- Thermaltake lance son requin
- La phantom fait son apparition
- Mozilla Thunderbird 0.8 disponible
- Thermaltake met 680W dans son alimentation
- N9uf Telecom : les nouveautés continuent
- Compte-rendu : Apple expo
- Avenir incertain pour Longhorn...
- Le X700 dans sept jours
- Pas de puce graphique intégrée au nForce 4 ?
- N9uf Telecom : l'ADSL2+ et la TNT dans la N9uf Box
L'overclocking peut devenir un sport à part entière lorsqu'il est poussé à l'extrême. Un sport dont les auteurs du record de fréquence en février dernier dans nos locaux sont adeptes. Nous les avons suivi au MSI European Overclocking Challenge.
Lire la suite
Faille dans le composant GDI+ de lecture du JPEG
Une nouvelle faille vient de faire son apparition dans les produits de Microsoft et, cette fois, c’est le composant GDI+ qui est touché. Ce composant est utilisé pour le traitement des images au format JPEG sur l’ensemble des logiciels de l'éditeur.Par l'intermédiaire de cette faille un individu malintentionné pourrait exécuter du code à distance sur une machine par une attaque de type « buffer overrun ». En théorie, seule la visualisation d’une image piégée sur un site quelconque pourrait permettre d’infecter une machine A cause de cette faille, le propagation d’un vers ou d’un virus se réaliserait à une vitesse ahurissante.
Les experts en sécurité de Redmond on jugé cette faille critique et recommandent aux utilisateurs des systèmes d’exploitation de Microsoft de mettre à jour leur machine le plus rapidement possible en passant par WindowsUpdate.
Réagissez ! Retour à la liste des news
- Le nez et les yeux, futurs remplaçants de la souris ?
- Peut-on avoir confiance en Mozilla ?
- Faille dans le composant GDI+ de lecture du JPEG
- Thermaltake lance son requin
- La phantom fait son apparition
- Mozilla Thunderbird 0.8 disponible
- 1 / 2
- Suivante
-
ça va pas gêner ou empêcher?
(seulement en surfant)
| LoneStar a écrit : c'est pas clair avec un autre navigateur il se passe quoi? |
il se passe rien.
C'est la librairie GDI+ de Microsoft qui pose problème
Celle de IE a été corrigé avec le SP2, mais sinon il faudrait la mettre à jour. Office utilise pas celle de windows, mais chaque programme a sa copie. Donc, une liste des programmes touchés utilisant cette DLL ou un utilitaire de détection automatique est disponible sur le site de microsoft pour la mettre à jour.
le mieux est de passé par ici pour tes infos
http://www.microsoft.com/security/ [...] _jpeg.mspx
Y'a la liste des programmes et les utilitaires nécessaires
| kif38 a écrit : Le titre de la news est faux : la faille est dans l'implémantation de M$ du JPEG, pas dans le format JPEG lui même. |
+1, faut pas déconner quant même !
| pif gadget a écrit : ben c'est pas pour win xp |
Bon allez, je m'y colle. Si c'est pour WinXP ! Il s'agit d'une DLL fournit par WinXP et réutilisé par d'autres applications, M$ ou autres. là comme ça c'est compris ?
) on risque rien ?
| frathek a écrit : donc si on se sert pas des logiciels MS (bon à part winxp |
Non n'importe quel programme qui fait appel à cette librairie est sensible à cette faille.
MAIS, les programmes cité sur mon liens plus haut, sp2 ou non, DEMANDE UNE MISE A JOUR car utilise leur copie de la dll.
il n'est pas dit clairement si d'autres navigateurs sont touchés par cette faille...Et les liens pour les patchs ne concernent que IE...
soit dit en passant "0606" à été plus rapide sur ce coup là en mettant hier cette info ici : http://forum.presence-pc.com/prese [...] 7082-1.htm
et propose meme un lien pour télécharger le patch correspondant...
c'est une impression ou la qualité des news baisse en ce moment?
| guinioul a écrit : cette news est vraiment pas claire. |
C'est une impression. Le newser il fait une news pas un exposé. Il ne cherche pas non plus à faire la course à chaque fois pour etre le plus rapide
pour plus d'infos :
http://secunia.com/advisories/12528/
liste des softs ms touches :
OS: Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Web Edition
Microsoft Windows XP Home Edition
Microsoft Windows XP Professional
Software: Microsoft .NET Framework 1.x
Microsoft Digital Image Pro 7.x
Microsoft Digital Image Pro 9.x
Microsoft Digital Image Suite 9.x
Microsoft Frontpage 2002
Microsoft Greetings 2002
Microsoft Internet Explorer 6
Microsoft Office 2003 Professional Edition
Microsoft Office 2003 Small Business Edition
Microsoft Office 2003 Standard Edition
Microsoft Office 2003 Student and Teacher Edition
Microsoft Office XP
Microsoft Outlook 2002
Microsoft Outlook 2003
Microsoft Picture It! 2002
Microsoft Picture It! 7.x
Microsoft Picture It! 9.x
Microsoft PowerPoint 2002
Microsoft Producer for Microsoft Office PowerPoint 2003
Microsoft Project 2002
Microsoft Project 2003
Microsoft Publisher 2002
Microsoft Visio 2002
Microsoft Visio 2003
Microsoft Visual Studio .NET 2002
Microsoft Visual Studio .NET 2003
Microsoft Word 2002
| guinioul a écrit : je parlais de la clareté de l'explication, je m'attend pas à un éxposé mais quelques précisions ne font pas de mal... |
Bof, l'explication est simple : Faille critique -> Windows Update = corrigé.
