Publicité
Dernier test
Visite au MSI European Overclocking Challenge

Visite au MSI European Overclocking Challenge L'overclocking peut devenir un sport à part entière lorsqu'il est poussé à l'extrême. Un sport dont les auteurs du record de fréquence en février dernier dans nos locaux sont adeptes. Nous les avons suivi au MSI European Overclocking Challenge. Lire la suite

Voir tous les tests et comparatifs

Faille dans le composant GDI+ de lecture du JPEG

Mercredi 15 septembre 2004 à 14:45 par Gaëtan Allart
Source: vulnerabilite
42 commentaires
Une nouvelle faille vient de faire son apparition dans les produits de Microsoft et, cette fois, c’est le composant GDI+ qui est touché. Ce composant est utilisé pour le traitement des images au format JPEG sur l’ensemble des logiciels de l'éditeur.

Par l'intermédiaire de cette faille un individu malintentionné pourrait exécuter du code à distance sur une machine par une attaque de type « buffer overrun ». En théorie, seule la visualisation d’une image piégée sur un site quelconque pourrait permettre d’infecter une machine A cause de cette faille, le propagation d’un vers ou d’un virus se réaliserait à une vitesse ahurissante.

Les experts en sécurité de Redmond on jugé cette faille critique et recommandent aux utilisateurs des systèmes d’exploitation de Microsoft de mettre à jour leur machine le plus rapidement possible en passant par WindowsUpdate.

Réagissez ! Retour à la liste des news
Publicité
Commentaires

yoconono 15/09/2004 14:52
Masquer
-0+
yoconono
winXP Sp2 n'est pas concerné.

Cette faille concerne une liste très importante de logiciels tiers exploitant cette bibliothèque ms.
Odin 15/09/2004 14:56
Masquer
-0+
Odin
Pourquoi il me dit que le patch requiert Windows 2000?
csflo 15/09/2004 14:57
Masquer
-0+
csflo
bon ben là je crois que je vais install le sp2 mais est ce que le sp2 marchera car en fait j'ai installé un patch qui a modifié une dll pour installer des thèmes

ça va pas gêner ou empêcher?
Pingouin47 15/09/2004 15:14
Masquer
-0+
Pingouin47
csflo au pire la dll sera remplacé par la version qui y'a dans la sp2 si elle a été mise a jour sinon elle bougera pas
kif38 15/09/2004 15:28
Masquer
-0+
kif38
Le titre de la news est faux : la faille est dans l'implémantation de M$ du JPEG, pas dans le format JPEG lui même.
lonestar 15/09/2004 15:29
Masquer
-0+
lonestar
c'est pas clair avec un autre navigateur il se passe quoi?
(seulement en surfant)
calavera 15/09/2004 15:35
Masquer
-0+
calavera
LoneStar a écrit :

c'est pas clair avec un autre navigateur il se passe quoi?
(seulement en surfant)




il se passe rien.

C'est la librairie GDI+ de Microsoft qui pose problème

Celle de IE a été corrigé avec le SP2, mais sinon il faudrait la mettre à jour. Office utilise pas celle de windows, mais chaque programme a sa copie. Donc, une liste des programmes touchés utilisant cette DLL ou un utilitaire de détection automatique est disponible sur le site de microsoft pour la mettre à jour.

le mieux est de passé par ici pour tes infos

http://www.microsoft.com/security/ [...] _jpeg.mspx

Y'a la liste des programmes et les utilitaires nécessaires
zeb 15/09/2004 15:59
Masquer
-0+
zeb
kif38 a écrit :

Le titre de la news est faux : la faille est dans l'implémantation de M$ du JPEG, pas dans le format JPEG lui même.


+1, faut pas déconner quant même ! :o
Roro2003 15/09/2004 16:03
Masquer
-0+
Roro2003
Hop un petit windows update et office update et voila. Reste plus qu'à savoir si c'est corrigé ou non.
pif gadget 15/09/2004 16:06
Masquer
-0+
pif gadget
ben c'est pas pour win xp :??:
zeb 15/09/2004 16:12
Masquer
-0+
zeb
pif gadget a écrit :

ben c'est pas pour win xp :??:


Bon allez, je m'y colle. Si c'est pour WinXP ! Il s'agit d'une DLL fournit par WinXP et réutilisé par d'autres applications, M$ ou autres. là comme ça c'est compris ?
Frathek 15/09/2004 16:47
Masquer
-0+
Frathek
donc si on se sert pas des logiciels MS (bon à part winxp :o ) on risque rien ?
xam 15/09/2004 16:49
Masquer
-0+
xam
frathek a écrit :

donc si on se sert pas des logiciels MS (bon à part winxp :o ) on risque rien ?


