Sécurité publique et Protection civile Canada - Public Safety and Emergency Preparedness Canada
Skip all menus (access key: 2) Skip first menu (access key: 1)
English Contactez-nous Aide Recherche Site du Canada
À notre sujet Politiques Recherches Programmes Actualités
Sécurité publique et Protection civile Canada
Accueil

INFORMATION POUR LES...
Citoyens
Collectivités
Gouvernements
Entreprises
Premiers intervenants
Enseignants
AUTRES VOIES...
Index de A à Z
Plan du site
Organigramme

DOSSIERS...
SecuriteCanada.ca
S'attaquer au crime
Semaine PC
Divulgation proactive


Version imprimableVersion imprimable
Envoyez cette page par courrielEnvoyer cette page

Accueil Programmes Gestion des urgences Intervention CCRIC Diffusions analytiques2 AV05-38 : Mise à jour de l'avis AV05-038

Vulnérabilité relative au traitement (0 jour) de fichiers WMF de Microsoft Windows

Mise à jour de l’avis AV05-038
Date: 06 janvier 2006

Microsoft diffuse le bulletin de sécurité MS06-001 relativement à la vulnérabilité des fichiers WMF

À l’origine, Microsoft prévoyait diffuser la mise à jour le mardi 10 janvier 2006, dans le cadre de la publication mensuelle régulière de bulletins de sécurité, une fois que les essais sur la qualité et la compatibilité de l’application allaient être terminés. Cependant, les essais ont pris fin plus tôt que prévu et la mise à jour est prête à être diffusée.

Les clients de Microsoft qui utilisent Windows Server Update Services recevront la mise à jour automatiquement. En outre, la mise à jour est supportée par la version 2.0 de Microsoft Baseline Security Analyzer 2.0, Systems Management Server et Software Update Services. Les clients d’entreprise peuvent aussi télécharger manuellement la mise à jour à partir du Centre de téléchargement.

Bulletin de sécurité MS06-001: http://www.microsoft.com/technet/security/bulletin/ms06-001.mspx

Mise à jour de l'avis AV05-038
Date: 29 décembre 2005

Microsoft a diffusé un avis de sécurité portant sur la vulnérabilité relative au traitement des fichiers WMF. Vous le trouverez à l'adresse suivante : http://www.microsoft.com/technet/security/advisory/912840.mspx

Solution :

La vulnérabilité semble être limitée au fichier SHIMGVW.DLL. Pour corriger l'essentiel de ses manifestations, vous pouvez désenregistrer ce fichier DLL (il s'agit de taper REGSVR32 /U SHIMGVW.DLL à la ligne de commande ou dans la fenêtre Exécuter accessible à partir du menu Démarrer, puis de redémarrer l'ordinateur). Cette mesure aura toutefois pour effet de désactiver le programme Aperçu des images et des télécopies de Windows, ainsi que l'affichage des miniatures et des fichiers WMF véritables (et inoffensifs) dans d'autres programmes comme Paint et l'Explorateur.

Veuillez noter que cette solution ne bloque que certains vecteurs d'attaque connus et ne corrige pas la vulnérabilité sous-jacente.

Signalons que la vulnérabilité peut aussi être exploitée quand un fichier malveillant est enregistré dans un dossier et renommé de façon à comporter l'extension d'un autre format d'image comme BMP, GIF, PNG, JPG, JPEG, JPE, JFIF, DIB, RLE, EMF, TIF, TIFF ou ICO. Nous recommandons aux administrateurs de systèmes de ne pas se fier uniquement aux filtres de périmètre pour empêcher les fichiers WMF d'atteindre les navigateurs, car cette mesure risque d'assurer une protection insuffisante. En effet, Windows XP détecte et traite les fichiers WMF à l'aide de leur contenu («octets magiques») et ne se fie pas seulement à l'extension. Autrement dit, un fichier WMF dont l'extension aurait été changée pourrait pénétrer dans la zone protégée.

