Assiste.Forums

[Gargantua]

Salut à toutes et tous,

Dernière faille de windows corrigée par des patchs. Ceci concerne les images JPEG (Attention les yeux)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
S E C U S E R A L E R T E 14/09/04
http://www.secuser.com/
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Vulnérabilité critique dans Windows
et autres logiciels Microsoft
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

1. RESUME DE L'ALERTE
2. LOGICIEL(S) AFFECTE(S)
3. CORRECTIF DISPONIBLE
4. AIDE ET DISCUSSION
5. FAIRE CONNAITRE SECUSER ALERT
6. CONTACTER SECUSER.COM
7. DESABONNEMENT ET CHANGEMENT D'ADRESSE


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1. RESUME DE L'ALERTE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Une vulnérabilité critique a été découverte dans le composant GDI utilisé
pour le traitement des images JPEG dans Windows XP et de nombreux autres
logiciels Microsoft. Cette vulnérabilité peut permettre à une personne
malveillante de prendre le contrôle à distance de l'ordinateur de sa victime
ou à un virus de s'exécuter automatiquement à l'insu de l'utilisateur lors
de l'affichage d'une image piégée, par exemple dans une page web. Windows
95/98, Me, NT 4.0, 2000 et XP SP2 ne sont pas concernés mais peuvent avoir
été rendus vulnérables si un des logiciels ci-dessous a été installé.
http://www.secuser.com/communiques/2004 ... gdijpg.htm

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
2. LOGICIEL(S) AFFECTE(S)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Microsoft Windows XP
Microsoft Windows XP Service Pack 1
Microsoft Windows Server 2003
Microsoft Internet Explorer 6 Service Pack 1
Microsoft Office XP Service Pack 3
Microsoft Office 2003
Microsoft Outlook 2002
Microsoft Outlook 2003
Microsoft Word 2002
Microsoft Word 2003
Microsoft Excel 2002
Microsoft Excel 2003
Microsoft PowerPoint 2002
Microsoft PowerPoint 2003
Microsoft FrontPage 2002
Microsoft FrontPage 2003
Microsoft Publisher 2002
Microsoft Publisher 2003
Microsoft InfoPath 2003
Microsoft OneNote 2003
Microsoft Project 2002 Service Pack 1 (toutes versions)
Microsoft Project 2003 (toutes versions)
Microsoft Visio 2002 Service Pack 2 (toutes versions)
Microsoft Visio 2003 (toutes versions)
Microsoft Visual Studio .NET 2002
Microsoft Visual Studio .NET 2003
Microsoft .NET Framework version 1.0 SDK Service Pack 2
Microsoft .NET Framework version 1.0 Service Pack 2
Microsoft .NET Framework version 1.1
Microsoft Picture It! 2002 (toutes versions)
Microsoft Greetings 2002
Microsoft Picture It! version 7.0 (toutes versions)
Microsoft Digital Image Pro version 7.0
Microsoft Picture It! version 9 (toutes versions)
Microsoft Digital Image Pro version 9
Microsoft Digital Image Suite version 9
Microsoft Producer for Microsoft Office PowerPoint (toutes versions)
Microsoft Platform SDK Redistributable: GDI+

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
3. CORRECTIF DISPONIBLE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Les utilisateurs concernés doivent appliquer immédiatement le correctif
correspondant à la version de leurs logiciels en utilisant les services
WindowsUpdate et OfficeUpdate (en français). En fonction des logiciels
installés, il peut être nécessaire d'installer plusieurs correctifs.
http://www.secuser.com/outils/index.htm#windowsupdate
http://www.secuser.com/outils/index.htm#officeupdate

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
4. AIDE ET DISCUSSION
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Détail de l'alerte sur le site de l'éditeur
http://www.microsoft.com/technet/securi ... 4-028.mspx
Précédents communiqués sécurité
http://www.secuser.com/communiques/
Déterminer le numéro de version d'un logiciel
http://www.secuser.com/faq/securite/#numero_version
Identifier les fausses alertes virus et sécurité
http://www.secuser.com/antihoax/gratuit/
Dernières nouvelles de la sécurité informatique
http://www.secuser.com/actu/