Non n'importe quel programme qui fait appel à cette librairie est sensible à cette faille.
calavera 15/09/2004 17:02
Masquer
-0+
calavera
Win XP SP2 n'a pas la faille pour être clair, les autres OUI

MAIS, les programmes cité sur mon liens plus haut, sp2 ou non, DEMANDE UNE MISE A JOUR car utilise leur copie de la dll.
Frathek 15/09/2004 17:12
Masquer
-0+
Frathek
ok merci xam :)
guinioul 15/09/2004 18:55
Masquer
-0+
guinioul
cette news est vraiment pas claire. :heink:

il n'est pas dit clairement si d'autres navigateurs sont touchés par cette faille...Et les liens pour les patchs ne concernent que IE...

soit dit en passant "0606" à été plus rapide sur ce coup là en mettant hier cette info ici : http://forum.presence-pc.com/prese [...] 7082-1.htm
et propose meme un lien pour télécharger le patch correspondant...

c'est une impression ou la qualité des news baisse en ce moment?
BCH1CL 15/09/2004 19:03
Masquer
-0+
BCH1CL
Ca deviend limite vaporware les news en ce moment :/
yoconono 15/09/2004 19:12
Masquer
-0+
yoconono
guinioul a écrit :

cette news est vraiment pas claire. :heink:

il n'est pas dit clairement si d'autres navigateurs sont touchés par cette faille...Et les liens pour les patchs ne concernent que IE...

soit dit en passant "0606" à été plus rapide sur ce coup là en mettant hier cette info ici : http://forum.presence-pc.com/prese [...] 7082-1.htm
et propose meme un lien pour télécharger le patch correspondant...

c'est une impression ou la qualité des news baisse en ce moment?




C'est une impression. Le newser il fait une news pas un exposé. Il ne cherche pas non plus à faire la course à chaque fois pour etre le plus rapide

pour plus d'infos :

http://secunia.com/advisories/12528/


liste des softs ms touches :

OS: Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Web Edition
Microsoft Windows XP Home Edition
Microsoft Windows XP Professional

Software: Microsoft .NET Framework 1.x
Microsoft Digital Image Pro 7.x
Microsoft Digital Image Pro 9.x
Microsoft Digital Image Suite 9.x
Microsoft Frontpage 2002
Microsoft Greetings 2002
Microsoft Internet Explorer 6
Microsoft Office 2003 Professional Edition
Microsoft Office 2003 Small Business Edition
Microsoft Office 2003 Standard Edition
Microsoft Office 2003 Student and Teacher Edition
Microsoft Office XP
Microsoft Outlook 2002
Microsoft Outlook 2003
Microsoft Picture It! 2002
Microsoft Picture It! 7.x
Microsoft Picture It! 9.x
Microsoft PowerPoint 2002
Microsoft Producer for Microsoft Office PowerPoint 2003
Microsoft Project 2002
Microsoft Project 2003
Microsoft Publisher 2002
Microsoft Visio 2002
Microsoft Visio 2003
Microsoft Visual Studio .NET 2002
Microsoft Visual Studio .NET 2003
Microsoft Word 2002
guinioul 15/09/2004 19:14
Masquer
-0+
guinioul
je parlais de la clareté de l'explication, je m'attend pas à un éxposé mais quelques précisions ne font pas de mal...
Profil Supprimé 15/09/2004 19:17
Masquer
-0+
guinioul a écrit :

je parlais de la clareté de l'explication, je m'attend pas à un éxposé mais quelques précisions ne font pas de mal...




Bof, l'explication est simple : Faille critique -> Windows Update = corrigé.

J'ai Outlook 2002, Windows Update m'a immédiatement prévenu et conseillé de passer sur Office Update !

Pas trop compliqué ni trop long, même si, ô scandale suprême, je n'ai été prévenu qu'aujourd'hui alors que 0606 le savait déjà hier !!
yoconono 15/09/2004 19:17
Masquer
-0+
yoconono
guinioul a écrit :

je parlais de la clareté de l'explication, je m'attend pas à un éxposé mais quelques précisions ne font pas de mal...




hormis l'oubli relatif au sp2 non impacté je trouve le descriptif plutot cohérent ;)

Ah si un truc qui me gène :
"Les experts en sécurité de Redmond"
(mais bon c'est juste pour troller)
yoconono 15/09/2004 19:19
Masquer
-0+
yoconono
M Prof a écrit :

Bof, l'explication est simple : Faille critique -> Windows Update = corrigé.

J'ai Outlook 2002, Windows Update m'a immédiatement prévenu et conseillé de passer sur Office Update !

Pas trop compliqué ni trop long.




