Deux nouvelles failles : faut-il tuer WMF ? Jerome Saiz le 10 janvier 2006 - 20:33, dans la rubrique Menaces Commentez cet article!deuxfaillesnouvellesQuelques jours à peine après la publication du correctif pour la dernière vulnérabilité WMF en date, deux nouvelles failles frappent le même composant. Rien de critique cette fois-ci, elles ne permettraient que de faire « planter » l’ordinateur… pour l’instant ! Il n’empêche qu’avec quatre failles et deux correctifs en l’espace de deux mois, tout ceci ne fait pas très sérieux…Et de quatre ! Deux nouvelles vulnérabilités viennent d’être découvertes dans le traitement des images au format WMF sous Windows.Non, vous ne rêvez pas : il s’agit bien du même composant à l’origine d’une vulnérabilité majeure il y a tout juste quelques jours, pour lequel Microsoft vient de publier un correctif en urgence. Et c’est le même composant qui était déjà victime, en novembre dernier, d’une autre faille critique, pour laquelle Microsoft avait là aussi publié un correctif.L’affaire tourne ainsi au burlesque : quatre failles, dont deux critiques (et deux correctifs), en quelques mois, pour un même composant ? Mineur qui plus est ? Et cela quelques jours à peine après que Microsoft ait affirmé avoir consacré des équipes entières, 24h/24h pendant dix jours, à sa réparation ? C’est, au choix, une sacré poisse ou une franche boulette. A défaut d’être capable de le réparer, peut-être serait-il plus simple d’achever WMF une fois pour toute ?Les deux vulnérabilités actuelles ne permettraient cependant que de faire « planter » l’ordinateur à la lecture d’une image piégée. Il n’y aurait donc, pour l’instant, aucun risque d’exécution de code. Mais de l’avis d’organismes tels le SANS, ou d’après l’alerte publiée par Security Focus, la possibilité n’est pas à écarter.Ce ne serait d’ailleurs pas la première fois qu’un tel revirement de situation se produit : au mois de novembre dernier, une vieille faille d’Internet Explorer, que l’on ne croyait capable que de faire planter le navigateur, se révélait en réalité beaucoup plus grave : elle permettait en fait l’exécution de code sur le PC. La vigilance est donc -à nouveau- de mise pour les utilisateurs de Windows et plus particulièrement d’Internet Explorer. Le bon vieux conseil qui consiste à désactiver la librairie Shimgvw.dll est donc à nouveau de circonstance.En attendant la suite de la saga WMF…Vous avez aimé cet article?Cliquez sur le bouton J'AIME ou partagez le avec vos amis! Notez L'article Soyez le premier à évaluer cet article!Participez ou lancez la discussion! Right content En bref2,4 millions de cartes bancaires compromises chez un marchand américain Posted on: 17 avril 2013L'attaque DDOS contre Spamhaus : entre info et intox Posted on: 28 mars 2013La plus grosse attaque par DDoS a lieu actuellement : 300gbs ! Posted on: 27 mars 2013Joueurs : une vulnérabilité dans EA Origin ouvre la porte de vos PC Posted on: 19 mars 2013Mémo : pensez à désactiver RC4 dans SSL / TLS Posted on: 18 mars 2013Publicité A lire égalementComment perdre de l'argent avec une arnaque FacebookAprès Sony... Nintendo piraté !Un vrai-faux certificat Google dans la natureDiscussionsLE BON CHOIX POUR UNE IMPLÉMENTATION SSO12 March 2013Bonjour les experts, Je suis en train de passer un stage de fin d'étude qui porte sur la miseSourcefire 25 Years of Vulnerabilities Research Report6 March 2013La sécurité de l'information est-elle un échec ?6 February 2013Pour prolonger le débat organisé à l'occasion des P'tites RIAMs, pensez-vous que la sécuri Recommender sur Google RSS Feed Chaine Youtube »»Boite à outils Image of sweeping radar screen FreeScanScan your network for Security Vulnerabilities and Malware. Image of bar graph BrowserCheck Business EditionMeasure browser security across your organization. Image of biohazard symbol Malware DetectionScan your web sites, for malware infections and threats. Mots-clésadobe android anssi antivirus apple attaque blackberry breve chiffrement cisco cloud computing cso interchange exploit explorer facebook faille failles featured firefox google informatique internet iphone linux mcafee microsoft oracle patch phishing piratage pirates rsa conference rssi saas securityvibes smartphone spam symantec sécurité virtualisation virus vulnérabilité wifi windows étude