[Note : consultez de préférence cet article, plus récent, pour un point complet au sujet de la vulnérabilité WMF]C’est un cocktail de fête, mais celui-ci est explosif : une vulnérabilité non corrigée dans Windows permet d’installer n’importe quoi à la visite d’un site web ou à partir d’un email. Vient s’y ajouter un code d’exploitation disponible sur Internet, et le tout arrive bien entendu durant les fêtes de fin d’année, alors que les internautes un peu naïfs y vont de leur carte de voeux virtuelle particulièrement simple à piéger.La faille frappe à nouveau l’interprétation des images au format .WMF, dont Windows faisait déjà les frais le mois dernier. Mais tandis que la première est corrigée, celle-ci ne l’est pas : on appelle ça un « Zero Day », c’est à dire lorsque les pirates sont libres d’agir avant que l’éditeur n’ait pu protéger ses clients.Et les pirates, justement, ne s’en privent pas : selon Microsoft, cette vulnérabilité serait déjà activement exploitée pour installer des codes malicieux à travers le web (probablement essentiellement des spywares, adwares et autres bots destinés à « zombifier » le PC).Selon la société eEye, à l’origine de l’annonce, les utilisateurs d’Internet Explorer sont les plus exposés car chez eux la faille peut-être exploitée automatiquement à la visite d’un site web. Mais que les adeptes des autres navigateurs ne se réjouissent pas trop vite : ils peuvent aussi être victimes de cette faille s’ils tentent d’ouvrir spécifiquement une image au format .WMF (en l’ayant, par exemple, téléchargée au préalable. Mais certes, il faut le vouloir !).Notons enfin que rien n’empêche de créer une image piégée à ce format et de la renommer, par exemple, en JPG. A sa lecture, le système détectera qu’il s’agit du format WMF et l’interprétera en tant que tel, déclenchant au passage l’exploitation de la vulnérabilité. Méfiez-vous donc également des autres formats d’images…Bien qu’aucun correctif ne soit disponible pour cette vulnérabilité, Microsoft indique qu’il est possible d’en atténuer les effets en activant la fonction DEP (protection de la mémoire contre certains dépassements de mémoire tampon) intégrée à Windows XP SP2. Active par défaut uniquement pour les processus du système, la protection DEP peut en effet être étendue à tous les processus , avec cependant plus ou moins de bonheur en matière de stabilité.Par ailleurs, sous Windows Server 2003, Outlook Express lit les courriers en texte brut par défaut, ce qui le rend moins vulnérable (il n’y aura aucun affichage automatique d’une image piégée, mais l’internaute sera toujours vulnérable s’il clique sur un lien communiqué dans le courrier).Pour le reste, toutes les versions de Windows, de 98 à 2003 sont concernées par cette vulnérabilité.Bien sûr, celle-ci exploitant essentiellement le navigateur Internet Explorer comme vecteur de choix, il est aussi possible d’en changer, le temps que Microsoft publie le correctif ad-hoc.Par ailleurs, les éditeurs d’antivirus commencent à mettre leurs produits à jour afin de détecter l’utilisation de l’exploit publié. Un passage par la case mise à jour s’impose donc !Enfin, les utilisateurs plus à l’aise avec leur système peuvent désactiver purement et simplement le composant vulnérable (depuis la ligne de commande depuis le répertoire system32 : regsvr32 /U shimgvw.dll, suivi de regsvr32 shimgvw.dll pour le réactiver une fois le correctif appliqué).Attention cependant : nous n’avons pas testé ce remède, et la désactivation du composant est susceptible d’avoir un impact sur de nombreux logiciels qui comptent sur sa présence, et notamment en ce qui concerne l’affichage de fax. En outre, Microsoft n’a pas spécifiquement conseillé cette parade et la portée de cette faille laisse croire qu’elle peut être exploitée par d’autres voies.