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
5. FAIRE CONNAITRE SECUSER ALERTE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Si vous pensez que cette lettre peut rendre service à un proche,
vous pouvez l'inviter à s'abonner ou à découvrir le site Secuser.com.
http://www.secuser.com/services/invitation/

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
6. CONTACTER SECUSER.COM
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Pour nous contacter, merci de ne pas répondre à ce message mais de choisir
l'adresse destinataire appropriée dans la page Contact. Cette page apporte
par ailleurs une réponse immédiate aux questions non traitées par courriel.
http://www.secuser.com/contact/

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
7. DESABONNEMENT ET CHANGEMENT D'ADRESSE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Afin d'assurer la gratuité du service, les opérations d'abonnement et de
désabonnement ont été automatisées. Pour changer votre adresse e-mail ou
vous désabonner, cliquez simplement sur le lien ci-dessous.
http://infolettre.secuser.com/msm.pl/11 ... 4967724297


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
La liste Secuser Alerte est une publication gratuite
du site Secuser.com (http://www.secuser.com/)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Reproduction interdite sans accord écrit préalable
dans le cas d'une utilisation autre que privée
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Copyright (c) 2001-2004 Emmanuel JUD
Secuser est une marque déposée
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Powered by Splio Pro (http://www.splio.fr/)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

PS: En écoutant: "Anne, ma soeur Anne", de Louis Chedid en ce moment sur M6 à 03h28

[le gromleux]

m'en fous , j'ai W98SE !
c'est tellement mieux !

bonne journée
@+

[césar]

m'en fous , j'ai W98SE !
c'est tellement mieux !

bonne journée
@+

windows 98 n'est pas concerné... sauf s'il l'un des composants suivants a été installé : outlook express, i.e sp1...
bref, mieux vaut faire un tour sur update.
d'ailleurs j'y suis en ce moment même et on me propose d'installer un logiciel qui détectera s'il y a un composant gdi susceptible d'être touché par la faille.
c'est bon, ok, je suis clear.
parfois, je me dis qu'ils inventent toutes ces failles pour qu'on viennent les voir de temps en temps sur winupdate.
ils se sentent seuls ?

[Gargantua]

Salut,

Deux articles sur Branchez-vous! nous mettent en garde contre des arnaques à l'image vérolée:

Important : Microsoft corrige une faille critique dans le maniement des images
C'est déjà le second mardi du mois, le moment choisi par Microsoft pour la publication des mises à jour de ses logiciels. En ce mois de septembre, le géant de Redmond invite les internautes à corriger le plus tôt possible une faille critique qui a été décelée dans plusieurs logiciels qui manipulent les images JPEG.

Cette faille critique dans la gestion des images JPEG, qui pourrait permettre de contrôler un PC à distance si elle est exploitée avec succès, affecte notamment Windows XP (avec ou sans SP1), Office XP SP3, Office 2003, NET Framework (1.0 SP2 et 1.1), Picture It! et Internet Explorer 6.0 SP1.

Windows XP avec SP2 n'est pas directement affecté mais ses utilisateurs qui possèdent la suite Office doivent tout de même la mettre à jour.

Dans la page consacrée au colmatage de cette brèche, Microsoft suggère d'effectuer la mise à jour par étapes: d'abord celle de Windows (XP, XP SP1 et Server 2003), à partir du site Windows Update ou du bulletin de sécurité MS04-028, ensuite celle de la suite bureautique Office Office Update et, enfin, pour les utilisateurs d'une version de Windows autre que XP et Server 2003, la mise à jour des logiciels de graphisme de Microsoft qui sont affectés.

Pour aider les utilisateurs dans ce dernier cas, Microsoft a même publié un outil en ligne qui balaie les systèmes afin de déterminer s'ils hébergent des logiciels de graphisme vulnérables. Tous les détails et téléchargements dans les liens donnés ci-dessus.

Texte rédigé par : Jean-Charles Condo
Publié dans BRANCHEZ-VOUS! le 14 septembre 2004
http://www.branchez-vous.com/actu/04-09/08-294305.html

et celle là:

Faille Jpeg Windows et IE : les pirates se préparent à l'attaque
Après la publication récente de méthodes pour exploiter la faille de Windows et d'Internet Explorer relative au maniement des images Jpeg, des experts en sécurité s'attendent à ce que des pirates passent bientôt à l'attaque.

