Bulletins de Sécurité Microsoft Octobre 2010 Jean Gautier, Ramin Barreto CSS Security EMEA Bruno Sorcelle, Valéry Kremer Technical Account Manager 1

Bienvenue ! Présentation des bulletins d’Octobre 2010 16 Nouveaux bulletins de Sécurité Mises à jour non relatives à la sécurité Informations connexes : Microsoft® Windows® Malicious Software* Removal Tool Autres informations Ressources Questions - Réponses : Envoyez dès maintenant ! * Malicious software (logiciel malveillant)

Questions - Réponses À tout moment pendant la présentation, posez vos questions : 1. Ouvrez l’interface Questions-réponses en cliquant sur le menu Q&R : 2. Précisez le numéro du Bulletin, entrez votre question et cliquez sur « Poser une question » :

Bulletins de Sécurité d’Octobre 2010 N°Article Indice de gravité maximal Composants Logiciels Affectés MS10-071 2360131 Critique Internet Explorer Microsoft Windows, MS10-072 2160329 Important SafeHTML Logiciels serveurs Microsoft MS10-073 980436 Kernel-Mode Drivers Microsoft Windows MS10-074 981997 Modéré MFC MS10-075 2281879 Media Player Sharing MS10-076 982132 Moteur OpenType MS10-077 2160841 .NET Framework MS10-078 982214 Format OTF MS10-079 982665 Word Microsoft Office MS10-080 2269638 Excel MS10-081 2269707 Comctl32 MS10-082 978886 Windows Media Player

Bulletins de Sécurité d’Octobre 2010 N°Article Indice de gravité maximal Composants Logiciels Affectés MS10-083 2360131 Important COM Validation Microsoft Windows MS10-084 2160329 LPC MS10-085 980436 Schannel MS10-086 981997 Modéré Cluster

MS10-071 : Introduction et indices de gravité Numéro Titre Indice de gravité maximal Produits affectés MS10-071 Mise à jour de sécurité cumulative pour Internet Explorer (2360131) Critique Internet Explorer 6.0 sur Windows XP et Windows Server 2003 (Toutes les versions supportées) Internet Explorer 7 sur Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 (Toutes les versions supportées) Internet Explorer 8 sur Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, et Windows Server 2008 R2 (Toutes les versions supportées)

MS10-071 : Mise à jour de sécurité cumulative pour Internet Explorer (2360131) - Critique Vulnérabilité Vulnérabilités d'exécution de code à distance et de divulgation d’informations Vecteurs d'attaque possibles Une page Web spécialement conçue Un message électronique spécialement conçu Impact Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du script dans le contexte de l'utilisateur dans un autre domaine Internet Explorer. Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté. Facteurs atténuants Un attaquant devra convaincre les utilisateurs de visiter ce site Web, généralement en les incitant à cliquer sur un lien dans un message électronique ou un message instantané menant à son site. Par défaut, toutes les versions en cours de support de Microsoft Outlook, Microsoft Outlook Express et de Windows Mail ouvrent les messages au format HTML dans la zone Sites sensibles, ce qui désactive les scripts et les contrôles ActiveX, éliminant ainsi le risque qu'un attaquant puisse utiliser cette vulnérabilité pour exécuter du code malveillant. Par défaut, Internet Explorer sur Windows Server 2003 et Windows Server 2008 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. Ce mode définit le niveau de sécurité pour la zone Internet sur Élevé. C'est un facteur atténuant pour les sites Web qui n'ont pas été ajoutés à la zone Sites de confiance d'Internet Explorer. Contournement Définir les paramètres des zones Intranet local et Internet sur la valeur « Élevé » afin de bloquer les contrôles ActiveX et Active Scripting dans ces zones Configurer Internet Explorer de manière à ce qu'il désactive Active Scripting ou à ce qu'il vous avertisse avant de l'exécuter dans la zone de sécurité Intranet local et Internet Lecture des messages électroniques au format texte brut Informations complémentaires Les CVE-2010-3324, CVE-2010-3325 ont été révélées publiquement. Les autres vulnérabilité n’ont pas été signalées publiquement avant la publication de ce bulletin À la publication de ce bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.

