CERTA-2011-ALE-001

Vulnerability from certfr_alerte - Published: - Updated:

Un correctif a été publié le 08 février 2011.

Une vulnérabilité non corrigée dans le moteur de rendu graphique de Windows permet à une personne malintentionnée d'exécuter du code arbitraire à distance.

Description

Une vulnérabilité non corrigée a été découverte dans le moteur de rendu graphique de Windows. Elle permet d'exécuter du code malveillant au moyen d'une image d'aperçu (miniature ou thumbnail) spécialement réalisée. Une personne malintentionnée distante peut faire exécuter du code arbitraire à une victime en la dupant et en lui faisant ouvrir un document, ou suivre un lien malveillant, entrainant la visualisation d'une miniature spécialement réalisée.

Des exemples de code d'exploitation de cette vulnérabilité sont d'ores et déjà recensés sur l'Internet.

Contournement provisoire

Microsoft propose comme moyen de contournement de limiter les droits sur la bibliothèque responsable du rendu graphique des miniatures, le fichier shimgvw.dll. Cela est faisable grace aux commandes suivantes executées en tant qu'administrateur :

  • Pour les systèmes Windows XP et Windows Server 2003 :

    Echo y| cacls %WINDIR%\SYSTEM32\shimgvw.dll /E /P "Tout le monde":N

  • pour les systèmes Windows Vista 32 bits et Windows Server 2008 32 bits :

    takeown /f %WINDIR%\SYSTEM32\SHIMGVW.DLL
icacls %WINDIR%\SYSTEM32\SHIMGVW.DLL /save %TEMP%\SHIMGVW_ACL.TXT
icacls %WINDIR%\SYSTEM32\SHIMGVW.DLL /deny "Tout le monde":(F)

  • pour les systèmes Windows Vista 64 bits et Windows Server 2008 64 bits :

    takeown /f %WINDIR%\SYSTEM32\SHIMGVW.DLL
takeown /f %WINDIR%\SYSWOW64\SHIMGVW.DLL
icacls %WINDIR%\SYSTEM32\SHIMGVW.DLL /save %TEMP%\SHIMGVW_ACL32.TXT
icacls %WINDIR%\SYSWOW64\SHIMGVW.DLL /save %TEMP%\SHIMGVW_ACL64.TXT
icacls %WINDIR%\SYSTEM32\SHIMGVW.DLL /deny "Tout le monde":(F)
icacls %WINDIR%\SYSWOW64\SHIMGVW.DLL /deny "Tout le monde":(F)

Ce contournement aura pour effet, entre autre, de remplacer l'affichage des miniatures par l'affichage des icones. Attention, il doit être validé avant d'être déployé en production. Le CERTA rappelle aussi qu'il est recommandé d'utiliser un compte utilisateur aux droits restreints et de respecter les bonnes pratiques en matière de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Note : Les mesures de contournement provisoire doivent être supprimées avant l'application du correctif MS11-006.

