Les failles affectant les routines chargées de lire et d’afficher un type d’image sont particulièrement dangereuses. En effet, elles permettent une exploitation presque transparente, ou l’utilisateur n’a virtuellement aucune action à effectuer à part surfer sur le mauvais site ou ouvrir un message électronique (par l’intermédiaire du volet de prévisualisation). Précedemment, une faille dans le traitement des fichiers JPG dans Windows avait été identifée (en 2004), ainsi qu’une dans les format EMF et WMF il y a peu de temps.

C’est encore le format WMF qui est touché aujourd’hui par une faille, associée à un exploit qui est déjà public. Plus précisément le bug se situe dans le programme Windows Picture and Fax Viewer et permet une prise de contrôle à distance du système ciblé. Pour déclencher cette faille, le simple surf sur un site piégé en utilisant Internet Explorer peut être suffisant. Pour les utilisateurs de Mozilla ou Opéra, les dernières versions ouvrent par défaut l’application vulnérable lorsque l’utilisateur clique sur le lien de l’image (mais après avoir demandé confirmation a l’utilisateur).

Cette faille et l’exploit l’utilisant ont été rendus public sur le site d’implantation de spywares unionseek.com (ne pas visiter ce site sous windows) et découverts notamment par les finlandais de F-Secure. Ils sont apparemment activement utilisés par les créateurs de malware, d’autant plus qu’aucun patch n’est disponible pour ce bug (qui fonctionne sur Win XP SP2 avec toutes les mises à jour).

Il est donc recommandé de ne pas utiliser Internet Explorer et de se méfier particulièrement des images au format WMF. Les systèmes Linux ne sont pas concernés par cette faille.

Source : secuobs.com