Upload
baudouin-weiss
View
106
Download
2
Embed Size (px)
Citation preview
Bulletins de Sécurité MicrosoftAoût 2010
Jean Gautier, Ramin BarretoCSS Security EMEA
Bruno Sorcelle, Valéry KremerTechnical Account Manager
Bienvenue !
Présentation des bulletins d’Août 201014 Nouveaux bulletins de Sécurité1 avis de sécuritéMises à jour non relatives à la sécurité
Informations connexes :Microsoft® Windows® Malicious Software* Removal ToolAutres informations
Ressources
Questions - Réponses : Envoyez dès maintenant !
* Malicious software (logiciel malveillant)
Questions - Réponses
À tout moment pendant la présentation, posez vos
questions :1. Ouvrez l’interface Questions-réponses en cliquant sur le menu Q&R :
2. Précisez le numéro du Bulletin, entrez votre question et cliquez sur « Poser une question » :
Bulletins de Sécurité d’Août 2010 Bulletin N°Article Indice de
gravité maximal
Composants Logiciels Affectés
MS10-047 981852 Important Windows Kernel Microsoft Windows
MS10-048 2160329 Important Kernel-Mode Drivers Microsoft Windows
MS10-049 980436 Critique Schannel Microsoft Windows
MS10-050 981997 Important Movie Maker Microsoft Windows
MS10-051 2079403 Critique XML Core Microsoft Windows
MS10-052 2115168 Critique Codec MP3 Microsoft Windows
MS10-053 2183461 Critique Internet Explorer Microsoft Windows, Internet Explorer
MS10-054 982214 Critique SMB Server Microsoft Windows,
MS10-055 982665 Critique Codec Cinepak Microsoft Windows
MS10-056 2269638 Critique Word Microsoft Office
MS10-057 2269707 Important Excel Microsoft Office
MS10-058 978886 Important TCP/IP Microsoft Windows
MS10-059 982799 Important Tracing Feature Microsoft Windows
MS10-060 2265906 Critique .NET CLR / Silverlight Microsoft Windows, .NET Framework, Silverlight
MS10-047 : Introduction et indices de gravité
Numéro Titre Indice de gravité
maximalProduits affectés
MS10-047
Des vulnérabilités dans le noyau Windows pourraient permettre une élévation de privilèges (981852)
Important
• Windows XP SP3• Windows Vista (Toutes les versions
supportées)• Windows Server 2008 (Toutes les
versions supportées)• Windows 7 (Toutes les versions
supportées)• Windows Server 2008 R2 (Toutes
les versions supportées)
MS10-047 : Des vulnérabilités dans le noyau Windows pourraient permettre une élévation de privilèges (981852) - Important
Vulnérabilité • Vulnérabilités d’élévation de privilèges et de déni de services
Vecteurs d'attaque possibles
• Une application spécialement conçue• Un script spécialement conçu
Impact • Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire en mode noyau.
• L’attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges.
Facteurs atténuants • Pour exploiter cette vulnérabilité, l'attaquant doit disposer d'informations d'identification valides pour ouvrir une session en local.
• Cette vulnérabilité ne peut pas être exploitée à distance ou par des utilisateurs anonymes.
Contournement • Aucune solution de contournement n’a été identifiée
Informations complémentaires
• Ces vulnérabilités n’ont pas été signalées publiquement avant la publication de ce bulletin• À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou de code
d'exploitation.
MS10-048 : Introduction et indices de gravité
Numéro Titre Indice de gravité
maximalProduits affectés
MS10-048
Des vulnérabilités dans les pilotes en mode noyau de Windows pourraient permettre une élévation de privilèges (2160329)
Important
• Windows XP (Toutes les versions supportées)
• Windows Server 2003 (Toutes les versions supportées)
• Windows Vista (Toutes les versions supportées)
• Windows Server 2008 (Toutes les versions supportées)
• Windows 7 (Toutes les versions supportées)
• Windows Server 2008 R2 (Toutes les versions supportées)
MS10-048 : Des vulnérabilités dans les pilotes en mode noyau de Windows pourraient permettre une élévation de privilèges (2160329) - Important
Vulnérabilité • Vulnérabilités d’élévation de privilèges et de déni de services
Vecteurs d'attaque possibles
• Une application spécialement conçue• Un script spécialement conçu
Impact • Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire en mode noyau.
• L’attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges.
Facteurs atténuants • Pour exploiter cette vulnérabilité, l'attaquant doit disposer d'informations d'identification valides pour ouvrir une session en local.
• Cette vulnérabilité ne peut pas être exploitée à distance ou par des utilisateurs anonymes.
Contournement • Aucune solution de contournement n’a été identifiée
Informations complémentaires
• Ces vulnérabilités n’ont pas été signalées publiquement avant la publication de ce bulletin hormis la CVE-2010-1894
• À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.
MS10-049 : Introduction et indices de gravité
Numéro Titre Indice de gravité
maximalProduits affectés
MS10-049
Des vulnérabilités dans SChannel pourraient permettre l'exécution de code à distance (980436)
Critique
• Windows XP (Toutes les versions supportées)
• Windows Server 2003 (Toutes les versions supportées)
• Windows Vista (Toutes les versions supportées)
• Windows Server 2008 (Toutes les versions supportées)
• Windows 7 (Toutes les versions supportées)
• Windows Server 2008 R2 (Toutes les versions supportées)
Cette mise à jour de sécurité concerne également une vulnérabilité décrite dans l'Avis de sécurité Microsoft 977377.