None
Impacted products
Vendor Product Description
Microsoft Windows Windows Vista SP1 et SP2 (32bits et 64bits) ;
Microsoft Windows Windows Server 2008 SP2 (32bits et 64 bits) ;
Microsoft Windows Windows XP SP3 ;
Microsoft Windows Windows Server 2003 SP2 (32 bits et 64 bits) ;
Microsoft Windows Windows Server 2003 SP2 (Itanium) ;
Microsoft Windows Windows Server 2008 SP2 (Itanium).
Microsoft Windows Windows Server 2008 (Itanium) ;
Microsoft Windows Windows Server 2008 (32bits et 64 bits) ;
Microsoft Windows Windows XP Pro SP2 64bits ;
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Windows Vista SP1 et SP2 (32bits et 64bits) ;",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2008 SP2 (32bits et 64 bits) ;",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows XP SP3 ;",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2003 SP2 (32 bits et 64 bits) ;",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2003 SP2 (Itanium) ;",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2008 SP2 (Itanium).",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2008 (Itanium) ;",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2008 (32bits et 64 bits) ;",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows XP Pro SP2 64bits ;",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2011-02-10",
  "content": "## Description\n\nUne vuln\u00e9rabilit\u00e9 non corrig\u00e9e a \u00e9t\u00e9 d\u00e9couverte dans le moteur de rendu\ngraphique de Windows. Elle permet d\u0027ex\u00e9cuter du code malveillant au\nmoyen d\u0027une image d\u0027aper\u00e7u (miniature ou thumbnail) sp\u00e9cialement\nr\u00e9alis\u00e9e. Une personne malintentionn\u00e9e distante peut faire ex\u00e9cuter du\ncode arbitraire \u00e0 une victime en la dupant et en lui faisant ouvrir un\ndocument, ou suivre un lien malveillant, entrainant la visualisation\nd\u0027une miniature sp\u00e9cialement r\u00e9alis\u00e9e.\n\nDes exemples de code d\u0027exploitation de cette vuln\u00e9rabilit\u00e9 sont d\u0027ores\net d\u00e9j\u00e0 recens\u00e9s sur l\u0027Internet.\n\n## Contournement provisoire\n\nMicrosoft propose comme moyen de contournement de limiter les droits sur\nla biblioth\u00e8que responsable du rendu graphique des miniatures, le\nfichier shimgvw.dll. Cela est faisable grace aux commandes suivantes\nexecut\u00e9es en tant qu\u0027administrateur\u00a0:\n\n-   Pour les syst\u00e8mes Windows XP et Windows Server 2003 :\n\n        Echo y| cacls %WINDIR%\\SYSTEM32\\shimgvw.dll /E /P \"Tout le monde\":N\n\n-   pour les syst\u00e8mes Windows Vista 32 bits et Windows Server 2008 32\n    bits :\n\n        takeown /f %WINDIR%\\SYSTEM32\\SHIMGVW.DLL\n        icacls %WINDIR%\\SYSTEM32\\SHIMGVW.DLL /save %TEMP%\\SHIMGVW_ACL.TXT\n        icacls %WINDIR%\\SYSTEM32\\SHIMGVW.DLL /deny \"Tout le monde\":(F)\n\n-   pour les syst\u00e8mes Windows Vista 64 bits et Windows Server 2008 64\n    bits :\n\n        takeown /f %WINDIR%\\SYSTEM32\\SHIMGVW.DLL\n        takeown /f %WINDIR%\\SYSWOW64\\SHIMGVW.DLL\n        icacls %WINDIR%\\SYSTEM32\\SHIMGVW.DLL /save %TEMP%\\SHIMGVW_ACL32.TXT\n        icacls %WINDIR%\\SYSWOW64\\SHIMGVW.DLL /save %TEMP%\\SHIMGVW_ACL64.TXT\n        icacls %WINDIR%\\SYSTEM32\\SHIMGVW.DLL /deny \"Tout le monde\":(F)\n        icacls %WINDIR%\\SYSWOW64\\SHIMGVW.DLL /deny \"Tout le monde\":(F)\n\nCe contournement aura pour effet, entre autre, de remplacer l\u0027affichage\ndes miniatures par l\u0027affichage des icones. Attention, il doit \u00eatre\nvalid\u00e9 avant d\u0027\u00eatre d\u00e9ploy\u00e9 en production. Le CERTA rappelle aussi qu\u0027il\nest recommand\u00e9 d\u0027utiliser un compte utilisateur aux droits restreints et\nde respecter les bonnes pratiques en mati\u00e8re de s\u00e9curit\u00e9.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n\n\u003cspan class=\"textbf\"\u003eNote\u003c/span\u003e : Les mesures de contournement\nprovisoire doivent \u00eatre supprim\u00e9es avant l\u0027application du correctif\nMS11-006.\n",
  "cves": [
    {
      "name": "CVE-2010-3970",
      "url": "https://www.cve.org/CVERecord?id=CVE-2010-3970"
    }
  ],
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft MS11-006 du 08 f\u00e9vrier 2011    :",
      "url": "http://www.microsoft.com/technet/security/Bulletin/MS11-006.mspx"
    },
    {
      "title": "Avis CERTA-2011-AVI-061 du 09 f\u00e9vrier 2011 :",
      "url": "http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-061"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft MS11-006 du 08 f\u00e9vrier 2011    :",
      "url": "http://www.microsoft.com/france/technet/security/Bulletin/MS11-006.mspx"
    }
  ],
  "reference": "CERTA-2011-ALE-001",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2011-01-05T00:00:00.000000"
    },
    {
      "description": "mise \u00e0 jour des syst\u00e8mes affect\u00e9s et ajout de la r\u00e9f\u00e9rence au correctif.",
      "revision_date": "2011-02-09T00:00:00.000000"
    },
    {
      "description": "pr\u00e9cision sur la suppression des mesures de contournement provisoires.",
      "revision_date": "2011-02-10T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "Un correctif a \u00e9t\u00e9 publi\u00e9 le 08 f\u00e9vrier 2011.\n\nUne vuln\u00e9rabilit\u00e9 non corrig\u00e9e dans le moteur de rendu graphique de\nWindows permet \u00e0 une personne malintentionn\u00e9e d\u0027ex\u00e9cuter du code\narbitraire \u00e0 distance.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans le moteur de rendu graphique de Windows",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Alerte de s\u00e9curit\u00e9 Microsoft 2490606 du 04 janvier 2011",
      "url": "http://www.microsoft.com/technet/security/advisory/2490606.mspx"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.