Bulletins de sécurité Microsoft Avril 2009 Jean Gautier CSS Security EMEA IR Team Jérôme Leseinne CSS Security EMEA IR Team Mathieu Malaise Direction technique et sécurité
Bienvenue ! Présentation des bulletins d'avril Nouveaux Bulletins de sécurité Mises à jour non relatives à la sécurité Informations connexes : Outil de suppression des logiciels malveillants (MSRT) Ressources Questions - Réponses
À tout moment pendant la présentation, posez vos questions : 1. Ouvrez linterface Questions-réponses en cliquant sur le menu Q&R : 2. Précisez le numéro du Bulletin, entrez votre question et cliquez sur « Poser une question » :
Bulletins de sécurité - avril 2009 Résumé Nouveaux Bulletins de sécurité : Critique : 5 Important : 2 Modéré : 1
Indices de gravité cumulée et Indices d'exploitabilité Exploitability Index HIGH RISK MEDIUM LOW Severity CRITICAL IMPACT IMPORTANT MODERATE LOW MS09-009MS09-010MS09-011MS09-012MS09-013MS09-014MS09-015MS09-016
MS : Introduction NuméroTitre Indice de gravité maximal Produits affectés MS Des vulnérabilités dans Microsoft Office Excel pourraient permettre l'exécution de code à distance (968557) Critique Office 2000 SP3 Office XP SP3 Office 2003 SP3 Office 2007 SP1 Office 2004 pour Mac Office 2008 pour Mac Excel Viewer 2003 SP3 Excel Viewer Pack de compatibilité Office pour les formats de fichier Word, Excel et PowerPoint 2007 SP1
MS : Indices de gravité Numéro Excel 2000 SP3 dans : Office 2000 SP3 Excel 2002 SP3 dans : Office XP SP3 Excel Viewer 2003 SP3, Excel Viewer Pack de compatibilité Office pour les formats de fichier Word, Excel et PowerPoint 2007 SP1 MS CritiqueImportant Excel 2003 SP3 dans : Office 2003 SP3 Excel 2007 SP1 dans : Office 2007 SP1 Office 2004 pour Mac, Office 2008 pour Mac
MS : Des vulnérabilités dans Microsoft Office Excel pourraient permettre l'exécution de code à distance (968557)) VulnérabilitéDeux vulnérabilités de corruption de la mémoire Vecteurs d'attaque possibles Dans le cas d'une attaque Web, l'attaquant devrait héberger un site Web qui contient un fichier Excel spécialement conçu pour exploiter cette vulnérabilité. En cas d'attaque par courrier électronique, un attaquant pourrait envoyer un fichier Excel spécialement conçu à l'utilisateur et le persuader d'ouvrir ce fichier. ImpactUn attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté. Facteurs atténuants La vulnérabilité ne peut pas être exploitée automatiquement par le biais des messages électroniques. Les utilisateurs qui ont installé et qui utilisent l'Outil de confirmation à l'ouverture pour Office 2000 (Office Document Open Confirmation Tool for Office 2000) seront invités à Ouvrir, Enregistrer ou Annuler avant d'ouvrir un document. Les fonctionnalités de l'Outil de confirmation à l'ouverture pour Office (Office Document Open Confirmation Tool) sont intégrées dans Office XP et versions ultérieures. Informations complémentaires Seul l'indice de gravité pour Excel 2000 est Critique. Cette mise à jour de sécurité concerne la vulnérabilité décrite dans l'Avis de sécurité Microsoft Solutions de contournement : Environnement isolé de conversion Microsoft Office (MOICE) et Fonctionnalité de blocage de fichiers pour Microsoft Office
MS : Introduction NuméroTitre Indice de gravité maximal Produits affectés MS Des vulnérabilités dans les convertisseurs de texte WordPad et Office pourraient permettre l'exécution de code à distance (960477) Critique Windows 2000 SP4 Windows XP SP2 et SP3 Windows XP Professional x64 aucun SP et SP2 Windows Server 2003 : SP1 et SP2 x64 aucun SP et SP2 Itanium SP1 et SP2 Office 2000 SP3 Office XP SP3 Pack de conversion Office
MS : Indices de gravité Numéro Word 2000 SP3 dans : Office 2000 SP3 Word 2002 SP3 dans : Office XP SP3 Windows 2000 SP4Windows Server 2003 SP1 pour systèmes Itanium et Windows Server 2003 SP2 pour systèmes Itanium MS CritiqueImportant Windows XP SP2 et SP3Windows Server 2003 SP1 et SP2, Windows Server 2003 Édition x64 et Édition x64 SP2 Pack de conversion Office