Autres sites à bloquer :
Crackz [dot] ws
unionseek [dot] com
www.tfcco [dot] com
Iframeurl [dot] biz
beehappyy [dot] biz
toolbarbiz[dot]biz
toolbarsite[dot]biz
toolbartraff[dot]biz
toolbarurl[dot]biz
buytoolbar[dot]biz
buytraff[dot]biz
iframebiz[dot]biz
iframecash[dot]biz
iframesite[dot]biz
iframetraff[dot]biz
iframeurl[dot]biz

Information supplémentaire : http://www.microsoft.com/technet/security/advisory/912840.mspx
http://www.f-secure.com/weblog/#00000752
http://isc.sans.org/diary.php?storyid=975
http://www.ciac.org/ciac/bulletins/q-085.shtml

Numéro : AV05-038
Date : 28 decembre 2005

Vulnérabilité relative au traitement (0 jour) de fichiers WMF de Microsoft Windows

Objet

L'objet du présent avis est d'attirer votre attention sur une vulnérabilité signalée dans Microsoft Windows, qui peut être exploitée pour compromettre un système vulnérable. Le code d'exploit est accessible au public. Cette vulnérabilité est exploitée dans la nature.

Évaluation

Cette vulnérabilité est activée par une erreur dans le traitement de métafichiers Windows corrompus («.wmf»). Le visualiseur par défaut pour les fichiers «.wmf» est l'Aperçu des images et des télécopies de Windows XP, lequel peut être exploité par l'ouverture d'un fichier «.wmf» malveillant ou la visite d'un site Web malveillant par un utilisateur se servant d'Internet Explorer. Les utilisateurs de Firefox peuvent être infectés s'ils décident d'exécuter ou de télécharger le fichier image.

Versions touchées :
Microsoft Windows XP Service Pack 1
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 (Itanium)
Microsoft Windows Server 2003 SP1 (Itanium)
Microsoft Windows Server 2003 x64 Edition

Mesures suggérées

À l'heure actuelle, SPPCC ne sait pas si le fournisseur offre un correctif permettant de réparer cette vulnérabilité.

SPPCC recommande la solution suivante :

- Bloquez l'accès au domaine unionseek[POINT]com.
- Bloquez les fichiers WMF dans vos vérificateurs de contenu HTTP et SMTP.
- Assurez-vous que votre logiciel antivirus est à jour.

Pour obtenir des renseignements supplémentaires, veuillez vous reporter aux sites Web suivants : http://secunia.com/advisories/18255/
http://isc.sans.org/ http://www.securityfocus.com/bid/16074/info
http://vil.mcafeesecurity.com/vil/content/v_137760.htm

Avis aux lecteurs

Sécurité publique et Protection civile Canada (SPPCC) recueille des renseignements concernant les menaces et les incidents cybernétiques et matériels contre les infrastructures essentielles (IE) du Canada. Ces renseignements tent à SPPCC de surveiller et d’analyser les menaces et de diffuser des alertes, des avis de sécurité ainsi que d’autres produits d’information à nos partenaires. Pour signaler menaces ou incidents, veuillez communiquer avec le Centre des opérations du gouvernement (COG) au (613) 991 7000 ou à l'adresse suivante : cog-goc@sppcc-psepc.gc.ca.

L'utilisation non autorisée des systèmes informatiques et les méfaits relatifs aux données constituent de graves infractions au Code criminel canadien. Toute activité criminelle présumée doit être signalée aux autorités policières. Le Centre national des opérations (CNO) de la Gendarmerie royale du Canada (GRC) est en permanence pour recevoir de tels rapports ou pour acheminer les appels aux organismes d'application de la loi compétents. Vous pouvez joindre le CNO au (613) 993-4460. Les préoccupations portant sur la sécurité nationale doivent être signalées au Service canadien du renseignement de sécurité (SCRS) au (613) 993 9620.

En cas de questions urgentes, ou pour signaler des incidents, veuillez communiquer avec le Centre des opérations du gouvernement au:

Téléphone : (613) 991-7000
Télécopieur : (613) 996-0995
Télécopieur sécuritaire : (613) 991-7094
Courriel : goc-cog@sppcc-psepc.gc.ca

Pour des renseignements généraux sur la protection des infrastructures essentielles et la protection civile, veuillez communiquer avec la direction des Affaires publiques du SPPCC:

Téléphone : (613) 944-4875 ou 1-800-830-3118
Télécopieur : (613) 998-9589
Courriel : communications@sppcc-psepc.gc.ca
Site Web : www.sppcc.gc.ca
Haut de la page
Mise à jour : 2006-01-16 Haut de la page Avis importants