J'ai Outlook 2002, Windows Update m'a immédiatement prévenu et conseillé de passer sur Office Update !
Pas trop compliqué ni trop long, même si, ô scandale suprême, je n'ai été prévenu qu'aujourd'hui alors que 0606 le savait déjà hier !!
| guinioul a écrit : je parlais de la clareté de l'explication, je m'attend pas à un éxposé mais quelques précisions ne font pas de mal... |
hormis l'oubli relatif au sp2 non impacté je trouve le descriptif plutot cohérent
Ah si un truc qui me gène :
"Les experts en sécurité de Redmond"
(mais bon c'est juste pour troller)
| M Prof a écrit : Bof, l'explication est simple : Faille critique -> Windows Update = corrigé. |
Oui mais certains softs peuvent embarquer cette librairie (à l'instar de la libpng il y a peut) et donc necessiter un patch complémentaire. Mefiance donc
alerte secunia :
NOTE: Systems may also still be vulnerable if an installed third party application has installed the vulnerable component and uses it for JPEG image processing.
| yoconono a écrit : [g]hormis l'oubli relatif au sp2 non impacté [/g]je trouve le descriptif plutot cohérent |
Ben, j'ai installé le SP2 il y a quelques temps, je suis allé sur Windows Update quand même, au cas où, et j'ai eu raison. Il y a un utilitaire qui scanne l'install de Windows pour vérifier s'il y a des logiciels impactés. C'est comme çà que j'ai vu qu'il fallait appliquer le SP3 d'Office XP pour corriger Outlook 2002.
Donc l'info était cohérente, mais pouvait induire en erreur quand même.
La faille est dans l'implémantation de M$ du JPEG, pas dans le format JPEG lui même. Le format n'a vraiment rien a voir la dedans.
C'est une Faille Windows, pas JPEG!
C'est de la desinformation la...
[...]
La première exploitation d’un fichier image destructeur remonte aux premières versions de Mozilla sous Sun Solaris (petit fichier Gif forgé déclarant une dimension très importante)."
La suite :
http://www.reseaux-telecoms.com/al [...] lerte_view
J'trouve ca etrange qu'ils nous pondent une faille critique apres la sortie du SP2 (qui n'est pas touché cela va de soit)
| picsouu a écrit : Est-ce que les utilisateurs qui mettent a jour leur systeme windows ont un interet quel qu'il soit (economique, marketing ou autre) pour microsoft ? |
en meme temps, découvrir une faille, l'exploiter, faire l'inventaire des programmes touches, ca peut être long.
![[:spamafote]](http://img.infos-du-net.com/forum/images/perso/spamafote.gif "[:spamafote]")
| guinioul a écrit : cette news est vraiment pas claire. |
Les personnes ayant une information avant nous peuvent me l'envoyer par mail ou par MP sur le forum. Je suis preneur...
La brève est orientée "correction urgente de la faille" et non "détails techniques" qui seraient limités à un public trop restreint. Tous les détails nécessaires sont présents dans l'actualité et les liens de téléchargements sont indiqués en bas de colonne avec le logiciel qu'ils concernent.
| almar a écrit : en meme temps, découvrir une faille, l'exploiter, faire l'inventaire des programmes touches, ca peut être long. |
Oui c'est vrai mais cette faille a été corrigé avec le SP2 donc peut etre (simple supposition) en connaissait-il deja l'existance mais pour rendre le SP2 convainquant on "exploite" une faille des "non-SP2"
| picsouu a écrit : Est-ce que les utilisateurs qui mettent a jour leur systeme windows ont un interet quel qu'il soit (economique, marketing ou autre) pour microsoft ? |
Ah c'est vrai... Microsoft == Windows XP SP2 des familles
Si tu suis les liens présents ici tu verras que la faille est présente de facon non continue dans les logiciels de ms. De là à penser qu'elle n'est pas sous XP SP2 suite à un heureux coup du hasard....
- 1 / 2
- Suivante
-
Cette faille concerne une liste très importante de logiciels tiers exploitant cette bibliothèque ms.