jours, voire d’heures. D’ailleurs, la plupart des éditeurs d’antivirus ne
s’y sont pas trompés et ont commencé à ajouter la signature du premier exploit et des entêtes Jpeg corrompus dans leurs dernières bases de signatures virales. Une protection qui pourrait suffire, au moins initialement.De son côté, Microsoft a publié un
correctif chargé de réparer la librairie mise en cause. Mais hélas, celui-ci ne corrige que la version de la librairie fournie avec
Windows. Et comme de nombreuses autres applications peuvent choisir d’utiliser leur version de la librairie, amenée avec elles lors de l’installation, il est difficile d’être protégés à coup sûr même après avoir installé le correctif officiel. Il
faudra alors appliquer une rustine fournie par l’éditeur sur chacun de ces programmes. C’est le cas par exemple pour Microsoft Office XP, Visio 2002, Project 2002, Office 2003, Visio 2003 et Project 2003.Pour faciliter la tâche des utilisateurs, Microsoft offre un outil chargé de détecter la présence de versions vulnérables de cette librairie. Charge à lutilisateur de contacter ensuite les éditeurs concernés pour exiger un correctif.
Voilà qui ne devrait pas faciliter la mise à jour rapide des PC vulnérables… et qui fera probablement le jeu des auteurs de virus !

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Jérôme Saiz