MS10-049 : Des vulnérabilités dans SChannel pourraient permettre l'exécution de code à distance (980436) - Critique
Vulnérabilité • Vulnérabilités d'exécution de code à distance et de falsification.
Vecteurs d'attaque possibles
• Une attaque man-in-the-middle entre un client et un serveur, interrompant par la suite leur connexion dès qu'une tentative de renégociation SSL intervient.
• Un site Web spécialement conçu
Impact • Un attaquant parvenant à exploiter la vulnérabilité CVE-2009-3555 pourrait introduire des informations sur une connexion protégée TLS/SSL, envoyant ainsi un trafic permettant d'usurper le contenu du client authentifié.
• Un attaquant parvenant à exploiter la vulnérabilité CVE-2010-2566 pourrait prendre le contrôle intégrale du système.
Facteurs atténuants • Les sites Web qui n'hébergent pas de contenu via SSL, mais fournissent du contenu uniquement via des connexions HTTP (texte clair), ne sont pas affectés.
• Internet Information Services (IIS) 6 et IIS 7 n'autorisent pas la renégociation établie par le client. Ceci réduit fortement la surface d'attaque.
• Nos clients ne sont concernés que lorsqu'un attaquant parvient à réaliser une attaque d'interception en exploitant une autre vulnérabilité, telle qu'une attaque de sous-réseau local ou une usurpation DNS.
Contournement • Pour la CVE-2009-35555 : Activez SSLAlwaysNegoClientCert sur IIS 6 et versions ultérieures
• Pour la CVE-2010-2566 : Aucune solution de contournement n’a été identifiée
Informations complémentaires
• La vulnérabilité CVE-2009-3555 a été révélée publiquement (Avis de sécurité 977377)• À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou de code
d'exploitation.
MS10-050 : Introduction et indices de gravité
Numéro Titre Indice de gravité
maximalProduits affectés
MS10-050
Une vulnérabilité dans Windows Movie Maker pourrait permettre l'exécution de code à distance (981997)
Important
• Movie Maker 2.1 pour Windows XP (Toutes les versions supportées)
• Movie Maker 2.6 pour Windows Vista (Toutes les versions supportées)
• Movie Maker 6.0 pour Windows Vista (Toutes les versions supportées)
MS10-050 : Une vulnérabilité dans Windows Movie Maker pourrait permettre l'exécution de code à distance (981997) - Important
Vulnérabilité • Vulnérabilité d’exécution de code à distance
Vecteurs d'attaque possibles
• Un fichier de projet Movie Maker spécialement conçu• Mécanismes habituel : une page Web spécialement conçue, une pièce jointe, un message
instantané, un partage de fichiers peer-to-peer, un partage réseau, ou une clé USB
Impact • L’attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté.
Facteurs atténuants • Un attaquant devra convaincre les utilisateurs de visiter ce site Web, généralement en les incitant à cliquer sur un lien dans un message électronique ou un message instantané menant à son site.
• Le fichier spécialement conçu pourrait être envoyé en pièce jointe, mais l'attaquant devrait convaincre l'utilisateur d'ouvrir la pièce jointe
• Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur.
Contournement • Supprimer l'association de fichier .MSWMM dans Movie Maker
Informations complémentaires
• Cette vulnérabilité n’a pas été signalée publiquement avant la publication de ce bulletin• À la publication de ce bulletin, nous n'avons pas connaissance d'attaques ou de code
d'exploitation.
MS10-051 : Introduction et indices de gravité
Numéro Titre Indice de gravité
maximalProduits affectés
MS10-051
Une vulnérabilité dans Microsoft XML Core Services pourrait permettre l'exécution de code à distance (2079403)
Critique
• MS XML Core Services 3.0 pour• Windows XP (Toutes les
versions supportées)• Windows Server 2003 (Toutes
les versions supportées)• Windows Vista (Toutes les
versions supportées)• Windows Server 2008 (Toutes
les versions supportées)• Windows 7 (Toutes les
versions supportées)• Windows Server 2008 R2
(Toutes les versions supportées)
MS10-051 : Une vulnérabilité dans Microsoft XML Core Services pourrait permettre l'exécution de code à distance (2079403) - Critique
Vulnérabilité • Vulnérabilité d’exécution de code à distance
Vecteurs d'attaque possibles
• Un site Web spécialement conçu pour invoquer MSXML• Un message électronique au format HTML spécialement conçu
Impact • L’attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté.
Facteurs atténuants • Un attaquant devra convaincre les utilisateurs de visiter ce site Web, généralement en les incitant à cliquer sur un lien dans un message électronique ou un message instantané menant à son site.
• Par défaut, toutes les versions en cours de support de Microsoft Outlook, Microsoft Outlook Express et de Windows Mail ouvrent les messages au format HTML dans la zone Sites sensibles, ce qui désactive les scripts et les contrôles ActiveX, éliminant ainsi le risque qu'un attaquant puisse utiliser cette vulnérabilité pour exécuter du code malveillant.
• Par défaut, Internet Explorer sur Windows Server 2003 et Windows Server 2008 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. Ce mode définit le niveau de sécurité pour la zone Internet sur Élevé. C'est un facteur atténuant pour les sites Web qui n'ont pas été ajoutés à la zone Sites de confiance d'Internet Explorer.
