Faille dans le composant GDI+ de lecture du JPEG
Une nouvelle faille vient de faire son apparition dans les produits de Microsoft et, cette fois, c’est le composant GDI+ qui est touché. Ce composant est utilisé pour le traitement des images au format JPEG sur l’ensemble des logiciels de l'éditeur.Par l'intermédiaire de cette faille un individu malintentionné pourrait exécuter du code à distance sur une machine par une attaque de type « buffer overrun ». En théorie, seule la visualisation d’une image piégée sur un site quelconque pourrait permettre d’infecter une machine A cause de cette faille, le propagation d’un vers ou d’un virus se réaliserait à une vitesse ahurissante.
Les experts en sécurité de Redmond on jugé cette faille critique et recommandent aux utilisateurs des systèmes d’exploitation de Microsoft de mettre à jour leur machine le plus rapidement possible en passant par WindowsUpdate.
42
Commentaires
Thermaltake lance son requin
- La phantom fait son apparition
- Mozilla Thunderbird 0.8 disponible
- Thermaltake met 680W dans son alimentation
- N9uf Telecom : les nouveautés continuent
- Compte-rendu : Apple expo
- Avenir incertain pour Longhorn...
- Le X700 dans sept jours
- Pas de puce graphique intégrée au nForce 4 ?
- N9uf Telecom : l'ADSL2+ et la TNT dans la N9uf Box
Peut-on avoir confiance en Mozilla ?
- Le nez et les yeux, futurs remplaçants de la souris ?
- A9, le moteur de recherche par Amazon
- Entente sur les prix de la mémoire : Infineon coupable
- LC Power revoit son alimentation 550 Watts
- Intel en retard sur le FSB1066 ?
- L'ordinateur du Seigneur des Anneaux en location
- Drivers ForceWare 66.32 en version bêta
- Le WiFi, comme la HiFi ?
- La demo pour Call of Duty : La Grande Offensive
Liens commerciaux







winXP Sp2 n'est pas concerné.
Cette faille concerne une liste très importante de logiciels tiers exploitant cette bibliothèque ms.
Pourquoi il me dit que le patch requiert Windows 2000?
bon ben là je crois que je vais install le sp2 mais est ce que le sp2 marchera car en fait j'ai installé un patch qui a modifié une dll pour installer des thèmes
ça va pas gêner ou empêcher?
csflo au pire la dll sera remplacé par la version qui y'a dans la sp2 si elle a été mise a jour sinon elle bougera pas
Le titre de la news est faux : la faille est dans l'implémantation de M$ du JPEG, pas dans le format JPEG lui même.
c'est pas clair avec un autre navigateur il se passe quoi?
(seulement en surfant)
c'est pas clair avec un autre navigateur il se passe quoi?
(seulement en surfant)
il se passe rien.
C'est la librairie GDI+ de Microsoft qui pose problème
Celle de IE a été corrigé avec le SP2, mais sinon il faudrait la mettre à jour. Office utilise pas celle de windows, mais chaque programme a sa copie. Donc, une liste des programmes touchés utilisant cette DLL ou un utilitaire de détection automatique est disponible sur le site de microsoft pour la mettre à jour.
le mieux est de passé par ici pour tes infos
http://www.microsoft.com/security/ [...] _jpeg.mspx
Y'a la liste des programmes et les utilitaires nécessaires
Le titre de la news est faux : la faille est dans l'implémantation de M$ du JPEG, pas dans le format JPEG lui même.
+1, faut pas déconner quant même !
Hop un petit windows update et office update et voila. Reste plus qu'à savoir si c'est corrigé ou non.
ben c'est pas pour win xp
ben c'est pas pour win xp
Bon allez, je m'y colle. Si c'est pour WinXP ! Il s'agit d'une DLL fournit par WinXP et réutilisé par d'autres applications, M$ ou autres. là comme ça c'est compris ?
donc si on se sert pas des logiciels MS (bon à part winxp
) on risque rien ?
donc si on se sert pas des logiciels MS (bon à part winxp
) on risque rien ?
Non n'importe quel programme qui fait appel à cette librairie est sensible à cette faille.
Win XP SP2 n'a pas la faille pour être clair, les autres OUI
MAIS, les programmes cité sur mon liens plus haut, sp2 ou non, DEMANDE UNE MISE A JOUR car utilise leur copie de la dll.
ok merci xam
cette news est vraiment pas claire.
il n'est pas dit clairement si d'autres navigateurs sont touchés par cette faille...Et les liens pour les patchs ne concernent que IE...
soit dit en passant "0606" à été plus rapide sur ce coup là en mettant hier cette info ici : http://forum.presence-pc.com/prese [...] 7082-1.htm
et propose meme un lien pour télécharger le patch correspondant...
c'est une impression ou la qualité des news baisse en ce moment?
Ca deviend limite vaporware les news en ce moment
cette news est vraiment pas claire.
il n'est pas dit clairement si d'autres navigateurs sont touchés par cette faille...Et les liens pour les patchs ne concernent que IE...
soit dit en passant "0606" à été plus rapide sur ce coup là en mettant hier cette info ici : http://forum.presence-pc.com/prese [...] 7082-1.htm
et propose meme un lien pour télécharger le patch correspondant...
c'est une impression ou la qualité des news baisse en ce moment?
