Faille dans le composant GDI+ de lecture du JPEG

winXP Sp2 n'est pas concerné.

Cette faille concerne une liste très importante de logiciels tiers exploitant cette bibliothèque ms.

Pourquoi il me dit que le patch requiert Windows 2000?

bon ben là je crois que je vais install le sp2 mais est ce que le sp2 marchera car en fait j'ai installé un patch qui a modifié une dll pour installer des thèmes

ça va pas gêner ou empêcher?

csflo au pire la dll sera remplacé par la version qui y'a dans la sp2 si elle a été mise a jour sinon elle bougera pas

Le titre de la news est faux : la faille est dans l'implémantation de M$ du JPEG, pas dans le format JPEG lui même.

c'est pas clair avec un autre navigateur il se passe quoi?
(seulement en surfant)

il se passe rien.

C'est la librairie GDI+ de Microsoft qui pose problème

Celle de IE a été corrigé avec le SP2, mais sinon il faudrait la mettre à jour. Office utilise pas celle de windows, mais chaque programme a sa copie. Donc, une liste des programmes touchés utilisant cette DLL ou un utilitaire de détection automatique est disponible sur le site de microsoft pour la mettre à jour.

le mieux est de passé par ici pour tes infos

http://www.microsoft.com/security/ [...] _jpeg.mspx

Y'a la liste des programmes et les utilitaires nécessaires

+1, faut pas déconner quant même !

Hop un petit windows update et office update et voila. Reste plus qu'à savoir si c'est corrigé ou non.

ben c'est pas pour win xp

Bon allez, je m'y colle. Si c'est pour WinXP ! Il s'agit d'une DLL fournit par WinXP et réutilisé par d'autres applications, M$ ou autres. là comme ça c'est compris ?

donc si on se sert pas des logiciels MS (bon à part winxp ) on risque rien ?

Non n'importe quel programme qui fait appel à cette librairie est sensible à cette faille.

Win XP SP2 n'a pas la faille pour être clair, les autres OUI

MAIS, les programmes cité sur mon liens plus haut, sp2 ou non, DEMANDE UNE MISE A JOUR car utilise leur copie de la dll.

ok merci xam

cette news est vraiment pas claire.

il n'est pas dit clairement si d'autres navigateurs sont touchés par cette faille...Et les liens pour les patchs ne concernent que IE...

soit dit en passant "0606" à été plus rapide sur ce coup là en mettant hier cette info ici : http://forum.presence-pc.com/prese [...] 7082-1.htm
et propose meme un lien pour télécharger le patch correspondant...

c'est une impression ou la qualité des news baisse en ce moment?

Ca deviend limite vaporware les news en ce moment

C'est une impression. Le newser il fait une news pas un exposé. Il ne cherche pas non plus à faire la course à chaque fois pour etre le plus rapide

pour plus d'infos :

http://secunia.com/advisories/12528/


liste des softs ms touches :

OS: Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Web Edition
Microsoft Windows XP Home Edition
Microsoft Windows XP Professional

Software: Microsoft .NET Framework 1.x
Microsoft Digital Image Pro 7.x
Microsoft Digital Image Pro 9.x
Microsoft Digital Image Suite 9.x
Microsoft Frontpage 2002
Microsoft Greetings 2002
Microsoft Internet Explorer 6
Microsoft Office 2003 Professional Edition
Microsoft Office 2003 Small Business Edition
Microsoft Office 2003 Standard Edition
Microsoft Office 2003 Student and Teacher Edition
Microsoft Office XP
Microsoft Outlook 2002
Microsoft Outlook 2003
Microsoft Picture It! 2002
Microsoft Picture It! 7.x
Microsoft Picture It! 9.x
Microsoft PowerPoint 2002
Microsoft Producer for Microsoft Office PowerPoint 2003
Microsoft Project 2002
Microsoft Project 2003
Microsoft Publisher 2002
Microsoft Visio 2002
Microsoft Visio 2003
Microsoft Visual Studio .NET 2002
Microsoft Visual Studio .NET 2003
Microsoft Word 2002

je parlais de la clareté de l'explication, je m'attend pas à un éxposé mais quelques précisions ne font pas de mal...

Bof, l'explication est simple : Faille critique -> Windows Update = corrigé.

J'ai Outlook 2002, Windows Update m'a immédiatement prévenu et conseillé de passer sur Office Update !

Pas trop compliqué ni trop long, même si, ô scandale suprême, je n'ai été prévenu qu'aujourd'hui alors que 0606 le savait déjà hier !!

hormis l'oubli relatif au sp2 non impacté je trouve le descriptif plutot cohérent

Ah si un truc qui me gène :
"Les experts en sécurité de Redmond"
(mais bon c'est juste pour troller)

Oui mais certains softs peuvent embarquer cette librairie (à l'instar de la libpng il y a peut) et donc necessiter un patch complémentaire. Mefiance donc

alerte secunia :

NOTE: Systems may also still be vulnerable if an installed third party application has installed the vulnerable component and uses it for JPEG image processing.

Ben, j'ai installé le SP2 il y a quelques temps, je suis allé sur Windows Update quand même, au cas où, et j'ai eu raison. Il y a un utilitaire qui scanne l'install de Windows pour vérifier s'il y a des logiciels impactés. C'est comme çà que j'ai vu qu'il fallait appliquer le SP3 d'Office XP pour corriger Outlook 2002.

Donc l'info était cohérente, mais pouvait induire en erreur quand même.

Si on se met à écrire en même temps ...

Mais corrigez le titre de la news!!!
La faille est dans l'implémantation de M$ du JPEG, pas dans le format JPEG lui même. Le format n'a vraiment rien a voir la dedans.
C'est une Faille Windows, pas JPEG!
C'est de la desinformation la...

"Ajoutons à ceci que le problème est lié à l’application, et non à une ressource noyau commune.

[...]

La première exploitation d’un fichier image destructeur remonte aux premières versions de Mozilla sous Sun Solaris (petit fichier Gif forgé déclarant une dimension très importante)."

La suite :
http://www.reseaux-telecoms.com/al [...] lerte_view

Est-ce que les utilisateurs qui mettent a jour leur systeme windows ont un interet quel qu'il soit (economique, marketing ou autre) pour microsoft ?
J'trouve ca etrange qu'ils nous pondent une faille critique apres la sortie du SP2 (qui n'est pas touché cela va de soit)

en meme temps, découvrir une faille, l'exploiter, faire l'inventaire des programmes touches, ca peut être long.

Les personnes ayant une information avant nous peuvent me l'envoyer par mail ou par MP sur le forum. Je suis preneur...

La brève est orientée "correction urgente de la faille" et non "détails techniques" qui seraient limités à un public trop restreint. Tous les détails nécessaires sont présents dans l'actualité et les liens de téléchargements sont indiqués en bas de colonne avec le logiciel qu'ils concernent.

Oui c'est vrai mais cette faille a été corrigé avec le SP2 donc peut etre (simple supposition) en connaissait-il deja l'existance mais pour rendre le SP2 convainquant on "exploite" une faille des "non-SP2"