Oui mais certains softs peuvent embarquer cette librairie (à l'instar de la libpng il y a peut) et donc necessiter un patch complémentaire. Mefiance donc

alerte secunia :

NOTE: Systems may also still be vulnerable if an installed third party application has installed the vulnerable component and uses it for JPEG image processing.
Profil Supprimé 15/09/2004 19:22
Masquer
-0+
yoconono a écrit :

[g]hormis l'oubli relatif au sp2 non impacté [/g]je trouve le descriptif plutot cohérent ;)

Ah si un truc qui me gène :
"Les experts en sécurité de Redmond"
(mais bon c'est juste pour troller)




Ben, j'ai installé le SP2 il y a quelques temps, je suis allé sur Windows Update quand même, au cas où, et j'ai eu raison. Il y a un utilitaire qui scanne l'install de Windows pour vérifier s'il y a des logiciels impactés. C'est comme çà que j'ai vu qu'il fallait appliquer le SP3 d'Office XP pour corriger Outlook 2002.

Donc l'info était cohérente, mais pouvait induire en erreur quand même.
Profil Supprimé 15/09/2004 19:22
Masquer
-0+
Si on se met à écrire en même temps ... :lol:
Zenitram 15/09/2004 19:35
Masquer
-0+
Zenitram
Mais corrigez le titre de la news!!!
La faille est dans l'implémantation de M$ du JPEG, pas dans le format JPEG lui même. Le format n'a vraiment rien a voir la dedans.
C'est une Faille Windows, pas JPEG!
C'est de la desinformation la...
XLOM 15/09/2004 19:56
Masquer
-0+
XLOM
"Ajoutons à ceci que le problème est lié à l’application, et non à une ressource noyau commune.

[...]

La première exploitation d’un fichier image destructeur remonte aux premières versions de Mozilla sous Sun Solaris (petit fichier Gif forgé déclarant une dimension très importante)."

La suite :
http://www.reseaux-telecoms.com/al [...] lerte_view
Picsouu 15/09/2004 20:26
Masquer
-0+
Picsouu
Est-ce que les utilisateurs qui mettent a jour leur systeme windows ont un interet quel qu'il soit (economique, marketing ou autre) pour microsoft ?
J'trouve ca etrange qu'ils nous pondent une faille critique apres la sortie du SP2 (qui n'est pas touché cela va de soit)

almar 15/09/2004 20:28
Masquer
-0+
almar
picsouu a écrit :

Est-ce que les utilisateurs qui mettent a jour leur systeme windows ont un interet quel qu'il soit (economique, marketing ou autre) pour microsoft ?
J'trouve ca etrange qu'ils nous pondent une faille critique apres la sortie du SP2 (qui n'est pas touché cela va de soit)




en meme temps, découvrir une faille, l'exploiter, faire l'inventaire des programmes touches, ca peut être long. [:spamafote]
Gaetan A 15/09/2004 20:38
Masquer
-0+
Gaetan A
guinioul a écrit :

cette news est vraiment pas claire. :heink:

il n'est pas dit clairement si d'autres navigateurs sont touchés par cette faille...Et les liens pour les patchs ne concernent que IE...

soit dit en passant "0606" à été plus rapide sur ce coup là en mettant hier cette info ici : http://forum.presence-pc.com/prese [...] 7082-1.htm
et propose meme un lien pour télécharger le patch correspondant...

c'est une impression ou la qualité des news baisse en ce moment?




Les personnes ayant une information avant nous peuvent me l'envoyer par mail ou par MP sur le forum. Je suis preneur...

La brève est orientée "correction urgente de la faille" et non "détails techniques" qui seraient limités à un public trop restreint. Tous les détails nécessaires sont présents dans l'actualité et les liens de téléchargements sont indiqués en bas de colonne avec le logiciel qu'ils concernent.
Picsouu 15/09/2004 20:42
Masquer
-0+
Picsouu
almar a écrit :

en meme temps, découvrir une faille, l'exploiter, faire l'inventaire des programmes touches, ca peut être long. [:spamafote]



Oui c'est vrai mais cette faille a été corrigé avec le SP2 donc peut etre (simple supposition) en connaissait-il deja l'existance mais pour rendre le SP2 convainquant on "exploite" une faille des "non-SP2"
yoconono 15/09/2004 20:46
Masquer
-0+
yoconono
picsouu a écrit :

Est-ce que les utilisateurs qui mettent a jour leur systeme windows ont un interet quel qu'il soit (economique, marketing ou autre) pour microsoft ?
J'trouve ca etrange qu'ils nous pondent une faille critique apres la sortie du SP2 (qui n'est pas touché cela va de soit)




Ah c'est vrai... Microsoft == Windows XP SP2 des familles


Si tu suis les liens présents ici tu verras que la faille est présente de facon non continue dans les logiciels de ms. De là à penser qu'elle n'est pas sous XP SP2 suite à un heureux coup du hasard....

A savoir Vous allez poster en tant qu'utilisateur anonyme.



Publicité