Contournement • Empêcher les objets COM de s'exécuter dans Internet Explorer• Définissez les paramètres des zones Intranet local et Internet sur la valeur « Élevé » afin de
bloquer les contrôles ActiveX et Active Scripting dans ces zones• Configurer Internet Explorer de manière à ce qu'il désactive Active Scripting ou à ce qu'il vous
avertisse avant de l'exécuter dans la zone de sécurité Intranet local et Internet.• Restriction des sites Web aux sites Web de confiance uniquement
Informations complémentaires
• Cette vulnérabilité n’a pas été signalée publiquement avant la publication de ce bulletin• À la publication de ce bulletin, nous n'avons pas connaissance d'attaques ou de code
d'exploitation.
MS10-052 : Introduction et indices de gravité
Numéro Titre Indice de gravité
maximalProduits affectés
MS10-052
Une vulnérabilité dans les codecs Microsoft MPEG Layer-3 pourrait permettre l'exécution de code à distance (2115168)
Critique
• Windows XP (Toutes les versions supportées)
• Windows Server 2003 SP2• Windows Server 2003 x64 SP2
MS10-052 : Une vulnérabilité dans les codecs Microsoft MPEG Layer-3 pourrait permettre l'exécution de code à distance (2115168) - Critique
Vulnérabilité • Vulnérabilité d’exécution de code à distance
Vecteurs d'attaque possibles
• Un fichier multimédia spécialement conçu• Du contenu en continu spécialement conçu d'un site Web malveillant• Mécanismes habituel : une page Web spécialement conçue, une pièce jointe, un message
instantané, un partage de fichiers peer-to-peer, un partage réseau, ou une clé USB
Impact • Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral d'un système affecté.
Facteurs atténuants • Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur.
• Un 'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter un site Web malveillant.• La vulnérabilité ne peut pas être exploitée automatiquement par le biais des messages
électroniques. Pour qu'une attaque aboutisse, il faut que l'utilisateur ouvre la pièce jointe
Contournement • Désinscrire l3codecx.ax• Refuser l'accès à l3codecx.ax• Désactiver le traitement MPEG Layer-3 dans DirectShow
Informations complémentaires
• Cette vulnérabilité n’a pas été signalée publiquement avant la publication de ce bulletin• À la publication de ce bulletin, nous n'avons pas connaissance d'attaques ou de code
d'exploitation.
MS10-053 : Introduction et indices de gravité
Numéro Titre Indice de gravité
maximalProduits affectés
MS10-053
Mise à jour de sécurité cumulative pour Internet Explorer (2183461)
Critique
• Internet Explorer 6.0 sur Windows XP et Windows Server 2003 (Toutes les versions supportées)
• Internet Explorer 7 sur Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 (Toutes les versions supportées)
• Internet Explorer 8 sur Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, et Windows Server 2008 R2 (Toutes les versions supportées)
MS10-053 : Mise à jour de sécurité cumulative pour Internet Explorer (2183461) - Critique
Vulnérabilité • Vulnérabilités d'exécution de code à distance.
Vecteurs d'attaque possibles
• Une page Web spécialement conçue • Un message électronique spécialement conçu
Impact • Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du script dans le contexte de l'utilisateur dans un autre domaine Internet Explorer.
• Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté.
Facteurs atténuants • Un attaquant devra convaincre les utilisateurs de visiter ce site Web, généralement en les incitant à cliquer sur un lien dans un message électronique ou un message instantané menant à son site.
• Par défaut, toutes les versions en cours de support de Microsoft Outlook, Microsoft Outlook Express et de Windows Mail ouvrent les messages au format HTML dans la zone Sites sensibles, ce qui désactive les scripts et les contrôles ActiveX, éliminant ainsi le risque qu'un attaquant puisse utiliser cette vulnérabilité pour exécuter du code malveillant.
• Par défaut, Internet Explorer sur Windows Server 2003 et Windows Server 2008 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. Ce mode définit le niveau de sécurité pour la zone Internet sur Élevé. C'est un facteur atténuant pour les sites Web qui n'ont pas été ajoutés à la zone Sites de confiance d'Internet Explorer.
Contournement • Définir les paramètres des zones Intranet local et Internet sur la valeur « Élevé » afin de bloquer les contrôles ActiveX et Active Scripting dans ces zones
• Configurer Internet Explorer de manière à ce qu'il désactive Active Scripting ou à ce qu'il vous avertisse avant de l'exécuter dans la zone de sécurité Intranet local et Internet
Informations complémentaires
• Ces vulnérabilité n’ont pas été signalées publiquement avant la publication de ce bulletin• À la publication de ce bulletin, nous n'avons pas connaissance d'attaques ou de code
d'exploitation.
MS10-054 : Introduction et indices de gravité
Numéro Titre Indice de gravité
maximalProduits affectés
MS10-054
Des vulnérabilités dans le serveur SMB pourraient permettre l'exécution de code à distance (982214)
Critique
• Windows XP (Toutes les versions supportées)
• Windows Server 2003 (Toutes les versions supportées)
• Windows Vista (Toutes les versions supportées)
• Windows Server 2008 (Toutes les versions supportées)
• Windows 7 (Toutes les versions supportées)
• Windows Server 2008 R2 (Toutes les versions supportées)
MS10-054 : Des vulnérabilités dans le serveur SMB pourraient permettre l'exécution de code à distance (982214) - Critique
Vulnérabilité • Vulnérabilités d’exécution de code à distance et de déni de services
Vecteurs d'attaque possibles
• Un paquet SMB spécialement conçu envoyé au système affecté.
