{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Microsoft Windows XP Professional x64 Edition ;","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Windows Server 2003 & Server 2003 Service Pack 1 ;","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Windows Server 2003 x64 Edition ;","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Windows Server 2003 & Server 2003 Service Pack 1 pour syst\u00e8mes Itanium ;","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Windows XP Service Pack 1 & 2 ;","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Windows Millennium Edition.","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Windows 98 et 98 Second Edition ;","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Windows 2000 Service Pack 4 ;","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}}],"affected_systems_content":null,"closed_at":"2006-01-06","content":"## Description\n\nIl appara\u00eet que la vuln\u00e9rabilit\u00e9 d\u00e9crite dans le bulletin de s\u00e9curit\u00e9 du\nCERTA (cf. CERTA-2005-AVI-445) n'a \u00e9t\u00e9 que partiellement ou\nincompl\u00e8tement corrig\u00e9e par le bulletin de s\u00e9curit\u00e9 Microsoft MS05-053\ndu 08 novembre 2005.\n\nCette vuln\u00e9rabilit\u00e9 peut \u00eatre exploit\u00e9e au moyen d'un fichier wmf\n(Windows MetaFile) malicieusement construit. Un individu malveillant\npeut, au moyen d'un message \u00e9lectronique comprenant un tel fichier ou\nd'un site web malicieusement contruit, ex\u00e9cuter du code arbitraire \u00e0\ndistance, sur un syst\u00e8me mis \u00e0 jour, lors de l'ouverture du fichier.\n\nUn fichier wmf malicieusement contruit permet \u00e9galement de r\u00e9aliser un\nd\u00e9ni de service sur de nombreuses autres fonctionnalit\u00e9s de Microsoft,\nnotamment sur le processus explorer.exe lors de la pr\u00e9visualisation d'un\nfichier wmf dans l'explorateur de fichiers.\n\nIl est \u00e0 noter (cf. chapitre 5.2) que cette vuln\u00e9rabilit\u00e9 concerne\ntoutes les applications qui utilisent le moteur de rendu graphique de\nMicrosoft. Le code d'exploitation ne se limite donc pas aux seules\napplications Microsoft comme Internet Explorer ou encore un client de\nmessagerie comme Outlook mais concerne aussi par exemple Google Desktop.\n\n \n\n## Contournement provisoire\n\nLes contournements provisoires cit\u00e9s en paragraphes\n5.2 et 5.3 n\u00e9cessitent les privil\u00e8ges administrateur pour \u00eatre appliqu\u00e9s\nsur le syst\u00e8me.\n\nNB : le contournement provisoire cit\u00e9 en paragraphe 5.2 donne l'illusion\nde fonctionner sans les privil\u00e8ges administrateur, du fait que\nl'utilisateur est inform\u00e9 du bon d\u00e9roulement de la d\u00e9sactivation du\ncomposant shimgvw.dll. Cependant le composant vuln\u00e9rable reste actif et\npar cons\u00e9quent le syst\u00e8me reste vuln\u00e9rable.\n\n## 5.1 Interdiction du composant shimgvw.dll dans la politique de s\u00e9curit\u00e9\n\nLe contournement provisoire suivant ne peut s'appliquer que dans le cas\no\u00f9 vous disposez d'un ou plusieurs syst\u00e8mes Microsoft Windows 2003\nServer en tant que contr\u00f4leur de domaine.