Toutes les versions de Microsoft Windows.
","closed_at":"2010-08-03","content":"## Description\n\nUne vuln\u00e9rabilit\u00e9 du shell Windows existe dans la gestion des fichiers\nde raccourcis .lnk et permet l'ex\u00e9cution \u00e0 distance de code arbitraire\navec les droits de l'utilisateur connect\u00e9 sur la machine.\n\nLes fichiers .lnk permettent de cr\u00e9er des raccourcis vers des fichiers\nou des r\u00e9pertoires.\n\nMicrosoft a mis \u00e0 jour son avis pour indiquer que les fichiers .pif sont\naussi vuln\u00e9rables.\n\nL'exploitation de la vuln\u00e9rabilit\u00e9 survient lors de l'ouverture, via\nl'explorateur Windows, d'un dossier contenant les fichiers malform\u00e9s. La\nm\u00e9thode d'infection typique est l'ouverture d'une cl\u00e9 USB infect\u00e9e,\nl'exploitation fonctionnant m\u00eame si Autorun a \u00e9t\u00e9 d\u00e9sactiv\u00e9.\n\nCependant, les p\u00e9riph\u00e9riques USB ne sont qu'un vecteur d'exploitation,\nla vuln\u00e9rabilit\u00e9 peut \u00eatre aussi exploit\u00e9e via des partages r\u00e9seaux, des\nliens WebDav, ou tout autre vecteur menant \u00e0 l'affichage des fichiers\nmalform\u00e9s dans l'explorateur de fichier Windows.\n\nCette vuln\u00e9rabilit\u00e9 est activement exploit\u00e9e sur l'Internet (voir\nl'alerter CERTA-2010-ALE-009).\n\n## Contournement provisoire\n\nComme document\u00e9 dans l'avis Microsoft \\#2286198, la d\u00e9sactivation de\nl'affichage des ic\u00f4nes des raccourcis .lnk et .pif emp\u00eache\nl'exploitation de la vuln\u00e9rabilit\u00e9.\n\nMicrosoft a publi\u00e9 un FixIt permettant de d\u00e9ployer le contournement plus\nfacilement (voir section Documentation).\n\nLa proc\u00e9dure manuelle est :\n\n- Faire une copie du contenu de la cl\u00e9 de registre :\n\n `HKEY_CLASSES_ROOT\\lnkfile\\shellex\\IconHandler` ;\n\n- Puis, editer la valeur \u00abPar d\u00e9faut\u00bb de cette cl\u00e9 et en supprimer le\n contenu ;\n\n- Faire une copie du contenu de la cl\u00e9 de registre :\n\n `HKEY_CLASSES_ROOT\\piffile\\shellex\\IconHandler` ;\n\n- Puis, editer la valeur \u00abPar d\u00e9faut\u00bb de cette cl\u00e9 et en supprimer le\n contenu ;\n\n- Red\u00e9marrer la machine ou explorer.exe.\n\nAttention, cette manipulation d\u00e9sactive l'affichage de tous les ic\u00f4nes\ndes raccourcis , y compris ceux du menu d\u00e9marrer de Windows.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 Microsoft pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2010-2568","url":"https://www.cve.org/CVERecord?id=CVE-2010-2568"}],"links":[{"title":"Fixit Microsoft du 21 juillet 2010 :","url":"http://support.microsoft.com/kb/2286198"},{"title":"Bulletin de s\u00e9curit\u00e9 Microsoft MS10-046 du 03 ao\u00fbt 2010 :","url":"http://www.microsoft.com/technet/security/Bulletin/MS10-046.mspx"},{"title":"Bulletin de s\u00e9curit\u00e9 Microsoft MS10-046 du 03 ao\u00fbt 2010 :","url":"http://www.microsoft.com/france/technet/security/Bulletin/MS10-046.mspx"},{"title":"Avis CERTA-2010-AVI-353 du 3 ao\u00fbt 2010 :","url":"http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-353"},{"title":"Alerte CERTA-2010-ALE-009 du 16 juillet 2010 :","url":"http://www.certa.ssi.gouv.fr/site/CERTA-2010-ALE-009"}],"reference":"CERTA-2010-ALE-010","revisions":[{"description":"version initiale.","revision_date":"2010-07-19T00:00:00.000000"},{"description":"ajout de la vuln\u00e9rabilit\u00e9 des fichiers .lnk, modification de la section Contournement , ajout du FixIt Microsoft.","revision_date":"2010-07-21T00:00:00.000000"},{"description":"ajout de la section Solution et ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Microsoft dans la section Documentation. .","revision_date":"2010-08-03T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"Une vuln\u00e9rabilit\u00e9 dans le shell Windows\npermet \u00e0 un utilisateur distant malintentionn\u00e9 d'ex\u00e9cuter du code\narbitraire.\n","title":"Vuln\u00e9rabilit\u00e9 dans le Shell de Microsoft Windows","vendor_advisories":[{"published_at":null,"title":"Avis de s\u00e9curit\u00e9 Microsoft #2286198 du 16 juillet 2010","url":"http://www.microsoft.com/technet/security/advisory/2286198.mspx"}]}