Impact • Tout attaquant qui parviendrait à exploiter une des vulnérabilités pourrait prendre le contrôle intégral du système affecté ou empêcher le système d'un utilisateur de répondre tant qu'il n'est pas redémarré manuellement.
Facteurs atténuants • Les meilleures pratiques en matière de pare-feu, ainsi que les configurations par défaut des pare-feu, contribuent à protéger les réseaux contre les attaques lancées depuis l'extérieur de l'entreprise.
• Dans Windows Vista et Windows 7, si le profil réseau est défini sur « Public », le système n'est pas affecté par cette vulnérabilité étant donné que, par défaut, les paquets réseau entrants non sollicités sont bloqués.
• La CVE-2010-2551 ne permet qu’un Déni de service• La CVE-2010-2550 requière une authentification sur Windows Vista, Windows Server 2008,
Windows 7, et Windows 2008 R2,
Contournement • Bloquer les ports TCP 139 et 445 au niveau du pare-feu• Désactiver SMB v2 pour CVE-2010-2552
Informations complémentaires
• Ces vulnérabilité n’ont pas été signalées publiquement avant la publication de ce bulletin• À la publication de ce bulletin, nous n'avons pas connaissance d'attaques ou de code
d'exploitation.
MS10-055 : Introduction et indices de gravité
Numéro Titre Indice de gravité
maximalProduits affectés
MS10-055
Une vulnérabilité dans le codec Cinepak pourrait permettre l'exécution de code à distance (982665)
Critique
• Windows XP (Toutes les versions supportées)
• Windows Vista (Toutes les versions supportées)
• Windows 7 (Toutes les versions supportées)
MS10-055 : Une vulnérabilité dans le codec Cinepak pourrait permettre l'exécution de code à distance (982665) - Critique
Vulnérabilité • Vulnérabilité d’exécution de code à distance
Vecteurs d'attaque possibles
• Un fichier multimédia spécialement conçu• Du contenu en continu spécialement conçu d'un site Web malveillant • Mécanismes habituel : une page Web spécialement conçue, une pièce jointe, un message
instantané, un partage de fichiers peer-to-peer, un partage réseau, ou une clé USB
Impact • L’attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté.
Facteurs atténuants • Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur.
• Dans le cas d'une attaque Web, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter un site Web malveillant.
• La vulnérabilité ne peut pas être exploitée automatiquement par le biais des messages électroniques. Pour qu'une attaque aboutisse, il faut que l'utilisateur ouvre la pièce jointe du message électronique
Contournement • Modifier la liste de contrôle d'accès (ACL) pour iccvid.dll• Désactiver le traitement des fichiers encodés Cinepak dans DirectShow• Désinscription de quartz.dll
Informations complémentaires
• Cette vulnérabilité n’a pas été signalée publiquement avant la publication de ce bulletin• À la publication de ce bulletin, nous n'avons pas connaissance d'attaques ou de code
d'exploitation.
MS10-056 : Introduction et indices de gravité
Numéro Titre Indice de gravité
maximalProduits affectés
MS10-056
Des vulnérabilités dans Microsoft Office Word pourraient permettre l'exécution de code à distance (2269638)
Critique
• Microsoft Office Word 2002 Service Pack 3
• Microsoft Office Word 2003 Service Pack 3
• Microsoft Office Word 2007 Service Pack 2
• Microsoft Office 2004 pour Mac• Microsoft Office 2008 pour Mac• Convertisseur de formats de fichier
Open XML pour Mac• Microsoft Office Word Viewer• Pack de compatibilité Microsoft
Office pour les formats de fichier Word, Excel et PowerPoint 2007 Service Pack 2
• Microsoft Works 9
MS10-056 : Des vulnérabilités dans Microsoft Office Word pourraient permettre l'exécution de code à distance (2269638) - Critique
Vulnérabilité • Vulnérabilité d’exécution de code à distance
Vecteurs d'attaque possibles
• Un fichier Word spécialement conçu• Mécanismes habituel : une page Web spécialement conçue, une pièce jointe, un message
instantané, un partage de fichiers peer-to-peer, un partage réseau, ou une clé USB
Impact • Un attaquant pourrait exécuter du code arbitraire dans le contexte de l'utilisateur connecté. Si un utilisateur est connecté avec des privilèges d'administrateur, un attaquant pourrait prendre le contrôle intégral du système affecté.
Facteurs atténuants • La vulnérabilité ne peut pas être exploitée automatiquement par le biais des messages électroniques. Pour qu'une attaque aboutisse, il faut que l'utilisateur ouvre la pièce jointe du message électronique .
• Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur.
• Dans le cas d'une attaque Web, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter un site Web malveillant.
Contournement • Adoptez la stratégie de blocage des fichiers Microsoft Office pour bloquer l'ouverture des documents au format Office 2003 et d'une version antérieure, ou RTF provenant d'une source inconnue ou non fiable.