Un commentaire du journal en ligne de l'Internet Storm Center indique ce jeudi que plusieurs méthodes pour exploiter la faille Jpeg de Windows et IE ont publiées sur Internet, et évoque la possibilité d'une exploitation prochaine par des pirates.

Concrètement, des individus malintentionnés pourraient créer des images Jpeg spécialement conçues pour tirer profit de cette faille et obtenir ainsi le contrôle de PC distants vulnérables. Des vers informatiques pourraient également être créés dans le but d'exploiter cette brèche.

Les correctifs pour cette faille ont été publiés par Microsoft la semaine dernière, dans le cadre de ses mises à jour mensuelles (voir la nouvelle Important: Microsoft corrige une faille critique dans le maniement des images), mais la nouveauté relative des rustines fait craindre aux experts en sécurité informatique que de nombreux internautes n'ont pas encore colmaté leur système.

Des éditeurs de logiciels antivirus encouragent donc fortement les retardataires à appliquer dès que possible les correctifs pour Windows / Internet Explorer et Office, notamment Graham Cluley de Sophos: «La faille est sérieuse; tout le monde devrait s'assurer que son système est convenablement protégé avant qu'on ne tente d'exploiter cette vulnérabilité avec de mauvaises intentions.»

Envoyer à un(e) ami(e)

Texte rédigé par : Jean-Charles Condo
Publié dans BRANCHEZ-VOUS! le 24 septembre 2004
http://www.branchez-vous.com/actu/04-09/08-296103.html

ça crève les yeux

[Gargantua]

Salut,

Dernières news de Znet France http://www.zdnet.fr/actualites/technolo ... 070,00.htm

Des experts craignent une recrudescence d'attaques liées à la "faille JPeg"
Par Philippe Astor
ZDNet France
Mardi 28 septembre 2004

Le Cert-IST, un centre d'alerte des menaces informatiques travaillant pour le compte de grandes entreprises françaises, s'inquiète de la publication, sur le Net, du descriptif d'une faille critique pourtant déjà colmatée par Microsoft.

Malgré la publication d'un patch par Microsoft il y a une quinzaine de jours, le centre d'alerte Cert-IST (*), créé en 1999 par un consortium de quatre grandes entreprises françaises, craint l'imminence d'attaques virales exploitant la faille MS04-028, également baptisée «faille JPeg».

Cette faille, qui touche les librairies utilisées par la plupart des applications de Microsoft pour manipuler les images au format JPeg, a suscité l'apparition de nombreux programmes susceptibles de l'exploiter. «En moins de 2 jours, les premiers programmes d’exploitation ont circulé sur internet, et dans la semaine du 20 au 25 septembre, ils se sont multipliés, permettant des actions de plus en plus dangereuses sur le poste victime de l’attaque», indique le Cert-IST dans un communiqué.
advertisement
L'organisme de veille et d'alerte regrette que l'«exploit» (le descriptif) de cette faille ait été diffusé publiquement sur le Net, ce qui a facilité, à n'en pas douter, le travail des programmeurs malveillants et obligé les victimes à installer les correctifs dans l'urgence.

Appliquer les correctifs ne suffit pas

«L’état de vulnérabilité du poste utilisateur dépend aussi bien de ses versions et correctifs Windows, Service Pack, que d’Office et d’une vingtaine d’autres applications telles que MS Project. Du fait de ces sources multiples, même après application des correctifs, il faudra rester très attentif aux mises à jour ultérieures, pour éviter une résurgence de la faille, en particulier sur les postes disposant des droits administrateurs», avertit le Cert-IST.