MS10-072 : Introduction et indices de gravité Numéro Titre Indice de gravité maximal Produits affectés MS10-072 Des vulnérabilités dans SafeHTML pourraient permettre la divulgation d'informations (2412048) Important Microsoft Windows SharePoint Services 3.0 Service Pack 2 (versions 32 bits) Microsoft Windows SharePoint Services 3.0 Service Pack 2 (versions 64 bits) Microsoft SharePoint Foundation 2010 Microsoft Office SharePoint Server 2007 Service Pack 2 (éditions 32 bits) Microsoft Office SharePoint Server 2007 Service Pack 2 (éditions 64 bits) Microsoft Groove Server 2010 Microsoft Office Web Apps

MS10-072 : Des vulnérabilités dans SafeHTML pourraient permettre la divulgation d'informations (2412048) - Important Vulnérabilité Vulnérabilités de divulgation d’informations Vecteurs d'attaque possibles Une page web spécialement conçue Un script spécialement conçu Impact Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait lancer des attaques de script inter-sites (cross-site scripting) contre les utilisateurs d'un site ciblé qui utilise SafeHTML pour nettoyer le code HTML. Un attaquant pourrait ensuite potentiellement exécuter des scripts au nom d'utilisateurs du site ciblé. Facteurs atténuants Seuls les sites qui utilisent SafeHTML pour nettoyer du code HTML sont concernés. Contournement Microsoft n'a identifié aucune solution de contournement pour la vulnérabilité CVE-2010-3243. Lecture des messages électroniques au format texte brut pour la CVE-2010-3324 Informations complémentaires La CVE-2010-3324 a été révélée publiquement. La CVE-2010-3243 n’a pas été signalée publiquement avant la publication de ce bulletin À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.

MS10-073 : Introduction et indices de gravité Numéro Titre Indice de gravité maximal Produits affectés MS10-073 Des vulnérabilités dans les pilotes en mode noyau de Windows pourraient permettre une élévation de privilèges (981957) Important Windows XP (Toutes les versions supportées) Windows Server 2003 (Toutes les versions supportées) Windows Vista (Toutes les versions supportées) Windows Server 2008 (Toutes les versions supportées) Windows 7 (Toutes les versions supportées) Windows Server 2008 R2 (Toutes les versions supportées)

MS10-073 : Des vulnérabilités dans les pilotes en mode noyau de Windows pourraient permettre une élévation de privilèges (981957) - Important Vulnérabilité Vulnérabilités d’élévation de privilèges Vecteurs d'attaque possibles Une application spécialement conçue Un script spécialement conçu Un utilisateur malintentionné Impact Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire en mode noyau. L’attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Facteurs atténuants Pour exploiter cette vulnérabilité, l'attaquant doit disposer d'informations d'identification valides pour ouvrir une session en local. Cette vulnérabilité ne peut pas être exploitée à distance ou par des utilisateurs anonymes. Contournement Aucune solution de contournement n’a été identifiée Informations complémentaires Ces vulnérabilités ont été signalées publiquement avant la publication de ce bulletin Une de ces vulnérabilités est exploité par un malware: La CVE-2010-2743 .

MS10-074 : Introduction et indices de gravité Numéro Titre Indice de gravité maximal Produits affectés MS10-074 Une vulnérabilité dans Microsoft Foundation Classes pourrait permettre l'exécution de code à distance (2387149) Modéré Windows XP (Toutes les versions supportées) Windows Server 2003 (Toutes les versions supportées) Windows Vista (Toutes les versions supportées) Windows Server 2008 (Toutes les versions supportées) Windows 7 (Toutes les versions supportées) Windows Server 2008 R2 (Toutes les versions supportées)

MS10-074 : Une vulnérabilité dans Microsoft Foundation Classes pourrait permettre l'exécution de code à distance (2387149) - Modéré Vulnérabilité Vulnérabilité d'exécution de code à distance. Vecteurs d'attaque possibles Une application MFC spécialement conçue Impact Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes autorisations que l'utilisateur actuellement connecté. Facteurs atténuants Aucun facteur atténuant n’a été identifié pour cette vulnérabilité. Contournement Aucune solution de contournement n’a été identifiée Informations complémentaires Cette vulnérabilité n’a pas été révélée publiquement À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.

MS10-075 : Introduction et indices de gravité Numéro Titre Indice de gravité maximal Produits affectés MS10-075 Une vulnérabilité dans le Service Partage réseau du Lecteur Windows Media pourrait permettre l'exécution de code à distance (2281679) Critique Windows Vista (Toutes les versions supportées) Windows 7 (Toutes les versions supportées)

MS10-075 : Une vulnérabilité dans le Service Partage réseau du Lecteur Windows Media pourrait permettre l'exécution de code à distance (2281679) - Critique Vulnérabilité Vulnérabilité d’exécution de code à distance Vecteurs d'attaque possibles un paquet RTSP spécialement conçu Impact Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code dans le contexte de sécurité du compte de service réseau (Network Service). Facteurs atténuants Par défaut, l'accès Internet aux médias personnels est désactivé. Dans cette configuration par défaut, la vulnérabilité peut uniquement être exploitée par des ordinateurs présents sur le même sous-réseau. Sur les éditions en cours de support de Windows Vista et sur les éditions Windows 7 Professionnel, Windows 7 Entreprise et Windows 7 Édition Intégrale, le Service Partage réseau du Lecteur Windows Media n'est pas activé par défaut. Contournement Désactiver le Service Partage réseau du Lecteur Windows Media sur les systèmes affectés Informations complémentaires Cette vulnérabilité n’a pas été signalée publiquement avant la publication de ce bulletin À la publication de ce bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.

