Vulnérabilité
critique non corrigée dans Windows Media Player (07/12/06)
MAJ 12/12/06 : un correctif
officiel est disponible
RESUME :
Un nouveau défaut de sécurité a été
identifié dans Media Player, le lecteur multimédia
intégré à Windows. L'exploitation
d'une erreur dans la gestion des playlists ASX permet à
un individu malveillant de prendre le contrôle à distance
de l'ordinateur de sa victime ou à un virus de s'exécuter
à l'ouverture d'une page web ou d'un fichier piégé.
LOGICIEL(S)
CONCERNE(S) :
Microsoft
Windows
Media Player
CORRECTIF
:
Aucun
correctif n'est disponible pour le moment, le découvreur
de la faille ayant fait le choix de rendre public son existence
sans concertation avec l'éditeur. En attendant la publication
d'un correctif officiel, les utilisateurs concernés peuvent
appliquer les mesures suivantes afin de réduire les risques
d'exploitation malveillante :
- se montrer
particulièrement vigilant dans son utilisation d'Internet,
notamment vis-à-vis des fichiers douteux, des liens hypertextes
non sollicités ou des sites web non reconnus comme sûrs
;
- désactiver l'ouverture automatique des fichiers ASX en
procédant comme suit : ouvrir l'Explorateur Windows >
menu Outils > Options des dossiers... > onglet Types de
fichiers > sélectionner l'extension ASX > bouton
Avancé > cocher la case Confirmer l'ouverture après
le téléchargement > bouton OK :
(si le bouton Avancé n'est pas cliquable, fermer la session
et s'identifier en tant qu'administrateur)
- tenir à
jour son antivirus. Les éditeurs ont déjà
ou vont bientôt publier de nouvelles signatures pour tenter
de reconnaître et d'intercepter les fichiers malicieux exploitant
ce défaut de sécurité (Bloodhound.Exploit.105
chez Symantec).
Les utilisateurs
concernés peuvent également s'abonner gratuitement
à la
lettre Secuser Securite pour être informés par
courrier électronique de la disponibilité du correctif
officiel dès sa publication.
INFORMATIONS
COMPLEMENTAIRES :
->
FAQ : comment
déterminer le numéro de version de votre logiciel?
-> Abonnement
gratuit à la lettre Secuser Securite pour être informé
par courriel des nouvelles failles
|