En détail, l'organisme – qui n'a pas encore publié l'alerte sur son site internet qu'il ne le rend d'ailleurs pas public automatiquement – recommande aux organisations et entreprises:
«D'appliquer sans attendre les correctifs disponibles chez Microsoft;

- d'appliquer en temps réel les mises à jour des signatures des éditeurs d'antivirus;

- d'envisager la mise en place de mécanismes de filtrage (au niveau passerelle antivirale et des relais web) bloquant les fichiers JPeg. Ce mécanisme de blocage, d’une efficacité limitée, mais facile à mettre en place, ne serait activé momentanément que lors de l'apparition effective d'un ver, et jusqu’à la mise à jour des signatures d’antivirus;

- après l’apparition effective du ver, de mettre en quarantaine avant reconnexion sur le réseau intérieur les PC portables de retour de déplacement (surtout à domicile);

- de contrôler régulièrement l’état de vulnérabilité de leur parc à l’aide des "scanners gdi" qui existent, et d’envisager de geler les mises à jour d’applications pouvant avoir un impact régressif sur la bibliothèque, ou d’en confier le contrôle aux équipes sécurité;

- de diffuser à l’intention des utilisateurs internes un message de sensibilisation du type "Attention alerte virale. Les spéblurptes en sécurité signalent un risque d’attaque imminente exploitant un défaut dans les programmes qui visualisent des images au format jpeg. Si vous avez un doute concernant une pièce jointe suspecte, n’hésitez pas à informer le service informatique avant de l’ouvrir."»

(*) Cert-IST ou Computer Emergency Response Team pour les secteurs de l'industrie, des services et du tertiaire.

[Jim Rakoto]

Saut,

Cela continue

Trouvé sur le site Optimix, cette info de Jack

h**p://sylvana.***/test/AP4.jpg

Exploitation JPG crashe IE. Seul KAV et NOD32 préviennent son exécution

En fait le malware étant buggé, mais pour combien de temps, il crash le système sur lequel il essaye d'implanter un "backdoor"
Un peu de patience, les utilisateurs d'IE, même patché, les corrections sont en cours.

Il y a actuellement deux alertes JPEG : Exploit.IE.crashsos (celui dont je vous parle) et Exploit-MS04-028 (celui pour lequel MS a sorti un patch)

Les utilisateurs Mozilla semblent épargnés . l'image s'affiche mais rien ne se passe

Seule protection actuellement en créant un filtre de type de contenu "*.jpg" et un filtre de popup "*.jpg".
Radical,

Aaaah, vous voulez vraiment garder IE ? Mais, c'est vous qui voyez. Vivre dangereusement est un style de vie

A+

[Félix le Chat]

Bonsoir,

Mon IE semble correctement patché... mais j'utilise en surcouche Maxthon, qui crashe lorsque il se connecte à h**p://sylvana.net/test/AP4.jpg, qui est un exemple de jpg avec l'exploit dont tout le monde parle... en attendant qu'une solution soit trouvée j'ai créé 2 règles [*.jpg] dans "options" "tueur de pub" "filtre popup" et "filtre de contenu" de Maxthon qui ne crashe plus avec h**p://sylvana.net/test/AP4.jpg... pour être tout à fait franc, il ne charche pas l'image en question comme foxmail, mais il ne crashe pas... je pense donc qu'il reste insensible à l'exploit (?)... mais il y a des variantes à .jpg, d'où ma question quelles sont ces variantes ? merci d'avance pour la réponse

[Gargantua]

Salut,

Merci au chat Félix, pour ces infos sur les filtres.

Suite des infos:

Une première photo infectée découverte sur Internet
Des spéblurptes en sécurité informatique ont découvert, sur les groupes de nouvelles Usenet, la première photo «infectée» dans le but de tirer profit de la faille de Windows/IE et Office dans le maniement des images Jpeg.

Il y a quelques jours, un petit logiciel destiné à modifier les images afin d'exploiter la faille Jpeg des logiciels de Microsoft, apparaissait sur Internet.

Hier, une première photo tentant d'exploiter cette faille a été expédiée dans un groupe de nouvelles Usenet destiné aux adultes.
Apparemment créée avec le logiciel cité ci-dessus, la photo «infectée» devait récupérer et installer un cheval de Troie sur les ordinateurs vulnérables qui la téléchargent.

L'Internet Storm Center précise que la photo téléchargée à partir d'Internet Explorer sous Windows 2000 ou Windows XP SP1 (XP SP2 n'est pas directement affecté par la faille) se contentait toutefois de faire planter le navigateur mais qu'une exploitation plus perfectionnée pourrait apparaître très bientôt.