MS10-076 : Introduction et indices de gravité Numéro Titre Indice de gravité maximal Produits affectés MS10-076 Une vulnérabilité dans le moteur de polices Embedded OpenType pourrait permettre l'exécution de code à distance (982132) Critique Windows XP (Toutes les versions supportées) Windows Server 2003 (Toutes les versions supportées) Windows Vista (Toutes les versions supportées) Windows Server 2008 (Toutes les versions supportées) Windows 7 (Toutes les versions supportées) Windows Server 2008 R2 (Toutes les versions supportées)

MS10-076 : Une vulnérabilité dans le moteur de polices Embedded OpenType pourrait permettre l'exécution de code à distance (982132) - Critique Vulnérabilité Vulnérabilité d’exécution de code à distance Vecteurs d'attaque possibles Un site Web spécialement conçu Un message électronique spécialement conçu Un document Office spécialement conçu Impact L’attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Facteurs atténuants Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Un attaquant devra convaincre les utilisateurs de visiter ce site Web, généralement en les incitant à cliquer sur un lien dans un message électronique ou un message instantané menant à son site. Dans le cas d'une attaque Web, l'attaquant devrait héberger un site Web qui contiendrait une page Web spécialement conçue pour exploiter cette vulnérabilité. Contournement Désactivation de la prise en charge du traitement des polices intégrées dans Internet Explorer Interdire l'accès à T2EMBED.DLL Informations complémentaires Cette vulnérabilité n’a pas été signalée publiquement avant la publication de ce bulletin À la publication de ce bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.

MS10-077 : Introduction et indices de gravité Numéro Titre Indice de gravité maximal Produits affectés MS10-077 Une vulnérabilité dans .NET Framework pourrait permettre l'exécution de code à distance (2160841) Critique .Net Framework 4.0 pour Windows XP x64 SP2 Windows Server 2003 x64 SP2 Windows Vista x64 (toutes les versions supportés) Windows Server 2008 x64 Windows Server 2008 Itanium Windows 7 x64 Windows Server 2008 R2 x64 Windows Server 2008 R2 Itanium

MS10-077 : Une vulnérabilité dans MS10-077 : Une vulnérabilité dans .NET Framework pourrait permettre l'exécution de code à distance (2160841) - Critique Vulnérabilité Vulnérabilité d’exécution de code à distance Vecteurs d'attaque possibles Un site Web spécialement conçu contenant une XBAP Une application ASP.NET malveillante Impact Dans un scénario de navigation Web, un attaquant qui serait parvenu à exploiter cette vulnérabilité pourrait obtenir les mêmes autorisations que l'utilisateur actuellement connecté. Dans un scénario d'hébergement Web, un attaquant qui serait parvenu à exploiter cette vulnérabilité pourrait obtenir les mêmes autorisations que le compte de service associé à l'identité de pool d'applications du pool d'applications sous lequel une application Microsoft .NET est en cours d'exécution. Facteurs atténuants Par défaut, Internet Explorer sur Windows Server 2003 et Windows Server 2008 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. Un attaquant ayant exploité avec succès cette vulnérabilité peut obtenir des droits d'utilisateur identiques à ceux de l'utilisateur local ou du compte d'utilisateur ASP.NET. Dans le cas d'une attaque Web, l'attaquant devrait héberger un site Web qui contiendrait une page Web spécialement conçue pour exploiter cette vulnérabilité. L'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Internet Explorer 8 désactive le filtre MIME Microsoft .NET dans la zone Internet. Dans un scénario d'hébergement Web, un attaquant doit posséder l'autorisation de téléchargement des pages ASP.NET arbitraires vers un site Web, et ASP.NET doit être installé sur ce serveur Web. Cette vulnérabilité ne concerne pas Microsoft Silverlight. Les éditions 32 bits de Microsoft Windows ne sont pas affectées par cette vulnérabilité. Contournement Désactivez les applications Microsoft .NET de confiance partielle Désactivez les applications du navigateur XAML dans Internet Explorer Informations complémentaires Cette vulnérabilité n’a pas été signalée publiquement avant la publication de ce bulletin À la publication de ce bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.

