Un virus lancé par une image JPEG, c’est possible

Un programme malveillant résidait toujours dans un fichier programme. Dorénavant il est possible qu’un ordinateur soit contaminé en affichant une image au format JPEG infectée. Ces images sont trés répandues sur le Web et dans les emails au format Web.

Le lanceur du programme malveillant

C’est une faille de sécurité dans un composant logiciel sain, chargé d’afficher les images au format JPEG (GDI+) : il suffit d’afficher une image JPEG contenant un programme malveillant pour que ce dernier, un virus, troyen ou autre, s’exécute sur votre ordinateur.

Tous les logiciels qui utilisent ce composant sont vulnérables.


Une partie des logiciels concernés

La liste fournie par Microsoft :

  • Windows XP
  • Windows XP Service Pack 1 (SP1)
  • Windows Server 2003
  • Windows Journal Viewer
  • Internet Explorer 6 SP1
  • Office XP SP3 : Word 2002, Excel 2002, Outlook 2002, PowerPoint 2002, FrontPage 2002 et Publisher 2002.
  • Office 2003 : Word 2003, Excel 2003, Outlook 2003, PowerPoint 2003, FrontPage 2003, Publisher 2003, InfoPath 2003 et OneNote 2003.
  • Digital Image Pro 7.0
  • Digital Image Pro 9
  • Digital Image Suite 9
  • Greetings 2002
  • Picture It! 2002 (toutes versions)
  • Picture It! 7.0 (toutes versions)
  • Picture It! 9 (toutes versions, y compris Picture It! Library)
  • Producer pour PowerPoint (toutes versions)
  • Project 2002 SP1 (toutes versions)
  • Project 2003 (toutes les versions)
  • Visio 2002 SP2 (toutes versions)
  • Visio 2003 (toutes versions)
  • Visual Studio .NET 2002 : Visual Basic .NET Standard 2002, Visual C# .NET Standard 2002 et Visual C++ .NET Standard 2002.
  • Visual Studio .NET 2003 : Visual Basic .NET Standard 2003, Visual C# .NET Standard 2003, Visual C++ .NET Standard 2003 et Visual J# .NET Standard 2003.
  • .NET Framework 1.0 SP2
  • .NET Framework 1.0 SDK SP2
  • .NET Framework 1.1
  • Platform SDK Redistributable : GDI+

D’autres logiciels absents de cette liste sont concernés s’ils utilisent le composant vulnérable (Microsoft n’est pas le seul éditeur touché).

Comment savoir si votre ordinateur est vulnérable

Il semble que cet outil > 1 < soit le plus efficace. Il a été développé par le SANS (SysAdmin, Audit, Network, Security), un organisme spécialisé en sécurité informatique. Il recherche une version vulnérable du composant en question (GDI+) dans les fichiers :

  • gdiplus.dll
  • sxs.dll
  • wsxs.dll
  • mso.dll

Comment s’en débarasser

Bulletin de sécurité MS04-028 de Microsoft > 2 < : mise à jour des applications ci-dessus.

Comme d’habitude une visite sur le site de l’éditeur de votre antivirus s’impose. Et modifiez sa configuration pour lui demander d’analyser toutes les extensions de fichier relatives au format JPEG (.jpg, .jpeg …).

Evolution des risques

Cette faille de sécurité a été publiée en septembre 2004. Il est possible que ce soit la première fois qu’un virus ou un troyen réside dans une véritable image, et qu’il soit exécuté sans le concours d’un autre programme malveillant.

Elle est particulièrement sensible et change la nature des risques réels :

  • les images JPEG sont trés répandues sur le Web et dans les emails au format Web
  • un grand nombre de logiciels utilisent le composant défaillant (GDI+)
  • les antivirus sont configurés par défaut pour ne pas analyser les fichiers de données (images, texte, audio …), pour gagner du temps
  • jusqu’à présent personne n’a jamais pris de précaution avec ces fichiers, à juste titre.
  • l’installation future d’une application pourrait ré-installer le composant vulnérable.

A la date de publication de cet article aucun virus ou troyen n’a encore été diffusé par cette faille, mais il est possible que ça arrive.