Notons également que les principaux logiciels antivirus, notamment ceux des éditeurs Bitdefender, Kaspersky, McAfee, Symantec et Trendmicro, détectent depuis quelques jours les tentatives d'exploitation de la faille Jpeg réalisées avec le logiciel mentionné précédemment.

D'autres experts évoquent la possibilité qu'un ver informatique pourrait exploiter cette faille: «J'ai le mauvais pressentiment que, tôt ou tard, nous pourrions voir apparaître un ver informatique qui utilise une image Jpeg en fichier joint», explique Mikko Hypponen de F-Secure.
Texte rédigé par : Jean-Charles Condo
Publié dans BRANCHEZ-VOUS! le 28 septembre 2004
http://www.branchez-vous.com/actu/04-09/08-297101.html

Images contaminées : les antivirus ne sont pas nécessairement efficaces
Même les utilisateurs qui possèdent un logiciel antivirus à jour ne sont pas nécessairement protégés contre l'exploitation de la faille dans le maniement des images Jpeg de Windows/IE et Office.

La faille Jpeg a déjà été exploitée sur Internet, dans des groupes de nouvelles, et les experts craignent que d'autres applications malveillantes ne commencent bientôt à se multiplier sur Internet. Si ce n'est déjà fait, il est donc impératif d'installer le plus tôt possible les mises à jour de Microsoft qui permettent d'immuniser un système contre ces attaques.

La menace est d'autant plus inquiétante que les logiciels antivirus ne balaient pas nécessairement les images Jpeg. C'est notamment le cas de la firme de sécurité informatique F-Secure qui avertit ses utilisateurs que, par défaut, son logiciel antivirus ne balaie que les fichiers exécutables.

F-Secure conseille donc à ses utilisateurs de balayer tous les types de fichiers ou d'ajouter manuellement les extensions suivantes: BMP, DIB, EMF, GIF, ICO, JFIF, JPE, JPEG, JPG, PCX, PNG, RLE, TGA, TIF, TIFF et WMF, car les extensions des images Jpeg peuvent être modifiées.

Cet avertissement pourrait aussi s'appliquer aux utilisateurs d'autres logiciels; les internautes peuvent s'assurer que leur antivirus est en mesure de détecter les images potentiellement contaminées dans leurs options de configuration.

Texte rédigé par : Jean-Charles Condo
Publié dans BRANCHEZ-VOUS! le 29 septembre 2004
http://www.branchez-vous.com/actu/04-09/08-297303.html

A+

[Félix le Chat]

Merci pour les extensions...

Après téléchargement de h**p://sylvana.net/test/AP4.jpg j'ai fait quelques autres tests, toujours avec Maxthon en surcouche d'IE, en changeant les extensions avec .gif, .png, .tif, .pcx, .tga le chargement ne s'effectue pas [grâce aussi aux autres paramètres de sécurité d'IE et de maxthon) avec .ico le chargement s'effectue en partie... je laisse quelques autres extensions à tester... Bon travail...

Je pense que chacun devrait tester 1 par 1 ses différents programmes avec h**p://sylvana.net/test/AP4.jp

[Jim Rakoto]

Salut,

la riposte s'organise, notamment chez A2 :

De plus, nous voudrions également attirer l'attention sur une nouvelle source de danger dans Internet. Une erreur critique affectant le composant GDI+ destiné au traitement des images au format JPEG sous Windows, permet par simple visualisation de l'image par ex: sur des sites internet ou bien par eMails, de déclancher le programme code contenu dans l'image. Pour votre propre sécurité nous vous conseillons vivement d'installer les nouvelles mises à jour des patches de sécurité actuels de Microsoft via http://www.windowsupdate.com

Avec la nouvelle mise à jour, a² reconnait maintenant aussi le Worm.Win32.Bagle.AS ainsi que les images JPEG manipulés, qui pourrait menacer votre système. Mais cela bien sûr, ne vous dispense pas d'une mise à jour de votre système d'exploitation!

Des nouvelles des autres antimalwares sous peu

A+