MS10-078 : Introduction et indices de gravité Numéro Titre Indice de gravité maximal Produits affectés MS10-078 Des vulnérabilités dans le pilote de format OpenType Font (OTF) pourraient permettre une élévation de privilèges (2279986) Important Windows XP (Toutes les versions supportées) Windows Server 2003 (Toutes les versions supportées)

MS10-078 : Des vulnérabilités dans le pilote de format OpenType Font (OTF) pourraient permettre une élévation de privilèges (2279986) - Important Vulnérabilité Vulnérabilités d’élévation de privilèges Vecteurs d'attaque possibles Une application spécialement conçue Un script spécialement conçu Impact Un attaquant qui réussi à exploiter ces vulnérabilités pourrait exécuter du code arbitraire en mode noyau et prendre le contrôle intégral du système affecté. Facteurs atténuants Pour exploiter cette vulnérabilité, l'attaquant doit disposer d'informations d'identification valides pour ouvrir une session en local. Contournement Aucune solution de contournement n’a été identifié. Informations complémentaires Ces vulnérabilité n’ont pas été signalées publiquement avant la publication de ce bulletin À la publication de ce bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.

MS10-079 : Introduction et indices de gravité Numéro Titre Indice de gravité maximal Produits affectés MS10-079 Des vulnérabilités dans Microsoft Word pourraient permettre l'exécution de code à distance (2293194) Important Word 2002 SP3 Word 2003 SP3 Word 2007 SP2 Word 2010 (Toutes les versions supportées) Office 2004 pour Mac Office 2008 pour Mac Word Viewer Pack de Compatibilité Office 2007 SP2 Convertisseur de formats Open XML pour Mac Word Web App

MS10-079 : Des vulnérabilités dans Microsoft Word pourraient permettre l'exécution de code à distance (2293194) - Important Vulnérabilité Vulnérabilité d’exécution de code à distance Vecteurs d'attaque possibles Un fichier Word spécialement conçu Mécanismes habituel : une page Web spécialement conçue, une pièce jointe, un message instantané, un partage de fichiers peer-to-peer, un partage réseau, ou une clé USB Impact L’attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Facteurs atténuants Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Dans le cas d'une attaque Web, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter un site Web malveillant. La vulnérabilité ne peut pas être exploitée automatiquement par le biais des messages électroniques. Pour qu'une attaque aboutisse, il faut que l'utilisateur ouvre la pièce jointe du message électronique Contournement N'ouvrez pas de documents Word provenant de sources non fiables Adoptez la stratégie de blocage des fichiers Microsoft Office pour bloquer l'ouverture des documents au format Office 2003 et d'une version antérieure provenant d'une source inconnue ou non fiable. Utiliser l'Environnement isolé de conversion Microsoft Office (Microsoft Office Isolated Conversion Environment - MOICE) pour ouvrir des fichiers provenant d'une source inconnue ou non fiable. Informations complémentaires Ces vulnérabilités n’ont pas été signalées publiquement avant la publication de ce bulletin À la publication de ce bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.

MS10-080 : Introduction et indices de gravité Numéro Titre Indice de gravité maximal Produits affectés MS10-080 Des vulnérabilités dans Microsoft Excel pourraient permettre l'exécution de code à distance (2293211) Important Excel 2002 Service Pack 3 Excel 2003 Service Pack 3 Excel 2007 Service Pack 2 Microsoft Office 2004 pour Mac Microsoft Office 2008 pour Mac Convertisseur de formats de fichier Open XML pour Mac Microsoft Excel Viewer SP2 Pack de compatibilité Office 2007 SP2

MS10-080 : Des vulnérabilités dans Microsoft Excel pourraient permettre l'exécution de code à distance (2293211) - Important Vulnérabilité Vulnérabilités d’exécution de code à distance Vecteurs d'attaque possibles Un fichier Excel spécialement conçu Mécanismes habituel : une page Web spécialement conçue, une pièce jointe, un message instantané, un partage de fichiers peer-to-peer, un partage réseau, ou une clé USB Impact Un attaquant pourrait exécuter du code arbitraire dans le contexte de l'utilisateur connecté. Si un utilisateur est connecté avec des privilèges d'administrateur, un attaquant pourrait prendre le contrôle intégral du système affecté. Facteurs atténuants La vulnérabilité ne peut pas être exploitée automatiquement par le biais des messages électroniques. Pour qu'une attaque aboutisse, il faut que l'utilisateur ouvre la pièce jointe du message électronique . Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Dans le cas d'une attaque Web, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter un site Web malveillant. Contournement Adoptez la stratégie de blocage des fichiers Microsoft Office pour bloquer l'ouverture des documents au format Office 2003 et d'une version antérieure provenant d'une source inconnue ou non fiable. Utiliser l'Environnement isolé de conversion Microsoft Office (Microsoft Office Isolated Conversion Environment - MOICE) pour ouvrir des fichiers provenant d'une source inconnue ou non fiable. Ne pas ouvrir de fichiers Office provenant de sources non fiables ou reçus de sources fiables de manière inattendue Informations complémentaires Ces vulnérabilités n’ont pas été signalées publiquement avant la publication de ce bulletin À la publication de ce bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.