• Utiliser l'Environnement isolé de conversion Microsoft Office (Microsoft Office Isolated Conversion Environment - MOICE) pour ouvrir des fichiers provenant d'une source inconnue ou non fiable.
• Lecture des messages électroniques au format texte brut• Ne pas ouvrir de fichiers Word provenant de sources non fiables ou reçus de sources fiables de
manière inattendue
Informations complémentaires
• Ces vulnérabilités n’ont pas été signalées publiquement avant la publication de ce bulletin • À la publication de ce bulletin, nous n'avons pas connaissance d'attaques ou de code
d'exploitation.
MS10-057 : Introduction et indices de gravité
Numéro Titre Indice de gravité
maximalProduits affectés
MS10-057
Une vulnérabilité dans Microsoft Office Excel pourrait permettre l'exécution de code à distance (2269707)
Important
• Microsoft Office Excel 2002 Service Pack 3
• Microsoft Office Excel 2003 Service Pack 3
• Microsoft Office 2004 pour Mac• Microsoft Office 2008 pour Mac• Convertisseur de formats de fichier
Open XML pour Mac
MS10-057 : Une vulnérabilité dans Microsoft Office Excel pourrait permettre l'exécution de code à distance (2269707) - Important
Vulnérabilité • Vulnérabilité d’exécution de code à distance
Vecteurs d'attaque possibles
• Un fichier Excel spécialement conçu• Mécanismes habituel : une page Web spécialement conçue, une pièce jointe, un message
instantané, un partage de fichiers peer-to-peer, un partage réseau, ou une clé USB
Impact • Un attaquant pourrait exécuter du code arbitraire dans le contexte de l'utilisateur connecté. Si un utilisateur est connecté avec des privilèges d'administrateur, un attaquant pourrait prendre le contrôle intégral du système affecté
Facteurs atténuants • Dans le cas d'une attaque Web, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter un site Web malveillant.
• Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté.
• La vulnérabilité ne peut pas être exploitée automatiquement par le biais des messages électroniques. Pour qu'une attaque aboutisse, il faut que l'utilisateur ouvre la pièce jointe du message électronique
Contournement • Adoptez la stratégie de blocage des fichiers Microsoft Office pour bloquer l'ouverture des documents au format Office 2003 et d'une version antérieure provenant d'une source inconnue ou non fiable.
• Utiliser l'Environnement isolé de conversion Microsoft Office (Microsoft Office Isolated Conversion Environment - MOICE) pour ouvrir des fichiers provenant d'une source inconnue ou non fiable.
• Ne pas ouvrir de fichiers Microsoft Office provenant de sources non fiables ou reçus de sources fiables de manière inattendue
Informations complémentaires
• Cette vulnérabilité n’a pas été signalée publiquement avant la publication de ce bulletin • À la publication de ce bulletin, nous n'avons pas connaissance d'attaques ou de code
d'exploitation.
MS10-058 : Introduction et indices de gravité
Numéro Titre Indice de gravité
maximalProduits affectés
MS10-058
Des vulnérabilités dans TCP/IP pourraient permettre une élévation de privilèges (978886)
Important
• Windows Vista (Toutes les versions supportées)
• Windows Server 2008 (Toutes les versions supportées)
• Windows 7 (Toutes les versions supportées)
• Windows Server 2008 R2 (Toutes les versions supportées)
MS10-058 : Des vulnérabilités dans TCP/IP pourraient permettre une élévation de privilèges (978886) - Important
Vulnérabilité • Vulnérabilités d‘élévation de privilèges et de Déni de services.
Vecteurs d'attaque possibles
• Des paquets IPv6 mal formés et spécialement conçus.• Une application spécialement conçue exécutée localement
Impact • Un attaquant parvenant à exploiter la vulnérabilité CVE-2010-1892 pourrait empêcher le système affecté de répondre.
• Un attaquant parvenant à exploiter la vulnérabilité CVE-2010-1893 pourrait prendre le contrôle intégrale du système.
Facteurs atténuants • CVE-2010-1892 : Aucun facteur atténuant• CVE-2010-1893 : Pour exploiter cette vulnérabilité, l'attaquant doit disposer d'informations
d'identification valides pour ouvrir une session en local. Cette vulnérabilité ne peut pas être exploitée à distance ou par des utilisateurs anonymes.
Contournement • Aucune solution de contournement n’a été identifiée pour ces vulnérabilités
Informations complémentaires
• Ces vulnérabilités n’ont pas été signalées publiquement avant la publication de ce bulletin • À la publication de ce bulletin, nous n'avons pas connaissance d'attaques ou de code
d'exploitation.
MS10-059 : Introduction et indices de gravité
Numéro Titre Indice de gravité
maximalProduits affectés
MS10-059
Des vulnérabilités dans la fonctionnalité de suivi des services pourraient permettre une élévation de privilèges (982799)
Important
• Windows Vista (Toutes les versions supportées)
• Windows Server 2008 (Toutes les versions supportées)
• Windows 7 (Toutes les versions supportées)
• Windows Server 2008 R2 (Toutes les versions supportées)
MS10-059 : Des vulnérabilités dans la fonctionnalité de suivi des services pourraient permettre une élévation de privilèges (982799) - Important
Vulnérabilité • Vulnérabilités d‘élévation de privilèges.
