Faille critique dans GDI+ sous Windows: attention aux Jpeg piégés

Le bulletin mensuel de sécurité de Microsoft corrige deux vulnérabilités importantes qui touchent un grand nombre de produits de la firme. La première concerne le composant GDI+ qui est utilisé pour le traitement des images au format JPEG dans Windows XP et dans de nombreux autres logiciels Microsoft. La vulnérabilité pourrait permettre à un individu mal intentionné d’exécuter à distance du code.

De type « buffer overrun », cette faille est jugée critique par Microsoft et hautement critique par Secunia. L’éditeur encourage ses utilisateur à mettre à jour leur système d’exploitation au plus vite grâce à un patch mis en ligne. Une seule image suffit? L’exploitation de la vulnérabilité pourrait simplement se faire à travers la visualisation d’une image piégée au format JPEG. Cette image pourrait être placée sur un site internet ou bien envoyée par email. Il n’est pas à exclure qu’un ver ou un virus puisse utiliser cette vulnérabilité pour se répandre sur la toile. Sa vitesse de réplication pourrait alors être foudroyante. A vos mises à jour ! Logiciels concernés Microsoft Windows XP Microsoft Windows XP Service Pack 1 Microsoft Windows XP 64-Bit Edition Service Pack 1 Microsoft Windows XP 64-Bit Edition Version 2003 Microsoft Windows Server 2003 Microsoft Windows Server 2003 64-Bit Edition Outlook® 2002 – 2003 Word 2002 – 2003 Excel 2002 – 2003 PowerPoint® 2002 – 2003 FrontPage® 2002 – 2003 Publisher 2002 – 2003 Microsoft Project 2002 Service Pack 1 Microsoft Project 2003 Microsoft Visio 2002 Service Pack 2 Microsoft Visio 2003 Microsoft Visual Studio .NET 2002 Visual Basic .NET Standard 2002 – 2003 Visual C# .NET Standard 2002 – 2003 Visual C++ .NET Standard 2002 – 2003 Visual J# .NET Standard 2003 Microsoft .NET Framework version 1.0 SDK Service Pack 2 Microsoft Picture It!® 2002 (all versions) Microsoft Greetings 2002 Microsoft Picture It! version 7.0 (all versions) Microsoft Digital Image Pro version 7.0 Microsoft Picture It! version 9 (all versions, including Picture It! Library) Microsoft Digital Image Pro version 9 Microsoft Digital Image Suite version 9 Microsoft Producer for Microsoft Office PowerPoint (all versions) Microsoft Platform SDK Redistributable: GDI+ Le patch à cette adresse: https://www.microsoft.com/technet/security/bulletin/ms04-028.mspx Microsoft a également publié mardi un deuxième patch concernant une faille (jugée importante) dans la conversion de fichiers WordPerfect au sein de Microsoft Office. La faille pourrait permettre l’exécution de codes à distance. Versions vulnérables Microsoft Office 2000 Software SP3 Microsoft Office 2000 SP3 Microsoft Office XP Software SP3 Microsoft Office XP SP3 Microsoft Office 2003 Microsoft Office 2003 Software Microsoft Works Suite 2001 Microsoft Works Suite 2002 Microsoft Works Suite 2003 Microsoft Works Suite 2004 Le patch à cette adresse: https://www.microsoft.com/security/bulletins/200409_wordperfectconverter.mspx La rédaction & Aurélien Cabezon pour Vulnerabilite.com