MS10-081 : Introduction et indices de gravité Numéro Titre Indice de gravité maximal Produits affectés MS10-081 Une vulnérabilité dans la bibliothèque de contrôle commun de Windows pourrait permettre l'exécution de code à distance (2296011) Important Windows XP (Toutes les versions supportées) Windows Server 2003 (Toutes les versions supportées) Windows Vista (Toutes les versions supportées) Windows Server 2008 (Toutes les versions supportées) Windows 7 (Toutes les versions supportées) Windows Server 2008 R2 (Toutes les versions supportées)

MS10-081 : Une vulnérabilité dans la bibliothèque de contrôle commun de Windows pourrait permettre l'exécution de code à distance (2296011) - Important Vulnérabilité Vulnérabilité d’exécution de code à distance Vecteurs d'attaque possibles Une page web spécialement conçue Impact Si un utilisateur a ouvert une session avec des privilèges d'administrateur, un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Facteurs atténuants Dans le cas d'une attaque Web, l'attaquant devrait héberger un site Web qui contiendrait une page Web spécialement conçue pour exploiter cette vulnérabilité. L'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Cette vulnérabilité ne peut pas être exploitée dans la configuration de Windows par défaut. Pour être vulnérable au problème, une application tierce qui affiche le format SVG doit être installée sur le système. Contournement Aucune solution de contournement n’a été identifiée pour cette vulnérabilité. Informations complémentaires Cette vulnérabilité n’a pas été signalée publiquement avant la publication de ce bulletin À la publication de ce bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.

MS10-082 : Introduction et indices de gravité Numéro Titre Indice de gravité maximal Produits affectés MS10-082 Une vulnérabilité dans le lecteur Windows Media pourrait permettre l'exécution de code à distance (2378111) Important Windows Media Player 9 sur Windows XP SP3 Windows Media Player 10 sur Windows XP et Windows Server 2003 (Toutes les versions supportées) Windows Medial Player 11 sur Windows XP, Windows Vista et Windows Server 2008(Toutes les versions supportées) Windows Media Player 12 sur Windows 7 et Windows Server 2008 R2 (Toutes les versions supportées)

MS10-082 : Une vulnérabilité dans le lecteur Windows Media pourrait permettre l'exécution de code à distance (2378111) - Important Vulnérabilité Vulnérabilité d‘exécution de code à distance. Vecteurs d'attaque possibles Une page web spécialement conçue Impact Si un utilisateur a ouvert une session avec des privilèges d'administrateur, un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral d'un système affecté. Facteurs atténuants Dans le cas d'une attaque Web, l'attaquant devrait héberger un site Web qui contiendrait une page Web spécialement conçue pour exploiter cette vulnérabilité. L'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Les éditions en cours de support de Windows Server 2008 et Windows Server 2008 R2 ne sont pas affectées par ce problème à moins que la fonctionnalité Expérience utilisateur ne soit installée. Contournement Désinscrire wmp.dll Informations complémentaires Cette vulnérabilité n’a pas été signalée publiquement avant la publication de ce bulletin À la publication de ce bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.

MS10-083 : Introduction et indices de gravité Numéro Titre Indice de gravité maximal Produits affectés MS10-083 Une vulnérabilité dans la validation COM dans le shell Windows et WordPad pourrait permettre l'exécution de code à distance (2405882) Important Windows XP (Toutes les versions supportées) Windows Server 2003 (Toutes les versions supportées) Windows Vista (Toutes les versions supportées) Windows Server 2008 (Toutes les versions supportées) Windows 7 (Toutes les versions supportées) Windows Server 2008 R2 (Toutes les versions supportées)

MS10-083 : Une vulnérabilité dans la validation COM dans le shell Windows et WordPad pourrait permettre l'exécution de code à distance (2405882) - Important Vulnérabilité Vulnérabilité d’exécution de code à distance. Vecteurs d'attaque possibles Un fichier WordPad spécialement conçu Un fichier raccourci spécialement conçu Impact Un attaquant qui a réussi à exploiter cette vulnérabilité pourrait exécuter du code arbitraire avec des privilèges de niveau système et prendre le contrôle intégral du système affecté. Facteurs atténuants Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. La vulnérabilité ne peut pas être exploitée automatiquement par le biais des messages électroniques. Pour qu'une attaque aboutisse, il faut que l'utilisateur ouvre la pièce jointe du message électronique correspondant. Contournement N'utilisez pas WordPad pour ouvrir des documents provenant de sources non fiables ou reçus de sources fiables de manière inattendue. Cette vulnérabilité pourrait être exploitée lorsqu'un utilisateur ouvre un fichier spécialement conçu. Informations complémentaires Cette vulnérabilité n’a pas été révélée publiquement . À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.