Vecteurs d'attaque possibles
• Une application spécialement conçue exécutée localement• Un script spécialement conçu
Impact • Un attaquant qui a réussi à exploiter cette vulnérabilité pourrait exécuter du code arbitraire avec des privilèges de niveau système et prendre le contrôle intégral du système affecté.
Facteurs atténuants • Pour exploiter ces vulnérabilités, l'attaquant doit disposer d'informations d'identification valides pour ouvrir une session en local. Ces vulnérabilités ne peuvent pas être exploitées à distance ou par des utilisateurs anonymes.
Contournement • Aucune solution de contournement n’a été identifiée pour ces vulnérabilités
Informations complémentaires
• La vulnérabilité CVE-2010-2554 a été révélée publiquement .• À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou de code
d'exploitation.
MS10-060 : Introduction et indices de gravité
Numéro Titre Indice de gravité
maximalProduits affectés
MS10-060
Des vulnérabilités dans Microsoft .NET Common Language Runtime (CLR) et dans Microsoft Silverlight pourraient permettre l'exécution de code à distance (2265906)
Critique
• .NET Framework 2.0 SP2, 3.5, & 3.5 SP1 sur toutes les versions supportées de Windows XP
• .NET Framework 2.0 SP2, 3.5, & 3.5 SP1 sur toutes les versions supportées de Windows Server 2003
• .NET Framework 2.0 SP1, 2.0 SP2, 3.5, and 3.5 SP1 sur toutes les versions supportées de Windows Vista
• .NET Framework 2.0 SP1, 2.0 SP2, 3.5, and 3.5 SP1 sur toutes les versions supportées de Windows Server 2008
• .NET Framework 3.5.1 on Windows 7
• .NET Framework 3.5.1 on Windows Server 2008 R2
• Silverlight 2 et 3 sur toutes les versions de Windows supportées
• Silverlight 2 et 3 sur Mac
MS10-060 : Des vulnérabilités dans Microsoft .NET Common Language Runtime (CLR) et dans Microsoft Silverlight pourraient permettre l'exécution de code à distance (2265906) – Critique page 1/2
Vulnérabilité • Vulnérabilités d'exécution de code à distance.
Vecteurs d'attaque possibles
• Un site Web spécialement conçu• Un message électronique spécialement conçu • Une application Microsoft .NET Framework malveillante
Impact • Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral d'un système affecté.
Facteurs atténuants • Dans le cas d'une attaque Web, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter un site Web malveillant.
• Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté.
• Par défaut, toutes les versions en cours de support de Microsoft Outlook, Microsoft Outlook Express et de Windows Mail ouvrent les messages au format HTML dans la zone Sites sensibles, ce qui désactive les scripts et les contrôles ActiveX, éliminant ainsi le risque qu'un attaquant puisse utiliser cette vulnérabilité pour exécuter du code malveillant.
• Par défaut, Internet Explorer sur Windows Server 2003 et Windows Server 2008 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée.
• Internet Explorer 8 désactive le filtre MIME Microsoft .NET dans la zone Internet.• Un attaquant doit posséder l'autorisation de téléchargement des pages ASP.NET arbitraires
vers un site Web• La version actuelle de Microsoft Silverlight, Silverlight 4, n'est pas concernée par cette
vulnérabilité.
MS10-060 : Des vulnérabilités dans Microsoft .NET Common Language Runtime (CLR) et dans Microsoft Silverlight pourraient permettre l'exécution de code à distance (2265906) – Critique page 2/2
Contournement • Définir les paramètres des zones Intranet local et Internet sur la valeur « Élevé » afin de bloquer les contrôles ActiveX et Active Scripting dans ces zones
• Configurer Internet Explorer de manière à ce qu'il désactive Active Scripting ou à ce qu'il vous avertisse avant de l'exécuter dans la zone de sécurité Intranet local et Internet
• Bloquer temporairement l'exécution du contrôle ActiveX Microsoft Silverlight dans Internet Explorer, Firefox ou Chrome
• Désactivez les applications Microsoft .NET de confiance partielle• Désactivez les applications du navigateur XAML dans Internet Explorer• Procéder à la mise à niveau vers la dernière version de Microsoft Silverlight
Informations complémentaires
• Ces vulnérabilités n’ont pas été révélées publiquement• À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou de code
d'exploitation.
