[-efbie-]

Une faille énorme vient d'être découverte dans windows, et il n'a pas fallu très longtemps pour qu'elle soit exploitée partout dans le monde. Cette faille touche toutes les versions de windows sans exceptions, et il n'y a pas de patch.

Un virus peut être logé dans n'importe quelle image (de n'importe quelle extension), et celui ci peut s'exécuter lorsque l'on visionne celle ci dans n'importe quelle application. Firefox, IE, outlook, Thunderbird, Apercu des images windows, MSN messenger, etc... Tout ce qui lit l'image exécute le virus.

Ce virus se propage déjà via msn, le spam et les sites webs douteux. La seule manière de s'en protéger est de désactiver les images dans tous les programmes que l'on utilise.

C'est particulièrement conseillé pour vos mails puisque le simple visionnage d'un mail infecté suffit pour compromettre votre machine.

Un firewall ne vous servira a rien et les Anti-virus non plus.

La faille se trouve dans GDI soit le programme qui gère l'affichage de windows. Les ingénieurs windows ont jugé utile de permettre au format .WMF (images windows) de contenir du code arbitraire qui s'exécute à la lecture

Les effets des multiples virus varient entre l'installation d'un trojan au déluge de popups en passant par d'autres joyeusetés.

Alors faites gaffe aux cartes de voeux électroniques, elles risquent d'être empoisonnées cette année.

http://www.f-secure.com/weblog/

[Naween | Ciguapuce]

edit: en fait, ca a l'air serieux ;o

[-efbie-]

C'est pas une blague en effet, mieux vaut visiter uniquement les sites connus et utiliser un bloqueur de pub.

A noter que firefox lance une demande de confirmation avant d'exécuter le virus. c'est toujours ça de pris.

[SagaStar]

Quelqu'un a une idée du temps nécessaire pour la correction de cette faille ? Parceque c'est quand même bien gênant, si c'est bien ce que tu décris, tous les virus exploitant cette faille pourront se propager vraiment très vite...

[Sawyer]

Citation :

Publié par White

Quelqu'un a une idée du temps nécessaire pour la correction de cette faille ? Parceque c'est quand même bien gênant, si c'est bien ce que tu décris, tous les virus exploitant cette faille pourront se propager vraiment très vite...

Oui, surtout qu'il doit y en avoir des tout prêts pour ça.

[Drys Kaine]

Citation :

Cette faille touche toutes les versions de windows sans exceptions

Hum...c'est une certitude ça?

c'est pas nouveau, Clubic.com avait fait une news la dessus ya deja bien longtemps de ça.

[Dacaerin]

Citation :

Publié par Hylad

c'est pas nouveau, Clubic.com avait fait une news la dessus ya deja bien longtemps de ça.

http://www.clubic.com/actualite-1666...nti-virus.html ?

Citation :

Publié par Dacaerin

http://www.clubic.com/actualite-1666...nti-virus.html ?

euh ouais, mici le lien. Apres je ne sais pas si sa correspond mais l'histoire des virus dans les images sa date pas d'hier

[sesk]

Citation :

http://www.clubic.com/actualite-166...anti-virus.html ?

non. c'est nouveau et ici :
http://www.clubic.com/actualite-3046...r-l-annee.html
http://www.clubic.com/actualite-3050...e-grand-v.html

il vous est conseille de mettre vos bases antivirus a jours.

il y a un patch pour les utilisateurs de kaspersky :
http://www.kaspersky.com/technews?id=176836515

a noter que pour les sans av :
http://www.hexblog.com/2005/12/wmf_vuln.html#more

quand aux utilisateurs de kerio :

Citation :

SUNBELT KERIO PERSONAL FIREWALL ADDITIONAL WMF EXPLOIT DEFENSE LAYER


With the most recent facts about the WMF Exploit and the growing variants of the trojan i had no other choice than drawing back my previous post with included download-possibily for the Sunbelt Kerio Snort Rules.

These Snort Rules are a modified version of the original Bleeding-Edges Snort Rules, because BE- Snort Rules are not stable.

Our modified version is stable, we have tested it thoroughly.

This afternoon i have discussed with the fellow-members of the CastleCop Sunbelt Kerio Snort Team how to handle.

With the WMF variants there is in fact not an acceptable solution possible, you are always walking behind the facts/new variants and protection against these nasties.

At this time we know, that there is only one real trustable and safe protection possible against the Exploit: with Ilfak Guilfanov's patch.

In that point we were all the same opinion.