MS10-084 : Introduction et indices de gravité Numéro Titre Indice de gravité maximal Produits affectés MS10-084 Une vulnérabilité dans l'appel de procédure locale (LPC) de Windows pourrait entraîner une élévation de privilèges (2360937) Important Windows XP (Toutes les versions supportées) Windows Server 2003 (Toutes les versions supportées)

MS10-084 : Une vulnérabilité dans l'appel de procédure locale (LPC) de Windows pourrait entraîner une élévation de privilèges (2360937) – Important Vulnérabilité Vulnérabilité d’élévation de privilèges. Vecteurs d'attaque possibles Une application spécialement conçue qui enverrait un message LPC au serveur LRPC local. Ce message pourrait alors permettre à un utilisateur authentifié d'exécuter du code dans le contexte du compte NetworkService. Impact Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral d'un système affecté. Facteurs atténuants Pour exploiter cette vulnérabilité, l'attaquant doit disposer d'informations d'identification valides pour ouvrir une session en local. Contournement Aucune solution de contournement n’a été identifiée pour cette vulnérabilité Informations complémentaires Cette vulnérabilité n’a pas été révélée publiquement . À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.

MS10-085 : Introduction et indices de gravité Numéro Titre Indice de gravité maximal Produits affectés MS10-085 Une vulnérabilité dans SChannel pourrait permettre un déni de service (2207566) Important Windows Vista (Toutes les versions supportées) Windows Server 2008 (Toutes les versions supportées) Windows 7 (Toutes les versions supportées) Windows Server 2008 R2 (Toutes les versions supportées)

MS10-085 : Une vulnérabilité dans SChannel pourrait permettre un déni de service (2207566) – Important Vulnérabilité Vulnérabilité de déni de service. Vecteurs d'attaque possibles Un attaquant anonyme distant pourrait envoyer un message de paquet spécialement conçu à un serveur IIS concerné hébergeant un site Web SSL, ce qui pourrait empêcher LSASS de répondre et provoquer un déni de service. Impact Un attaquant qui réussirait à exploiter cette vulnérabilité pourrait empêcher le serveur de répondre et forcer la nécessité d'un redémarrage. Facteurs atténuants Par défaut, IIS n'est pas configuré pour accepter des connexions SSL. Le système redémarrera automatiquement après une attaque réussie, ce qui lui permet de récupérer. Contournement Arrêter les sites Web SSL dans IIS Informations complémentaires Cette vulnérabilité n’a pas été révélée publiquement . À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.

MS10-086 : Introduction et indices de gravité Numéro Titre Indice de gravité maximal Produits affectés MS10-086 Une vulnérabilité dans les disques de cluster Windows partagés pourrait permettre une falsification (2294255) Modéré Windows Server 2008 R2 (Toutes les versions supportées)

MS10-086 : Une vulnérabilité dans les disques de cluster Windows partagés pourrait permettre une falsification (2294255) – Modéré Vulnérabilité Vulnérabilité de falsification. Vecteurs d'attaque possibles Un attaquant pourrait accéder à distance au système de fichiers d'un partage administratif de disque de cluster. Impact Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait ajouter, modifier, supprimer ou lire des données sur les partages administratifs d'une configuration de disque de cluster affectée. Facteurs atténuants Aucun facteur atténuant n’a été identifié pour cette vulnérabilité. Contournement Après avoir créé un partage administratif de disque de cluster, configurez manuellement sa liste de contrôle d'accès (ACL) pour qu'elle reflète les autorisations d'accès adaptées à votre environnement. Par exemple, modifiez les autorisations sur les partages administratifs de Everyone - Full Control (ou, sur un système Windows en français, de Tout le monde - Contrôle total) à Administrators - Full Control (ou, sur un système Windows en français, à Administrateurs - Contrôle total). Les administrateurs de serveur peuvent également choisir de recréer en cluster les disques affectés après l'application de la mise à jour. Ceci définira correctement les autorisations sur les nouveaux disques de cluster partagés. Informations complémentaires Cette vulnérabilité n’a pas été révélée publiquement . À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.