Bulletin Windows Update
Microsoft Update
MBSA 2.1 WSUS 3.0 SMS avec Feature Pack
SUS
SMS avec Outil d'inventaire des
mises à jour
SCCM 2007
MS10-047 Oui Oui Oui Oui Oui 1 Oui Oui
MS10-048 Oui Oui Oui Oui Oui 1 Oui Oui
MS10-049 Oui Oui Oui Oui Oui 1 Oui Oui
MS10-050 Oui Oui Oui Oui Oui 1 Oui Oui
MS10-051 Oui Oui Oui Oui Oui 1 Oui Oui
MS10-052 Oui Oui Oui Oui Oui 1 Oui Oui
MS10-053 Oui Oui Oui Oui Oui 1 Oui Oui
MS10-054 Oui Oui Oui Oui Oui 1 Oui Oui
MS10-055 Oui Oui Oui Oui Oui 1 Oui Oui
MS10-056 Non 2/ 3 Oui 3 Oui 3 Oui Non 1/ 3 Oui 3 Oui 3
1 - SMS SUSFP ne prend pas en charge Internet Explorer 7, Internet Explorer 8, Exchange 2007, Windows Media Player 11 , toutes versions ou composant s d'Office ou Works, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, toutes versions de Windows x64 et les systèmes Windows ia642 – Windows Update fournit seulement les mises à jour pour les composants Windows et ne supporte pas Office ou Exchange. Les utilisateurs auront besoin de s’orienter vers Microsoft Update afin de recevoir les mises à jour de sécurité pour notre gamme complète de produits et services3 – Microsoft ne fournit aucun outil de détection et de déploiement d’entreprise pour ses produits qui s'exécutent sur les systèmes d'exploitation Macintosh
Détection et déploiement 1/2
Bulletin Windows Update
Microsoft Update
MBSA 2.1 WSUS 3.0 SMS avec Feature Pack
SUS
SMS avec Outil d'inventaire des
mises à jour
SCCM 2007
MS10-057 Non 2/ 3 Oui 3 Oui 3 Oui 3 Non 1/ 3 Oui 3 Oui 3
MS10-058 Oui Oui Oui Oui Non 1 Oui Oui
MS10-059 Oui Oui Oui Oui Non 1 Oui Oui
MS10-060 Oui 3 Oui 3 Oui 3 Oui 3 Oui 1/3 Oui 3 Oui 3
1 - SMS SUSFP ne prend pas en charge Internet Explorer 7, Internet Explorer 8, Exchange 2007, Windows Media Player 11 , toutes versions ou composant s d'Office ou Works, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, toutes versions de Windows x64 et les systèmes Windows ia642 – Windows Update fournit seulement les mises à jour pour les composants Windows et ne supporte pas Office. Les utilisateurs auront besoin de s’orienter vers Microsoft Update afin de recevoir les mises à jour de sécurité pour notre gamme complète de produits et services3 – Microsoft ne fournit aucun outil de détection et de déploiement d’entreprise pour ses produits qui s'exécutent sur les systèmes d'exploitation Macintosh
Détection et déploiement 2/2
Informations de mise à jour (1/2)
Bulletin Redémarrage requis Désinstallation Remplace
MS10-047 Oui Oui MS10-021
MS10-048 Oui Oui MS10-032
MS10-049 Oui Oui Aucun
MS10-050 Possible Oui MS10-016
MS10-051 Oui Oui MS08-069
MS10-052 Possible Oui Aucun
MS10-053 Oui Oui MS10-035
MS10-054 Oui Oui MS10-012
MS10-055 Possible Oui Aucun
MS10-056 Possible OuiMS09-027MS09-068MS10-036
Informations de mise à jour (2/2)Bulletin Redémarrage requis Désinstallation Remplace
MS10-057 Possible OuiMS10-036MS10-038
MS10-058 Oui Oui MS10-029
MS10-059 Oui Oui Aucun
MS10-060 Possible Oui MS09-061
Avis de sécurité Microsoft 2264072 – Élévation de privilèges grâce au contournement de l'isolation de service Windows Logiciels Affectés
• Windows XP (toutes les versions supportées)• Windows Server 2003 (toutes les versions supportées)• Windows Vista (toutes les versions supportées)• Windows Server 2008 (toutes les versions supportées)• Windows 7 (toutes les versions supportées)• Windows Server 2008 R2 (toutes les versions supportées)
Résumé
Microsoft a connaissance de la possibilité d'attaques qui exploitent la fonctionnalité d'isolation de service Windows pour obtenir une élévation de privilèges. Cet Avis aborde les scénarios d'attaque potentiels et fournit des actions suggérées pouvant contribuer à la protection contre ce problème. Cet Avis propose également une mise à jour non relative à la sécurité pour l'un des scénarios d'attaque potentiels via les interfaces de programmation de téléphonie Windows (TAPI).
Ce problème affecte des scénarios où du code non fiable est exécuté dans un processus possédé par le compte NetworkService. Dans de tels scénarios, il est possible pour un attaquant de s'élever de l'exécution de processus en tant que compte NetworkService à l'exécution de processus en tant que compte LocalSystem sur un serveur cible. Facteurs Atténuants
Facteurs Atténuants• Pour pouvoir exploiter cette vulnérabilité, l'attaquant doit pouvoir exécuter du code avec le
compte NetworkService sur le système cible.• Les serveurs IIS utilisant les paramètres par défaut ne sont pas concernés par ce problème.