C'est une impression. Le newser il fait une news pas un exposé. Il ne cherche pas non plus à faire la course à chaque fois pour etre le plus rapide
pour plus d'infos :
http://secunia.com/advisories/12528/
liste des softs ms touches :
OS: Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Web Edition
Microsoft Windows XP Home Edition
Microsoft Windows XP Professional
Software: Microsoft .NET Framework 1.x
Microsoft Digital Image Pro 7.x
Microsoft Digital Image Pro 9.x
Microsoft Digital Image Suite 9.x
Microsoft Frontpage 2002
Microsoft Greetings 2002
Microsoft Internet Explorer 6
Microsoft Office 2003 Professional Edition
Microsoft Office 2003 Small Business Edition
Microsoft Office 2003 Standard Edition
Microsoft Office 2003 Student and Teacher Edition
Microsoft Office XP
Microsoft Outlook 2002
Microsoft Outlook 2003
Microsoft Picture It! 2002
Microsoft Picture It! 7.x
Microsoft Picture It! 9.x
Microsoft PowerPoint 2002
Microsoft Producer for Microsoft Office PowerPoint 2003
Microsoft Project 2002
Microsoft Project 2003
Microsoft Publisher 2002
Microsoft Visio 2002
Microsoft Visio 2003
Microsoft Visual Studio .NET 2002
Microsoft Visual Studio .NET 2003
Microsoft Word 2002
je parlais de la clareté de l'explication, je m'attend pas à un éxposé mais quelques précisions ne font pas de mal...
je parlais de la clareté de l'explication, je m'attend pas à un éxposé mais quelques précisions ne font pas de mal...
Bof, l'explication est simple : Faille critique -> Windows Update = corrigé.
J'ai Outlook 2002, Windows Update m'a immédiatement prévenu et conseillé de passer sur Office Update !
Pas trop compliqué ni trop long, même si, ô scandale suprême, je n'ai été prévenu qu'aujourd'hui alors que 0606 le savait déjà hier !!
je parlais de la clareté de l'explication, je m'attend pas à un éxposé mais quelques précisions ne font pas de mal...
hormis l'oubli relatif au sp2 non impacté je trouve le descriptif plutot cohérent
Ah si un truc qui me gène :
"Les experts en sécurité de Redmond"
(mais bon c'est juste pour troller)
Bof, l'explication est simple : Faille critique -> Windows Update = corrigé.
J'ai Outlook 2002, Windows Update m'a immédiatement prévenu et conseillé de passer sur Office Update !
Pas trop compliqué ni trop long.
Oui mais certains softs peuvent embarquer cette librairie (à l'instar de la libpng il y a peut) et donc necessiter un patch complémentaire. Mefiance donc
alerte secunia :
NOTE: Systems may also still be vulnerable if an installed third party application has installed the vulnerable component and uses it for JPEG image processing.
[g]hormis l'oubli relatif au sp2 non impacté [/g]je trouve le descriptif plutot cohérent
Ah si un truc qui me gène :
"Les experts en sécurité de Redmond"
(mais bon c'est juste pour troller)
Ben, j'ai installé le SP2 il y a quelques temps, je suis allé sur Windows Update quand même, au cas où, et j'ai eu raison. Il y a un utilitaire qui scanne l'install de Windows pour vérifier s'il y a des logiciels impactés. C'est comme çà que j'ai vu qu'il fallait appliquer le SP3 d'Office XP pour corriger Outlook 2002.
Donc l'info était cohérente, mais pouvait induire en erreur quand même.
Si on se met à écrire en même temps ...
Mais corrigez le titre de la news!!!
La faille est dans l'implémantation de M$ du JPEG, pas dans le format JPEG lui même. Le format n'a vraiment rien a voir la dedans.
C'est une Faille Windows, pas JPEG!
C'est de la desinformation la...
"Ajoutons à ceci que le problème est lié à l’application, et non à une ressource noyau commune.
[...]
La première exploitation d’un fichier image destructeur remonte aux premières versions de Mozilla sous Sun Solaris (petit fichier Gif forgé déclarant une dimension très importante)."
La suite :
http://www.reseaux-telecoms.com/al [...] lerte_view
Est-ce que les utilisateurs qui mettent a jour leur systeme windows ont un interet quel qu'il soit (economique, marketing ou autre) pour microsoft ?
J'trouve ca etrange qu'ils nous pondent une faille critique apres la sortie du SP2 (qui n'est pas touché cela va de soit)
Est-ce que les utilisateurs qui mettent a jour leur systeme windows ont un interet quel qu'il soit (economique, marketing ou autre) pour microsoft ?
J'trouve ca etrange qu'ils nous pondent une faille critique apres la sortie du SP2 (qui n'est pas touché cela va de soit)
en meme temps, découvrir une faille, l'exploiter, faire l'inventaire des programmes touches, ca peut être long.
cette news est vraiment pas claire.
il n'est pas dit clairement si d'autres navigateurs sont touchés par cette faille...Et les liens pour les patchs ne concernent que IE...
soit dit en passant "0606" à été plus rapide sur ce coup là en mettant hier cette info ici : http://forum.presence-pc.com/prese [...] 7082-1.htm
et propose meme un lien pour télécharger le patch correspondant...
c'est une impression ou la qualité des news baisse en ce moment?
Les personnes ayant une information avant nous peuvent me l'envoyer par mail ou par MP sur le forum. Je suis preneur...
La brève est orientée "correction urgente de la faille" et non "détails techniques" qui seraient limités à un public trop restreint. Tous les détails nécessaires sont présents dans l'actualité et les liens de téléchargements sont indiqués en bas de colonne avec le logiciel qu'ils concernent.
en meme temps, découvrir une faille, l'exploiter, faire l'inventaire des programmes touches, ca peut être long.![[:spamafote]](http://img.infos-du-net.com/forum/images/perso/spamafote.gif)
Oui c'est vrai mais cette faille a été corrigé avec le SP2 donc peut etre (simple supposition) en connaissait-il deja l'existance mais pour rendre le SP2 convainquant on "exploite" une faille des "non-SP2"