Détection et déploiement 1/2 Bulletin Windows Update Microsoft Update MBSA 2.1 WSUS 3.0 SMS avec Feature Pack SUS SMS avec Outil d'inventaire des mises à jour SCCM 2007 MS10-071 Oui Oui 1 MS10-072 Oui2 Non 1 MS10-073 MS10-074 MS10-075 MS10-076 MS10-077 MS10-078 MS10-079 Non2 MS10-080 1 - SMS SUSFP ne prend pas en charge Internet Explorer 7, Internet Explorer 8, Exchange 2007, Windows Media Player 11 , toutes versions ou composant s d'Office ou Works, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, toutes versions de Windows x64 et les systèmes Windows ia64 2 – Windows Update fournit seulement les mises à jour pour les composants Windows et ne supporte pas Office ou Exchange. Les utilisateurs auront besoin de s’orienter vers Microsoft Update afin de recevoir les mises à jour de sécurité pour notre gamme complète de produits et services 3 – Microsoft ne fournit aucun outil de détection et de déploiement d’entreprise pour ses produits qui s'exécutent sur les systèmes d'exploitation Macintosh

Détection et déploiement 2/2 Bulletin Windows Update Microsoft Update MBSA 2.1 WSUS 3.0 SMS avec Feature Pack SUS SMS avec Outil d'inventaire des mises à jour SCCM 2007 MS10-081 Oui Oui 1 MS10-082 MS10-083 MS10-084 MS10-085 Ou Non1 MS10-086 1 - SMS SUSFP ne prend pas en charge Internet Explorer 7, Internet Explorer 8, Exchange 2007, Windows Media Player 11 , toutes versions ou composant s d'Office ou Works, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, toutes versions de Windows x64 et les systèmes Windows ia64 2 – Windows Update fournit seulement les mises à jour pour les composants Windows et ne supporte pas Office. Les utilisateurs auront besoin de s’orienter vers Microsoft Update afin de recevoir les mises à jour de sécurité pour notre gamme complète de produits et services 3 – Microsoft ne fournit aucun outil de détection et de déploiement d’entreprise pour ses produits qui s'exécutent sur les systèmes d'exploitation Macintosh

Informations de mise à jour (1/2) Bulletin Redémarrage requis Désinstallation Remplace MS10-071 Oui MS10-053 MS10-072 Possible MS10-039 MS10-073 MS10-048 MS10-074 MS07-012 MS10-075 Aucun MS10-076 MS10-077 MS10-078 MS10-037 MS10-079 MS09-068 MS10-056 MS10-080 MS10-038 MS10-057 MS10-081 MS10-082 MS10-027

Informations de mise à jour (2/2) Bulletin Redémarrage requis Désinstallation Remplace MS10-083 Oui Aucun MS10-084 MS10-066 MS10-085 MS10-049 MS10-086

Octobre 2010 - Mises à jour non relatives à la sécurité Article Title Distribution KB905866 Update for Windows Mail Junk E-mail Filter Catalog, AU, WSUS KB890830 Windows Malicious Software Removal Tool KB2394433 Update for Forefront Client Security A long awaited update to the Forefront Client Security KB2345886 Update for Windows Install this update to help strengthen authentication credentials in specific scenarios

Windows Malicious Software Removal Tool Ajoute la possibilité de supprimer : Win32/Zbot This is a long expected, super sophisticated threat family contributing to a large portion of the spam emails these days, or the biggest Spambot as many industry researchers call it. The malware authors partner with many of their counterparts by providing toolkit, making it very diversified and hard to eliminate at once Disponible en tant que mise à jour prioritaire sous Windows Update et Microsoft Update Disponible par WSUS 3.0 Disponible en téléchargement à l'adresse suivante : http://www.microsoft.com/france/securite/malwareremove

Lifecycle Support Information Pour rappel… Après le 12 octobre 2010 Exchange 2007 SP1 ne sera plus supporté WSUS 3.0 SP1 ne sera plus supporté Après le 11 janvier 2011 Exchange Server 2000 ne sera plus supporté SQL Server 7.0 ne sera plus supporté SCCM 2007 SP1 ne sera plus supporté SCCM 2007 R2 ne sera plus supporté

Ressources Synthèse des Bulletins de sécurité http://www.microsoft.com/france/technet/security/bulletin/ms10-oct.mspx Bulletins de sécurité http://www.microsoft.com/france/technet/security/bulletin Webcast des Bulletins de sécurité http://www.microsoft.com/france/technet/security/bulletin/webcasts.mspx Avis de sécurité http://www.microsoft.com/france/technet/security/advisory Abonnez-vous à la synthèse des Bulletins de sécurité (en français) http://www.microsoft.com/france/securite/newsletters.mspx Blog du MSRC (Microsoft Security Response Center) http://blogs.technet.com/msrc Microsoft France sécurité http://www.microsoft.com/france/securite TechNet sécurité http://www.microsoft.com/france/technet/security

