certfr_alerte - CERTA-2007-ALE-002

CERTA-2007-ALE-002

Vulnerability from certfr_alerte - Published: - Updated:

Une vulnérabilité non corrigée présente dans Windows permet à un utilisateur distant de provoquer un déni de service sur une application vulnérable.

Description

Une vulnérabilité de type débordement de mémoire dans Windows permet de provoquer un déni de service de toute application essayant de visualiser un fichier wmf. Il existe d'ores et déjà du code permettant l'exploitation de cette faille et causant un déni de service sur toute application utilisant les composants de Windows qui permettent la visualisation des fichiers au format WMF.
Le CERTA n'a pour le moment pas connaissance d'eventuel code permettant l'exécution de code arbitraire à distance mais cette éventualité est envisageable.

03 avril 2007 :

Microsoft publie le bulletin de sécurité MS07-017 qui propose un correctif pour cette vulnérabilité. Ce bulletin est mentionné dans l'avis CERTA-2007-AVI-156.

Contournement provisoire

La vulnérabilité touchant probablement les mêmes composants que ceux décrits dans l'alerte CERTA-2005-ALE-019, les contournements y étant détaillés sont applicables dans le cas présent :

NB : le contournement provisoire cité en paragraphe 5.2 donne l'illusion de fonctionner sans les privilèges administrateur, du fait que l'utilisateur est informé du bon déroulement de la désactivation du composant shimgvw.dll. Cependant le composant vulnérable reste actif et par conséquent le système reste vulnérable.

5.1 Interdiction du composant shimgvw.dll dans la politique de sécurité

Le contournement provisoire suivant ne peut s'appliquer que dans le cas où vous disposez d'un ou plusieurs systèmes Microsoft Windows 2003 Server en tant que contrôleur de domaine.

Dans ce cas, vous pouvez appliquer une politique de sécurité interdisant l'utilisation du composant shimgvw.dll pour toute votre unité organisationnelle.

5.2 Désactivation du composant shimgvw.dll

Il apparaît que les applications faisant appel au composant shimgvw.dll de Microsoft Windows deviendraient vulnérables. Parmi les applications vulnérables, nous pouvons citer par exemple Mozilla Firefox, Google Desktop.

C'est pour cela que le CERTA propose un contournement provisoire plus radical que celui proposé au chapitre 5.2 en désactivant le composant shimgvw.dll. Cependant cela pourrait avoir des effets de bords sur des applications métiers utilisant cette dll.

Les composants de Microsoft Windows affectées par ce contournement provisoire seront au minimum :

GDI+ File Thumbnail Extractor Windows Picture and Fax Viewer ;
HTML Thumbnail Extractor Windows Picture and Fax Viewer ;
Shell Image Data Factory Windows Picture and Fax Viewer ;
Shell Image Property Handler Windows Picture and Fax Viewer ;
Shell Image Verbs Windows Picture and Fax Viewer ;
Summary Info Thumbnail Handler (DOCFILE) Windows Picture and Fax Viewer ;

Procédures à suivre :

Afin de désactiver le composant shimgvw.dll de Microsoft Windows :
- Cliquez sur "Démarrer" puis sur "exécuter" ;
- tapez "regsvr32.exe -u shimgvw.dll" puis "Entrée.
Afin de réactiver (lorsque le correctif sera disponible) le composant shimgvw.dll de Microsoft Windows :
- Cliquez sur "Démarrer" puis sur "exécuter" ;
- tapez "regsvr32.exe shimgvw.dll" puis "Entrée".

Si vous ne disposez pas du fichier regsvr32.exe, il peut être téléchargé à partir du site de Microsoft, à l'adresse suivante :

http://support.microsoft.com/kb/q267279/

5.3 Contournement provisoire pour Internet Explorer

Afin de limiter l'impact d'un fichier wmf malveillant sur le système :

bloquer l'exécution après téléchargement de fichier ayant l'extension wmf ;
1. cliquez sur "Démarrer" puis sur "Poste de travail" ;
2. dans le menu "Outils" cliquez sur "Options des dossiers" ;
3. dans l'onglet "Types de fichiers", sélectionnez dans la liste WMF ;
4. dans l'encadré "Détails concernant l'extension 'WMF'", cliquez sur "Avancé" ;
5. cochez l'option "Confirmer l'ouverture après le téléchargement" puis acceptez les modifications.
Le contournement cité ci-dessus prévient le téléchargement et l'exécution automatique du fichier malveillant, toutefois l'utilisateur peut télécharger et exécuter manuellement le fichier et provoquer ainsi la compromission de son système.

5.4 Rappels de principes généraux

Afficher les messages en texte brut dans votre client de messagerie conformément à la note de recommandation CERTA-2000-REC-001 (cf. Section Documentation) ;
en complément, la règle générale de mise à jour régulière des anti-virus est bien entendu à respecter dans ce cas là ;
mémento du CERTA sur les virus (cf. section Documentation) ;
Note d'information du CERTA sur le SPAM (cf. Documentation).

