Un correctif non officiel est disponible pour la faille WMF

Par Ludovic Blin, secuobs.com
Le 31/12/2005

---

Résumé : Alors que l’exploit 0day découvert le 27 décembre s’est diffusé à vitesse rapide, de nombreux chercheurs se sont penchés sur le problème et l’un d’eux a mis au point une solution. - Lire l'article



Alors que la récente faille dans le composant chargé de l’affichage des images au format WMF au sein des systèmes Windows est de plus en plus utilisé par un nombre exponentiel de codes malveillants en tout genre, plus d’informations sont disponibles sur le fonctionnement de l’exploit découvert il y a quelques jours.

Celui-ci n’utilise pas un quelconque buffer overflow pour parvenir à ses fins, mais une fonction du format WMF. En effet, ces fichiers peuvent décrire une image de manière vectorielle et donc la représenter comme une suite de fonctions de traçage. Dans les instructions autorisés par ce format, on trouve ainsi des fonctions permettant de tracer des formes géométriques, des lignes ou encore du texte. Mais dans cette liste figure une fonction dénommée escape(), qui, invoquée avec un certain paramètre, provoque l’exécution du shellcode suivant.

La taille de fichier minimale pour qu’un fichier WMF puisse faire planter un système Windows XP est de 64 octets. L’exploit développé pour Metasploit a notamment été mis à jour suite à ces découvertes.

Un correctif a également été mis au point par Ilfak Guilfanov, le développeur principal de l’outil de désassemblage IDA. Celui-ci désactive l’utilisation du paramètre SET_ABORT de la fonction Escape au sein de la bibliothèque GDI (gdi32.dll), et donc rend l’exploit inopérant. L’auteur recommande de désinstaller son correctif et d’installer celui de Microsoft, lorsqu’il sera disponible.

Sur cette faille non encore corrigée, il semblerait donc que la communauté des experts en sécurité se soit montrée plus réactive que Microsoft.


Lien vers le correctif non officiel :
lien