Un nouvel exploit tire parti d'un possible débordement de mémoire tampon lors de l'interprétation d'images WMF. Bien que récent (l'alerte date du 28/12/05) cet exploit est inquiétant car il est capable de piéger Windows XP doté des derniers patchs de sécurité. C'est pourquoi il entre dans la catégorie zero day exploit.

au sommaire

    Windows : nouvelle attaque virale par des images WMF piégées

    Windows : nouvelle attaque virale par des images WMF piégées

    Mise à jour du 30 décembre : lire notre complément

    Actualité du 29 décembre : le piège fonctionne par la visite d'une page web hébergeant une image WMF contenant le code d'un cheval de Troie de type Trojan dropper parce que sa fonction est de télécharger et d'installer d'autres chevaux de Troiechevaux de Troie sur l'ordinateur. Dans le cas présent le cheval de Troie télécharge Winhound qui est un faux antivirus/antispyware. Ce dernier invite les utilisateurs naïfs à acheter une version enregistrée du programme censée supprimer les infections soi-disant détectées par le programme.

    Selon une autre source les symptômessymptômes sont variables, ce qui laisserait supposer que d'autres actions nuisibles sont possibles.

    L'infection est automatique avec Internet Explorer qui lance l'aperçu des images et des télécopies de Windows. Avec Firefox une boîte de dialogue propose d'ouvrir cette applicationapplication. Si elle est lancée, l'infection a lieu également.

    Ce n'est pas la première fois qu'une faille est découverte dans le format WMF de MicrosoftMicrosoft. Le même risque existerait avec une image WMF piégée hébergée localement sur l'ordinateur.

    À la date de publication de l'alerte deux sites seulement semblaient héberger l'exploit. Une seule de ces adresses a été publiée, mais elle est maintenant inactive (elle semble avoir été retirée du DNS).