Une vulnérabilité très critique a été détectée dans le traitement des images JPEG du moteur GDI+ de Microsoft, le moteur graphique utilisé par Windows XP. Un buffer overrun permet en effet à un attaquant de prendre le contrôle d'un système non patché. http://www.microsoft.com/security/bulletins/200409_jpeg.mspx
La faille est d'importance, en particulier à cause du nombre de produits
touchés : Windows XP, Windows XP Service Pack 1, Windows Server 2003, Internet
Explorer 6 Service Pack 1, Office XP Service Pack 3, Office 2003, Digital Image
Pro 7.0, Digital Image Pro 9, Digital Image Suite 9, Greetings 2002, Picture It!
2002, Picture It! 7.0, Picture It! 9, Producer for PowerPoint, Project 2002
Service Pack 1, Project 2003, Visio 2002 Service Pack 2, Visio 2003, Visual
Studio .NET 2002, Visual Studio .NET 2003, .NET Framework 1.0 Service Pack 2,
.NET Framework 1.0 SDK Service Pack 2, .NET Framework 1.1, et le SDK
redistribuable GDI+.
Windows XP Service Pack 2 et Office 2003 Service Pack 1
ne sont pas affectés, sauf si un des produits ci-dessus a été installé après
l'installation des Service Packs.
Le danger de cette faille est bien sûr
la présence d'Internet Explorer et d'Outlook dans la liste des produits
vulnérables. En conséquence, la simple visite d'un site ou la pré-visualisation
d'un e.mail contenant une image JPEG spécialement modifiée peut conduire à une
exécution de code non autorisé. Il est certain que les auteurs de virus
cherchent déjà à exploiter ces failles, et les premiers vers JPEG devraient
apparaître dans un court délai. Il est donc fortement recommandé de faire un
passage sur Windows
Update et Office Update.
Au passage, utiliser un autre navigateur Internet que celui de Microsoft ne
résoud que provisoirement le problème : plusieurs failles critiques (Javascript,
vCard, POP3...) ont en effet été découvertes dans toutes les versions de
Mozilla, Firefox, Thunderbird, et Netscape, dont la même faille que celle de
Microsoft, mais pour le format BMP... Elles ont été corrigées dans Firefox 1.0
Preview Release, Mozilla 1.7.3, et Thunderbird 0.8, mais toujours pas dans
Netscape. http://www.mozilla.org/projects/security/known-vulnerabilities.html