\n\nDans ce cas, vous pouvez appliquer une politique de s\u00e9curit\u00e9 interdisant\nl'utilisation du composant shimgvw.dll pour toute votre unit\u00e9\norganisationnelle.\n\n## 5.2 D\u00e9sactivation du composant shimgvw.dll\n\nIl appara\u00eet que les applications faisant appel au composant shimgvw.dll\nde Microsoft Windows deviendraient vuln\u00e9rables. Parmi les applications\nvuln\u00e9rables, nous pouvons citer par exemple Mozilla Firefox, Google\nDesktop.\n\nC'est pour cela que le CERTA propose un contournement provisoire plus\nradical que celui propos\u00e9 au chapitre 5.2 en d\u00e9sactivant le composant\nshimgvw.dll. Cependant cela pourrait avoir des effets de bords sur des\napplications m\u00e9tiers utilisant cette dll.\n\nLes composants de Microsoft Windows affect\u00e9es par ce contournement\nprovisoire seront au minimum :\n\n- GDI+ File Thumbnail Extractor Windows Picture and Fax Viewer ;\n- HTML Thumbnail Extractor Windows Picture and Fax Viewer ;\n- Shell Image Data Factory Windows Picture and Fax Viewer ;\n- Shell Image Property Handler Windows Picture and Fax Viewer ;\n- Shell Image Verbs Windows Picture and Fax Viewer ;\n- Summary Info Thumbnail Handler (DOCFILE) Windows Picture and Fax\n Viewer ;\n\n \n\nProc\u00e9dures \u00e0 suivre :\n\n- Afin de d\u00e9sactiver le composant shimgvw.dll de Microsoft Windows :\n - Cliquez sur \"D\u00e9marrer\" puis sur \"ex\u00e9cuter\" ;\n - tapez \"regsvr32.exe -u shimgvw.dll\" puis \"Entr\u00e9e.\n- Afin de r\u00e9activer (lorsque le correctif sera disponible) le\n composant shimgvw.dll de Microsoft Windows :\n - Cliquez sur \"D\u00e9marrer\" puis sur \"ex\u00e9cuter\" ;\n - tapez \"regsvr32.exe shimgvw.dll\" puis \"Entr\u00e9e\".\n\nSi vous ne disposez pas du fichier regsvr32.exe, il peut \u00eatre t\u00e9l\u00e9charg\u00e9\n\u00e0 partir du site de Microsoft, \u00e0 l'adresse suivante :\n\n http://support.microsoft.com/kb/q267279/\n\n## 5.3 Contournement provisoire pour Internet Explorer\n\nAfin de limiter l'impact d'un fichier wmf malveillant sur le syst\u00e8me :\n\n- bloquer l'ex\u00e9cution apr\u00e8s t\u00e9l\u00e9chargement de fichier ayant\n l'extension wmf ;\n\n 1. cliquez sur \"D\u00e9marrer\" puis sur \"Poste de travail\" ;\n 2. dans le menu \"Outils\" cliquez sur \"Options des dossiers\" ;\n 3. dans l'onglet \"Types de fichiers\", s\u00e9lectionnez dans la liste\n WMF ;\n 4. dans l'encadr\u00e9 \"D\u00e9tails concernant l'extension 'WMF'\", cliquez\n sur \"Avanc\u00e9\" ;\n 5. cochez l'option \"Confirmer l'ouverture apr\u00e8s le t\u00e9l\u00e9chargement\"\n puis acceptez les modifications.\n\n Le contournement cit\u00e9 ci-dessus pr\u00e9vient le t\u00e9l\u00e9chargement et\n l'ex\u00e9cution automatique du fichier malveillant, toutefois\n l'utilisateur peut t\u00e9l\u00e9charger et ex\u00e9cuter manuellement le fichier\n et provoquer ainsi la compromission de son syst\u00e8me.\n\n## 5.4 Rappels de principes g\u00e9n\u00e9raux\n\n- Afficher les messages en texte brut dans votre client de messagerie\n conform\u00e9ment \u00e0 la note de recommandation CERTA-2000-REC-001 (cf.\n Section Documentation) ;\n- en compl\u00e9ment, la r\u00e8gle g\u00e9n\u00e9rale de mise \u00e0 jour r\u00e9guli\u00e8re des\n anti-virus est bien entendu \u00e0 respecter dans ce cas l\u00e0 ;\n- m\u00e9mento du CERTA sur les virus (cf. section Documentation) ;\n- Note d'information du CERTA sur le SPAM (cf. Documentation).