Informations légales L’OBJET DU PRESENT DOCUMENT EST DE VOUS FOURNIR L’INFORMATION QUE VOUS AVEZ DEMANDEE CONCERNANT LA SECURITE. GENERALEMENT, L’INFORMATION PROVOQUE UNE PRISE DE CONSCIENCE AUTOUR DE LA SECURITE ET IDENTIFIE LE PERSONNEL, LES PROCEDES, RESSOURCES ET TECHNonLOGIES QUI SONT DESTINES A PROMOUVOIR DE BONNES REGLES DE SECURITE DANS VOTRE ORGANISATION. LES VIRUS ET AUTRES TECHNonLOGIES NUISIBLES DESTINES A ATTAQUER VOTRE ENVIRONNEMENT INFORMATIQUE CHANGENT CONTINUELLEMENT AFIN DE CONTOURNER LES MESURES DE SECURITE EXISTANTES. DES LORS, MAINTENIR UN ENVIRONNEMENT INFORMATIQUE FIABLE EST UN PROCESSUS CONTINU QUI EXIGE QUE VOUS MAINTENIEZ UN PERSONNEL, DES PROCEDES, RESSOURCES ET TECHNonLOGIES ADEQUATS AFIN DE VOUS PROTEGER CONTRE TOUTE ATTEINTE A LA SECURITE. AUCUNE DISPOSITION CONTENUE DANS LES PRESENTES NE DOIT ETRE INTERPRETEE OU CONSIDEREE COMME UNE CERTIFICATION, UNE GARANTIE OU TOUTE AUTRE FORME DE VALIDATION QUE VOTRE ENVIRONNEMENT INFORMATIQUE EST ET DEMEURERA PROTEGE CONTRE DES ATTEINTES A LA SECURITE ET NonUS N’ASSUMONS AUCUNE RESPONSABILITE POUR TOUTE ATTEINTE A LA SECURITE OU TOUT DOMMAGE OU PERTE SUBSEQUENT. TOUTES COMMUNICATIONS OU TRANSMISSIONS D’INFORMATION QUI VOUS SONT ADRESSEES AU SUJET DE MICROSOFT ET CONCERNANT LA SECURITE INCLUANT NonTAMMENT TOUTES SUGGESTIONS, ANALYSES, OU COMMENTAIRES QUI VOUS SONT FOURNIS DURANT UNE ANALYSE RELATIVE A LA SECURITE OU TOUTE AUTRE INFORMATION PASSEE, PRESENTE OU FUTURE RELATIVE NonTAMMENT AUX TESTS DE SECURITE, EVALUATIONS, DISPONIBILITES, HORAIRES OU OBJECTIFS (CI-APRES COLLECTIVEMENT DENonMMES « INFORMATIONS SUR LA SECURITE »), SONT FOURNIS CONFORMEMENT AUX CONDITIONS DU CONTRAT DE SERVICE EXISTANT ENTRE VOUS ET MICROSOFT ET UNIQUEMENT AFIN DE VOUS PERMETTRE DE VOUS ORGANISER FACE A D’EVENTUELS PROBLEMES DE SECURITE. TOUTES LES INFORMATIONS SUR LA SECURITE CONTIENNENT TOUTES LES DONNEES QUI NonUS SONT ACTUELLEMENT ACCESSIBLES MAIS QUI SONT SUSCEPTIBLES DE CHANGER EN RAISON DU CHANGEMENT CONSTANT DE CES DONNEES SANS QUE MICROSOFT VOUS AIT PREALABLEMENT INFORME DE CES CHANGEMENTS. NonUS VOUS RECOMMANDONS DONC DE VERIFIER REGULIEREMENT AUPRES DE NonUS ET SUR LE SITE INTERNET DE SECURITE SITUE A L’ADRESSE SUIVANTE WWW.MICROSOFT.COM/SECURITY SI LES INFORMATIONS QUE NonUS VOUS AVONS FOURNIES FONT L’OBJET DE MISES A JOUR. VEUILLEZ NonUS CONTACTER SI VOUS AVEZ D’AUTRES QUESTIONS CONCERNANT DES PROBLEMES DE SECURITE OU SI VOUS AVEZ BESOIN D’UNE MISE A JOUR DES INFORMATIONS QUE NonUS VOUS AVONS FOURNIES.