Un correctif alternatif à Microsoft pour combler la faille WMF
Inédit. Un expert indépendant propose un correctif contre la faille WMF. F-Secure approuve, Sophos est moins enclin.
Comment prévenir les attaques potentielles dues à la faille WMF de Windows ? Cette vulnérabilité touche plus précisément le moteur de rendu de l’application de lecture Aperçu des images et des télécopies Windows (voir édition du 2 janvier 2006). Elle peut affecter des millions d’ordinateurs dans le monde. Du moins en attendant le correctif que Microsoft prévoit, au mieux, de livrer le 10 janvier prochain (voir édition du 4 janvier 2006).
Outre la désactivation (temporaire) de l’application de lecture des fichiers WMF (Shimgvw.dll) préconisée par Microsoft lui-même dans son alerte, certains spécialistes de la sécurité préconisent d’autres solutions, complémentaires ou de remplacement. Et pour cause : la désactivation n’est pas toujours possible et peut être réactivée par le biais de scripts malveillants.
Quant à l’idée de ne chercher à filtrer les fichiers WMF afin de ne pas être tenté de les afficher, elle se heurte au fait que les WMF sont reconnus à l’aide d’un entête spécial et peuvent être accompagné d’une extension quelconque. On croit charger une image JPEG, par exemple, et c’est un WMF en train d’infecter la machine qui s’active.
Pour XP et Server 2003 uniquement
Du coup, certains expert préconisent l’application d’un correctif alternatif à l’éditeur de Windows. C’est notamment ce que recommande l’Internet Storm Center (ISC). Une première en la matière. Le centre d’analyse antivirale du Sans Institute invite donc à appliquer un correctif développé par Ilfak Guilfanov, après avoir désactivé la DLL. « Tom Liston, membre de notre équipe, l’a examiné et nous l’avons testé », lit-on dans les FAQ du site. Quant à l’auteur du correctif, il est qualifié « d’un des meilleurs experts au monde de la couche bas niveau de Windows » par l’éditeur F-Secure.
Le correctif ne fonctionne cependant que pour les versions XP et Server 2003 de Windows. « Nous l’avons testé et vérifié et pouvons le recommander », écrit Mikko Hypponen, directeur de la recherche sur les antivirus chez F-Secure, « nous l’exploitons sur toutes nos machines Windows. »
Si, de son côté, l’éditeur Sophos approuve l’efficacité du correctif, il n’en recommande pas forcément l’installation. « Nos tests n’ont révélé aucun problème avec le correctif de Guilfanov […] et il permet de bloquer les tentatives d’exploitation de la faille WMF », explique Graham Cluley, expert en technologie et consultant pour Sophos, « cependant, les entreprises devront décider elles-mêmes si elle se sentent assez à l’aise avec cette solution alternative plutôt que d’attendre celui de Microsoft. » Sous-entendu, les administrateurs ne devront compter que sur eux-même en cas de problème avec le correctif d’Ilfak Guilfanov.