MS : Des vulnérabilités dans les convertisseurs de texte WordPad et Office pourraient permettre l'exécution de code à distance (960477) - Critique VulnérabilitéPlusieurs vulnérabilités dans le convertisseur texte de WordPad et d'Office Vecteurs d'attaque possibles Dans le cas d'une attaque Web, l'attaquant devrait héberger un site Web qui contient un fichier spécialement conçu pour exploiter cette vulnérabilité. En cas d'attaque par courrier électronique, un attaquant pourrait envoyer un fichier spécialement conçu à l'utilisateur et le persuader d'ouvrir ce fichier. ImpactUn attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté. Facteurs atténuants La vulnérabilité ne peut pas être exploitée automatiquement par le biais des messages électroniques. Les utilisateurs qui ont installé et qui utilisent l'Outil de confirmation à l'ouverture pour Office 2000 (Office Document Open Confirmation Tool for Office 2000) seront invités à Ouvrir, Enregistrer ou Annuler avant d'ouvrir un document. Les fonctionnalités de l'Outil de confirmation à l'ouverture pour Office (Office Document Open Confirmation Tool) sont intégrées dans Office XP et versions ultérieures. Informations complémentaires Word 2000 SP3 uniquement Cette mise à jour de sécurité concerne la vulnérabilité décrite dans l'Avis de sécurité Microsoft Solutions de contournement : Environnement isolé de conversion Microsoft Office (MOICE) et Fonctionnalité de blocage de fichiers pour Microsoft Office
MS : Introduction et indices de gravité Numéro Une vulnérabilité dans Microsoft DirectShow pourrait permettre l'exécution de code à distance (961373) MS Critique DirectX 8.1 sur : Windows 2000 SP4 DirectX 9.0 sur : Windows 2000 SP4 Windows XP SP2 et SP3 Windows XP Professional x64 aucun SP et SP2 Windows Server 2003 : SP1 et SP2 x64 aucun SP et SP2 Itanium SP1 et SP2
MS : Une vulnérabilité dans Microsoft DirectShow pourrait permettre l'exécution de code à distance (961373) - Critique VulnérabilitéUne vulnérabilité de corruption de la mémoire Trois vulnérabilités de corruption de la pile Vecteurs d'attaque possibles En cas d'attaque par courrier électronique, un attaquant pourrait envoyer un fichier spécialement conçu à l'utilisateur et le persuader d'ouvrir ce fichier. Dans le cas d'une attaque Web, l'attaquant devrait héberger un site Web qui contient un fichier spécialement conçu pour exploiter cette vulnérabilité. ImpactUn attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté. Facteurs atténuants Les vulnérabilités ne peuvent pas être exploitées automatiquement par le biais des messages électroniques. Un site Web qui tenterait d'exploiter cette vulnérabilité entraînerait l'affichage d'une boîte de dialogue sur laquelle l'utilisateur aurait à cliquer. Informations connexes Les convertisseurs peuvent être désactivés pour se protéger contre les attaques. Seul l'indice de gravité pour Office 2000 SP3 est Critique.
MS : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS Des vulnérabilités dans Windows pourraient permettre une élévation de privilèges (959454) Important Toutes les versions de Windows et Windows Server en cours de support *Installation Server Core de Windows Server 2008 concernée.
MS : Des vulnérabilités dans Windows pourraient permettre une élévation de privilèges (959454) - Important VulnérabilitéQuatre vulnérabilités Des processus ne sont pas correctement isolés et s'exécutent sous les comptes NetworkService et LocalService. Vecteurs d'attaque possibles Après avoir ouvert une session, l'attaquant pourrait exécuter une application spécialement conçue pour exploiter cette vulnérabilité. ImpactUn attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les mêmes droits d'utilisateur que le service LocalSystem. Facteurs atténuants Pour exploiter cette vulnérabilité, l'attaquant doit pouvoir exécuter du code sur l'ordinateur local. Informations complémentair es Plusieurs solutions de contournement indiquées dans le Bulletin. Cette mise à jour de sécurité concerne la vulnérabilité décrite dans l'Avis de sécurité Microsoft
MS : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS Des vulnérabilités dans les services HTTP Windows pourraient permettre l'exécution de code à distance (960803) Critique Toutes les versions de Windows et Windows Server en cours de support, excepté Windows 7 *Installation Server Core de Windows Server 2008 concernée.
