Xmco Partners : compromission d’une machine via plusieurs failles
septembre 2008 par XMCO PARTNERS
* WinZip GDI+ Library Multiple Code Execution Vulnerabilities
– Date : 30 Septembre 2008
– Plateforme : Windows
– Programme : Winzip
– Gravité : Elevée
– Exploitation : Avec un fichier malicieux
– Dommage : Accès au système
- Description :
Plusieurs vulnérabilités ont été corrigées au sein du logiciel d’archivage
Winzip. Un pirate était en mesure de prendre le contrôle d’un système
vulnérable en exploitant ces failles.
Les failles de sécurité sont inhérentes au bulletin de sécurité Microsoft
MS08-052 [2] et proviennent donc d’erreurs lors du traitement d’images
’.vml’, ’.emf’, ’.gif’, ’.wmf’ et ’.bmp’ contenant des entêtes malformées.
En incitant un utilisateur à visualiser une image malicieuse contenue dans
une archive par l’intermédiaire du logiciel vulnérable, un pirate pouvait
exécuter du code malicieux sous les privilèges de la victime.
Ces vulnérabilités proviennent plus précisément de la librairie Microsoft
"gdiplus.dll" contenue dans le répertoire d’installation de Winzip. Cette
librairie est uniquement nécessaire pour les systèmes d’exploitation
Windows 2000.
- Vulnérable :
* WinZip version 11.0 installé sur toutes les plate-formes Windows (2000, XP, 2003, Vista...)
* WinZip version 11.1 installé sur une plate-forme Windows 2000
* WinZip version 11.2 installé sur une plate-forme Windows 2000
- Référence :
[1] http://update.winzip.com/wz112sr1.htm
[2]
[FR]
http://www.microsoft.com/france/technet/security/bulletin/ms08-052.mspx
[EN] http://www.microsoft.com/technet/security/bulletin/ms08-052.mspx
– Référence CVE :
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5348
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3012
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3013
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3014
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3015
– Correction :
Nous vous recommandons d’installer la version 11.2 SR-1 (Build 8261)
disponible sur le site de l’éditeur :
http://update.winzip.com/wz112sr1.htm
– Lien extranet XMCO :
http://xmcopartners.com/veille/client/index.xmco?nv=1222767232