Contournement• Configurer l'identité de processus de travail (WPI - Worker Process Identity) pour les pools
d'applications dans IIS • Appliquer la mise à jour non relative à la sécurité pour la CVE-2010-1886. référence Microsoft
KB982316
Août 2010 - Mises à jour non relatives à la sécurité
Article Title Distribution
KB905866 Update for Windows Mail Junk E-mail Filter Catalog, AU, WSUS
KB890830 Windows Malicious Soft ware Removal Tool Catalog, AU, WSUS
Windows Malicious Software Removal Tool
Ajoute la possibilité de supprimer :Stuxnet family CplLnk familyWorm:Win32/Vobfus.gen!AWorm:Win32/Vobfus.gen!BWorm:Win32/Vobfus.gen!CWorm:Win32/Vobfus!dllWorm:Win32/Sality.AUVirus:Win32/Sality.AUTrojanDropper:Win32/Sality.AU
Disponible en tant que mise à jour prioritaire sous Windows Update et Microsoft UpdateDisponible par WSUS 3.0
Disponible en téléchargement à l'adresse suivante : http://www.microsoft.com/france/securite/malwareremove
Lifecycle Support Information
Après le 12 octobre 2010Exchange 2007 SP1 ne sera plus supportéWSUS 3.0 SP1 ne sera plus supporté
Après le 11 janvier 2011Exchange Server 2000 ne sera plus supportéSQL Server 7.0 ne sera plus supportéSCCM 2007 SP1 ne sera plus supportéSCCM 2007 R2 ne sera plus supporté
Pour rappel…
RessourcesSynthèse des Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletin/ms10-aug.mspx
Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletin
Webcast des Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletin/webcasts.mspx
Avis de sécuritéhttp://www.microsoft.com/france/technet/security/advisory
Abonnez-vous à la synthèse des Bulletins de sécurité (en français)http://www.microsoft.com/france/securite/newsletters.mspx
Blog du MSRC (Microsoft Security Response Center)http://blogs.technet.com/msrc
Microsoft France sécurité http://www.microsoft.com/france/securite
TechNet sécuritéhttp://www.microsoft.com/france/technet/security
Informations légales
L’OBJET DU PRESENT DOCUMENT EST DE VOUS FOURNIR L’INFORMATION QUE VOUS AVEZ DEMANDEE CONCERNANT LA SECURITE. GENERALEMENT, L’INFORMATION PROVOQUE UNE PRISE DE CONSCIENCE AUTOUR DE LA SECURITE ET IDENTIFIE LE PERSONNEL, LES PROCEDES, RESSOURCES ET TECHNonLOGIES QUI SONT DESTINES A PROMOUVOIR DE BONNES REGLES DE SECURITE DANS VOTRE ORGANISATION. LES VIRUS ET AUTRES TECHNonLOGIES NUISIBLES DESTINES A ATTAQUER VOTRE ENVIRONNEMENT INFORMATIQUE CHANGENT CONTINUELLEMENT AFIN DE CONTOURNER LES MESURES DE SECURITE EXISTANTES. DES LORS, MAINTENIR UN ENVIRONNEMENT INFORMATIQUE FIABLE EST UN PROCESSUS CONTINU QUI EXIGE QUE VOUS MAINTENIEZ UN PERSONNEL, DES PROCEDES, RESSOURCES ET TECHNonLOGIES ADEQUATS AFIN DE VOUS PROTEGER CONTRE TOUTE ATTEINTE A LA SECURITE. AUCUNE DISPOSITION CONTENUE DANS LES PRESENTES NE DOIT ETRE INTERPRETEE OU CONSIDEREE COMME UNE CERTIFICATION, UNE GARANTIE OU TOUTE AUTRE FORME DE VALIDATION QUE VOTRE ENVIRONNEMENT INFORMATIQUE EST ET DEMEURERA PROTEGE CONTRE DES ATTEINTES A LA SECURITE ET NonUS N’ASSUMONS AUCUNE RESPONSABILITE POUR TOUTE ATTEINTE A LA SECURITE OU TOUT DOMMAGE OU PERTE SUBSEQUENT. TOUTES COMMUNICATIONS OU TRANSMISSIONS D’INFORMATION QUI VOUS SONT ADRESSEES AU SUJET DE MICROSOFT ET CONCERNANT LA SECURITE INCLUANT NonTAMMENT TOUTES SUGGESTIONS, ANALYSES, OU COMMENTAIRES QUI VOUS SONT FOURNIS DURANT UNE ANALYSE RELATIVE A LA SECURITE OU TOUTE AUTRE INFORMATION PASSEE, PRESENTE OU FUTURE RELATIVE NonTAMMENT AUX TESTS DE SECURITE, EVALUATIONS, DISPONIBILITES, HORAIRES OU OBJECTIFS (CI-APRES COLLECTIVEMENT DENonMMES « INFORMATIONS SUR LA SECURITE »), SONT FOURNIS CONFORMEMENT AUX CONDITIONS DU CONTRAT DE SERVICE EXISTANT ENTRE VOUS ET MICROSOFT ET UNIQUEMENT AFIN DE VOUS PERMETTRE DE VOUS ORGANISER FACE A D’EVENTUELS PROBLEMES DE SECURITE. TOUTES LES INFORMATIONS SUR LA SECURITE CONTIENNENT TOUTES LES DONNEES QUI NonUS SONT ACTUELLEMENT ACCESSIBLES MAIS QUI SONT SUSCEPTIBLES DE CHANGER EN RAISON DU CHANGEMENT CONSTANT DE CES DONNEES SANS QUE MICROSOFT VOUS AIT PREALABLEMENT INFORME DE CES CHANGEMENTS. NonUS VOUS RECOMMANDONS DONC DE VERIFIER REGULIEREMENT AUPRES DE NonUS ET SUR LE SITE INTERNET DE SECURITE SITUE A L’ADRESSE SUIVANTE WWW.MICROSOFT.COM/SECURITY SI LES INFORMATIONS QUE NonUS VOUS AVONS FOURNIES FONT L’OBJET DE MISES A JOUR. VEUILLEZ NonUS CONTACTER SI VOUS AVEZ D’AUTRES QUESTIONS CONCERNANT DES PROBLEMES DE SECURITE OU SI VOUS AVEZ BESOIN D’UNE MISE A JOUR DES INFORMATIONS QUE NonUS VOUS AVONS FOURNIES.