\n\n## Solution\n\nAppliquer le correctif tel qu'indiqu\u00e9 dans le bulletin de s\u00e9curit\u00e9\nMicrosoft MS06-001 (voir section Documentation).\n","cves":[],"links":[{"title":"M\u00e9mento du CERTA sur les virus du 24 juin 2005 :","url":"http://www.certa.ssi.gouv.fr/site/CERTA-2005-MEM-001.pdf"},{"title":"Bulletin de s\u00e9curit\u00e9 Microsoft MS06-001 du 05 janvier 2006 :","url":"http://www.microsoft.com/technet/security/bulletin/ms06-001.mspx"},{"title":"Bulletin de s\u00e9curit\u00e9 CERTA-2005-AVI-445 du 09 novembre 2005 :","url":"http://www.certa.ssi.gouv.fr/site/CERTA-2005-AVI-445/index.html"},{"title":"Note de recommandation CERTA-2000-REC-001 du 16 mai 2000 :","url":"http://www.certa.ssi.gouv.fr/site/CERTA-2000-REC-001/index.html"}],"reference":"CERTA-2005-ALE-019","revisions":[{"description":"ajout d'un contournement provisoire.","revision_date":"2005-12-28T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 de Microsoft.","revision_date":"2005-12-29T00:00:00.000000"},{"description":"ajout d'un contournement provisoire.","revision_date":"2005-12-30T00:00:00.000000"},{"description":"ajout des caract\u00e9ristiques de certains mails de spam.","revision_date":"2006-01-01T00:00:00.000000"},{"description":"mise \u00e0 jour de la section Solution, ajout de la r\u00e9f\u00e9rence vers le bulletin de s\u00e9curit\u00e9 MS06-001 de Microsoft.","revision_date":"2006-01-06T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"},{"description":"D\u00e9ni de service"}],"summary":"Un code malveillant, d'ores et d\u00e9j\u00e0 utilis\u00e9 sur l'Internet, exploite une\nvuln\u00e9rabilit\u00e9 mal corrig\u00e9e dans Microsoft Windows et permet \u00e0 un\nutilisateur mal intentionn\u00e9 d'ex\u00e9cuter du code arbitraire \u00e0 distance.\n\nCe code permet de t\u00e9l\u00e9charger et d'ex\u00e9cuter un autre code malveillant \u00e0\nl'insu de l'utilisateur. Selon certains \u00e9diteurs d'anti-virus, le second\ncode t\u00e9l\u00e9charg\u00e9 serait un cheval de Troie.\n\nIl appara\u00eet que des messages \u00e9lectroniques non sollicit\u00e9s (spam)\ncommencent \u00e0 se propager en incitant \u00e0 aller sur un site contenant des\npages malicieusement construite et exploitant la vuln\u00e9rabilit\u00e9 ou encore\ndes messages avec une image v\u00e9hiculant le code d'exploitation\n(\\`\\`exploit''). Ces messages peuvent avoir par exemple pour\ncaract\u00e9ristiques:\n\n- sujet : \\`\\`happy new year'';\n- corps du texte : \\`\\`picture of 2006'';\n- une pi\u00e8ce jointe contenant le code d'exploitation :\n \\`\\`HappyNewYear.jpg''.\n\nSi cette image en pi\u00e8ce jointe est ouverte le code s'ex\u00e9cute et va\nchercher \u00e0 t\u00e9l\u00e9charger un code malveillant qui peut \u00eatre un cheval de\nTroie par exemple.\n","title":"Exploitation d'une vuln\u00e9rabilit\u00e9 mal corrig\u00e9e dans Microsoft Windows","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Microsoft #912840 du 28 d\u00e9cembre 2005","url":"http://www.microsoft.com/technet/security/advisory/912840.mspx"}]}