Solution

Se reporter au bulletin de sécurité Microsoft MS07-017 pour l'application des correctifs.

None

Impacted products

Vendor	Product	Description
Microsoft	Windows	Microsoft Windows XP Service Pack 2 ;
Microsoft	Windows	Microsoft Windows XP Professional x64 Edition.
Microsoft	Windows	Microsoft Windows 2000 Service Pack 4 ;

References

Title

Publication Time

Tags

Avis CERTA-2007-AVI-156 du 03 avril 2007 :	-	other
Bulletin de sécurité Microsoft MS07-017 du 03 avril 2007 :	-	other
Bulletin de sécurité Microsoft MS07-017 du 03 avril 2007 :	-	other

Show details on source website

JSON

To clipboard

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Microsoft Windows XP Service Pack 2 ;",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Windows XP Professional x64 Edition.",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Windows 2000 Service Pack 4 ;",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2007-04-03",
  "content": "## Description\n\nUne vuln\u00e9rabilit\u00e9 de type d\u00e9bordement de m\u00e9moire dans Windows permet de\nprovoquer un d\u00e9ni de service de toute application essayant de visualiser\nun fichier wmf. Il existe d\u0027ores et d\u00e9j\u00e0 du code permettant\nl\u0027exploitation de cette faille et causant un d\u00e9ni de service sur toute\napplication utilisant les composants de Windows qui permettent la\nvisualisation des fichiers au format WMF.  \nLe CERTA n\u0027a pour le moment pas connaissance d\u0027eventuel code permettant\nl\u0027ex\u00e9cution de code arbitraire \u00e0 distance mais cette \u00e9ventualit\u00e9 est\nenvisageable.\n\n03 avril 2007 :\n\nMicrosoft publie le bulletin de s\u00e9curit\u00e9 MS07-017 qui propose un\ncorrectif pour cette vuln\u00e9rabilit\u00e9. Ce bulletin est mentionn\u00e9 dans\nl\u0027avis CERTA-2007-AVI-156.\n\n## Contournement provisoire\n\nLa vuln\u00e9rabilit\u00e9 touchant probablement les m\u00eames composants que ceux\nd\u00e9crits dans l\u0027alerte CERTA-2005-ALE-019, les contournements y \u00e9tant\nd\u00e9taill\u00e9s sont applicables dans le cas pr\u00e9sent :\n\nNB : le contournement provisoire cit\u00e9 en paragraphe 5.2 donne l\u0027illusion\nde fonctionner sans les privil\u00e8ges administrateur, du fait que\nl\u0027utilisateur est inform\u00e9 du bon d\u00e9roulement de la d\u00e9sactivation du\ncomposant shimgvw.dll. Cependant le composant vuln\u00e9rable reste actif et\npar cons\u00e9quent le syst\u00e8me reste vuln\u00e9rable.\n\n## 5.1 Interdiction du composant shimgvw.dll dans la politique de s\u00e9curit\u00e9\n\nLe contournement provisoire suivant ne peut s\u0027appliquer que dans le cas\no\u00f9 vous disposez d\u0027un ou plusieurs syst\u00e8mes Microsoft Windows 2003\nServer en tant que contr\u00f4leur de domaine.\n\nDans ce cas, vous pouvez appliquer une politique de s\u00e9curit\u00e9 interdisant\nl\u0027utilisation du composant shimgvw.dll pour toute votre unit\u00e9\norganisationnelle.\n\n## 5.2 D\u00e9sactivation du composant shimgvw.dll\n\nIl appara\u00eet que les applications faisant appel au composant shimgvw.dll\nde Microsoft Windows deviendraient vuln\u00e9rables. Parmi les applications\nvuln\u00e9rables, nous pouvons citer par exemple Mozilla Firefox, Google\nDesktop.\n\nC\u0027est pour cela que le CERTA propose un contournement provisoire plus\nradical que celui propos\u00e9 au chapitre 5.2 en d\u00e9sactivant le composant\nshimgvw.dll. Cependant cela pourrait avoir des effets de bords sur des\napplications m\u00e9tiers utilisant cette dll.\n\nLes composants de Microsoft Windows affect\u00e9es par ce contournement\nprovisoire seront au minimum :\n\n-   GDI+ File Thumbnail Extractor Windows Picture and Fax Viewer ;\n-   HTML Thumbnail Extractor Windows Picture and Fax Viewer ;\n-   Shell Image Data Factory Windows Picture and Fax Viewer ;\n-   Shell Image Property Handler Windows Picture and Fax Viewer ;\n-   Shell Image Verbs Windows Picture and Fax Viewer ;\n-   Summary Info Thumbnail Handler (DOCFILE) Windows Picture and Fax\n    Viewer ;\n\n  \n\nProc\u00e9dures \u00e0 suivre :\n\n-   Afin de d\u00e9sactiver le composant shimgvw.dll de Microsoft Windows :\n    -   Cliquez sur \"D\u00e9marrer\" puis sur \"ex\u00e9cuter\" ;\n    -   tapez \"regsvr32.exe -u shimgvw.dll\" puis \"Entr\u00e9e.