We didn't want to offer something that can't protect you 100% against the growing WMF variants.

On the other hand, an extra defense layer against this very dangerous Exploit can't hurt.

We have decided, to open again the downloadlink, but we are doing that with the following remarks:

- We want to make clear, that only Guilfanov's patch will protect you effective.
- We offer you the modified Snort Rules ("all ports") as an interem measure untill Microsoft offer us a final and secure patch that will protect us in a effectve way.
- The Snort Rules will not give you 100% protection, it is an additional defense layer.
- Using the Snort Rules is at your own risk.
- We strongly advice you, to change nothing in the Snort Rules (bad-traffic.rlk).
- Readmefirst.txt is enclosed together with the bad-traffic.rlk in the ZIP file. Read it!


Guilfanov website and downloadlink patch: here

I don't give the direct downloadlink, it's important that you first read the instruction's on Guilfanov's site


Downloadlink modified Snort Rules#1: here
Downloadlink modified Snort Rules#2: here


Enjoy yourself!

Smokey and The CastleCops Team

source :
http://forum.kaspersky.com/index.php...60&#entry53047

edit :

le blog de kaspersky :
http://www.viruslist.com/en/weblog

Merci pour les liens.

[sesk]

breve clubic : http://www.clubic.com/actualite-3051...nd-danger.html

[L0L0]

Un extrait du lien de Gillou :

"Toujours d'après F-Secure, les utilisateurs d'Internet Explorer sont potentiellement plus menacés que ceux utilisant des navigateurs alternatifs (Firefox, Opera). En effet alors que l'affichage des fichiers WMF est automatique sous Internet Explorer, l'utilisateur est interrogé sur sa volonté d'afficher un tel fichier avec les navigateurs comme Firefox ou Opera."

[Coin-coin le Canapin]

Je connaissais pas le format WMF

[L0L0]

Citation :

Publié par Coin-coin le Canapin

Je connaissais pas le format WMF

C'est un format propriétaire de Windows pour des images ou dessins; c'est quand même de moins en moins utilisé ( sauf chez Microsoft qui l'utilise pour ses cliparts, il me semble).
A un moment donné, il y a eu une société avec qqn qui revendiquait les droits sur le format jpg; heureusement c'est donné à l'eau ........

[Kedare]

je m'en fout je suis sur linux

[-efbie-]

Citation :

Publié par Drys Kaine

Hum...c'est une certitude ça?

les versions antérieures à windows 3.0 ne sont vraisemblablement pas touchées.

[FlipBack]

*cours téléchargé firefox*
Putin je sens que ce virus va foutre lamerde :P

[eulbobo]

Citation :

Publié par arnya

*cours téléchargé firefox*
Putin je sens que ce virus va foutre lamerde :P

C'est pas un virus en particulier
C'est une methode d'infection connue depuis TRES (trop?) longtemps... Et qui apparement reviendrai à la mode.

[Pruut]

Mdr ce n'est qu'une faille liée aux fichiers vidéos .W* qui peuvent avoir des commande de chargement de données sur le net.
Cette faille a été installé a Windows lors du SP2 de Windows XP.
Et rajouté aux anciens Windows via les patch qui permettent de lire les fichiers .W*

Remercions les maisons de disque pour leur idée visant a réduire le piratage via le net en instaurant des protocoles non fiables.

[Pôm']

Y'a quand mm qqch que j'ai pas compris. C'est juste le format wmf qui est vérolé ? Dans ce cas la y'a pas simplement moyen d'empêcher son browser d'ouvrir ces images-là ?

Sinon il ne s'agit pas d'un virus a proprement parler, mais d'une faille qui permet l'exécution de code arbitraire ...

[Vin > chuck]

on peut pas empecher la lecture de ces fichiers avec firefox ?
j'ai desactivé toutes les images la, internet c'est un peu naze on dirait le minitel.

juste choisir de desactiver la lecture des wmf. ou .w ( truc comme ca )

merci

[Zovi]

Merchi quand même de nous en parler

[-efbie-]

les images vérolées ont rarement l'extension .wmf mais bien .jpg/.gif/... et le browser est incapable de faire la différence sans lire le fichier, ce qui déclenche le virus.

et la faille a été découverte récemment ce n'est pas la même que la faille sur le même format d'il y a deux semaines, ou la faille sur le wmv.

[Rimkooz]

imaginer un avatard jol verolé :x
ou meme une signature :x

le mal est partous

dsl je m'en vais :x