Faille Windows WMF: les patchs non officiels débarquent

Windows est toujours en grand danger. La faille WMF (Windows Metafile) et ses multiples exploitations continuent à proliférer sur la Toile et dans les messageries à un rythme très soutenu. Au point que la presse grand public commence à en parler: cf

le Monde daté de ce mercredi 4 janvier. Rappelons que cette vulnérabilité est causée par un problème dans la gestion des fichiers Windows Metafile (WMF), qui sont des fichiers d’image employés par des applications populaires telles que Microsoft Word. Selon F-Secure, jamais telle vulnérabilité n’a été observée. En amenant l’utilisateur à visualiser une page WMF piégée via Windows Picture and Fax Viewer ou via Internet Explorer, il est possible d’injecter du code malicieux et de transformer la machine touchée en PC zombie. Son code a été rendu public, ce qui a facilité le travail des pirates. Selon les spécialistes, il existerait déjà plus de 70 variantes de l’exploit. La faille est utilisée pour installer des spywares, chevaux de Troie, des vers et des virus. Pire, le danger existe aussi avec des fichiers .wmf dont l’extension a été modifiée en .jpg par exemple. Les utilisateurs peuvent être infectés simplement en visitant un site Web avec un fichier d’image contenant l’exploit de WMF. Chez Microsoft, on a conscience du problème (qualifié de « sérieux ») mais on ne semble pas s’exciter. Au siège de Redmond, on explique travailler sur un correctif qui sera diffusé au mieux le 10 janvier, date de la traditionnelle publication du bulletin de sécurité mensuel. La firme explique que le développement du correctif est entré dans sa phase finale (traduction et test). Mais laisser des millions de postes en danger ne semble pas émouvoir les ingénieurs de Redmond, qui pour le moment conseillent de contourner le problème en désactivant la dll responsable de la faille. Du coup, certains commencent à diffuser des patchs non officiels. Ilfak Guilfanov, développeur de renom, annonce ainsi avoir mis au point un correctif capable de résoudre le problème et d’afficher les images WMF sans danger. Selon SecureObs.com, celui-ci désactive l’utilisation du paramètre SET_ABORT de la fonction Escape au sein de la bibliothèque GDI (gdi32.dll), et donc rend l’exploit inopérant. Le patch est disponible gratuitement en ligne (https://www.hexblog.com/2005/12/wmf_vuln.html). Mais son installation se fera à vos risques et périls. Les autres attendront que Microsoft daigne réagir.