\n-   Afin de r\u00e9activer (lorsque le correctif sera disponible) le\n    composant shimgvw.dll de Microsoft Windows :\n    -   Cliquez sur \"D\u00e9marrer\" puis sur \"ex\u00e9cuter\" ;\n    -   tapez \"regsvr32.exe shimgvw.dll\" puis \"Entr\u00e9e\".\n\nSi vous ne disposez pas du fichier regsvr32.exe, il peut \u00eatre t\u00e9l\u00e9charg\u00e9\n\u00e0 partir du site de Microsoft, \u00e0 l\u0027adresse suivante :\n\n    http://support.microsoft.com/kb/q267279/\n\n## 5.3 Contournement provisoire pour Internet Explorer\n\nAfin de limiter l\u0027impact d\u0027un fichier wmf malveillant sur le syst\u00e8me :\n\n-   bloquer l\u0027ex\u00e9cution apr\u00e8s t\u00e9l\u00e9chargement de fichier ayant\n    l\u0027extension wmf ;\n\n    1.  cliquez sur \"D\u00e9marrer\" puis sur \"Poste de travail\" ;\n    2.  dans le menu \"Outils\" cliquez sur \"Options des dossiers\" ;\n    3.  dans l\u0027onglet \"Types de fichiers\", s\u00e9lectionnez dans la liste\n        WMF ;\n    4.  dans l\u0027encadr\u00e9 \"D\u00e9tails concernant l\u0027extension \u0027WMF\u0027\", cliquez\n        sur \"Avanc\u00e9\" ;\n    5.  cochez l\u0027option \"Confirmer l\u0027ouverture apr\u00e8s le t\u00e9l\u00e9chargement\"\n        puis acceptez les modifications.\n\n    Le contournement cit\u00e9 ci-dessus pr\u00e9vient le t\u00e9l\u00e9chargement et\n    l\u0027ex\u00e9cution automatique du fichier malveillant, toutefois\n    l\u0027utilisateur peut t\u00e9l\u00e9charger et ex\u00e9cuter manuellement le fichier\n    et provoquer ainsi la compromission de son syst\u00e8me.\n\n## 5.4 Rappels de principes g\u00e9n\u00e9raux\n\n-   Afficher les messages en texte brut dans votre client de messagerie\n    conform\u00e9ment \u00e0 la note de recommandation CERTA-2000-REC-001 (cf.\n    Section Documentation) ;\n-   en compl\u00e9ment, la r\u00e8gle g\u00e9n\u00e9rale de mise \u00e0 jour r\u00e9guli\u00e8re des\n    anti-virus est bien entendu \u00e0 respecter dans ce cas l\u00e0 ;\n-   m\u00e9mento du CERTA sur les virus (cf. section Documentation) ;\n-   Note d\u0027information du CERTA sur le SPAM (cf. Documentation).\n\n## Solution\n\nSe reporter au bulletin de s\u00e9curit\u00e9 Microsoft MS07-017 pour\nl\u0027application des correctifs.\n",
  "cves": [],
  "links": [
    {
      "title": "Avis CERTA-2007-AVI-156 du 03 avril 2007 :",
      "url": "http://www.certa.ssi.gouv.fr/site/CERTA-2007-AVI-156/"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft MS07-017 du 03 avril 2007 :",
      "url": "http://www.microsoft.com/france/technet/security/bulletin/MS07-017.mspx"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft MS07-017 du 03 avril 2007 :",
      "url": "http://www.microsoft.com/technet/security/Bulletin/MS07-017.mspx"
    }
  ],
  "reference": "CERTA-2007-ALE-002",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2007-01-12T00:00:00.000000"
    },
    {
      "description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Microsoft MS07-017.",
      "revision_date": "2007-04-03T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "D\u00e9ni de service \u00e0 distance"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 non corrig\u00e9e pr\u00e9sente dans Windows permet \u00e0 un\nutilisateur distant de provoquer un d\u00e9ni de service sur une application\nvuln\u00e9rable.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans Windows",
  "vendor_advisories": []
}

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or observed by the user.
Confirmed: The vulnerability has been validated from an analyst's perspective.
Published Proof of Concept: A public proof of concept is available for this vulnerability.
Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
Not confirmed: The user expressed doubt about the validity of the vulnerability.
Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.

Detection rules are retrieved from Rulezet.

Action not permitted