MS : Des vulnérabilités dans les services HTTP Windows pourraient permettre l'exécution de code à distance (960803) - Critique VulnérabilitéTrois vulnérabilités dans les services HTTP Windows Vecteurs d'attaque possibles Un attaquant devrait héberger un serveur malveillant. ImpactUn attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté. Facteurs atténuants Aucune édition d'Internet Explorer en cours de support n'est concernée par cette vulnérabilité. Windows Vista et Windows Server 2008 bloquent le trafic SMB par défaut.
MS : Introduction NuméroTitre Indice de gravité maximal Produits affectés MS Mise à jour de sécurité cumulative pour Internet Explorer (963027) Critique Toutes les versions de Windows et Windows Server en cours de support, excepté Windows 7 *Installation Server Core de Windows Server 2008 concernée.
Numéro Windows 2000 SP4 avec Internet Explorer 5.01 SP4 et Internet Explorer 6 SP1 Internet Explorer 7 sur : Windows XP SP2 et SP3, Windows XP x64 et x64 SP2 Internet Explorer 6 sur : Windows Server 2003 SP1 et SP2, Windows Server 2003 x64 et x64 SP2 Internet Explorer 7 sur : Windows Server 2003 SP1 et SP2, Windows Server 2003 x64 et x64 SP2 Internet Explorer 7 sur : Windows Server 2008 pour systèmes 32 bits, Windows Server 2008 pour systèmes x64 et Windows Server 2008 pour systèmes Itanium MS Critique Important Modéré Internet Explorer 6 sur : Windows XP SP2 et SP3, Windows XP Édition x64 et Édition x64 SP2 Internet Explorer 7 sur : Windows Vista et Windows Vista SP1, Windows Vista Édition x64 et Édition x64 SP1 Internet Explorer 6 sur : Windows Server 2003 pour les systèmes Itanium et pour les systèmes Itanium SP2 Internet Explorer 7 sur : Windows Server 2003 pour les systèmes Itanium et pour les systèmes Itanium SP2 *Installation Server Core de Windows Server 2008 non concernée. Internet Explorer 8 n'est pas concerné. MS : Indices de gravité
MS : Mise à jour de sécurité cumulative pour Internet Explorer (963027) - Critique VulnérabilitéPlusieurs vulnérabilités d'exécution de code à distance liée à une menace multifacteur dans la façon dont Internet Explorer localise et ouvre des fichiers sur le système, dans la manière dont WinINet traite des informations d'identification NTLM, ainsi que d'autres vulnérabilités. Vecteurs d'attaque possibles Un attaquant pourrait héberger un site Web spécialement conçu, puis inciter un utilisateur à consulter le site Web. ImpactUn attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté. Facteurs atténuants Windows Internet Explorer 8 n'est pas concerné par ces vulnérabilités. Un attaquant n'aurait aucun moyen de forcer un utilisateur à visiter un site Web malveillant. Un attaquant devrait convaincre un utilisateur à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site Web.
MS : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS Une vulnérabilité liée à une menace multifacteur dans SearchPath pourrait permettre une élévation de privilèges (959426) Modéré Toutes les versions de Windows et Windows Server en cours de support, excepté Windows 7 Windows 2000 SP4 – Défense en profondeur uniquement *Installation Server Core de Windows Server 2008 concernée.
MS : Une vulnérabilité liée à une menace multifacteur dans SearchPath pourrait permettre une élévation de privilèges (959426) - Modéré VulnérabilitéUne vulnérabilité révélée publiquement dans la fonction SearchPath de Windows. Cette vulnérabilité pourrait permettre une élévation de privilèges si un utilisateur téléchargeait un fichier spécialement conçu à un emplacement spécifique, puis ouvrait une application capable de charger le fichier sous certaines conditions. Vecteurs d'attaque possibles Un attaquant pourrait créer un fichier spécialement conçu, puis convaincre l'utilisateur de télécharger le fichier sur le Bureau. L'utilisateur devrait alors lancer une application qui ouvrirait ce fichier spécialement conçu. ImpactUn attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté. Facteurs atténuants N.A. Informations complémentair es Cette mise à jour de sécurité concerne également la vulnérabilité décrite dans l'Avis de sécurité Microsoft
MS : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS Des vulnérabilités dans Microsoft ISA Server et dans Forefront Threat Management Gateway (Medium Business Edition) pourraient provoquer un déni de service (961759) Important Forefront Threat Management Gateway, Medium Business Edition* ISA Server 2000 Standard SP3** ISA Server 2004 Enterprise SP3 ISA Server 2006 Mise à jour de capacité de prise en charge ISA 2006 ISA Server 2006 SP1 *Microsoft Forefront TMG MBE est proposé à la fois en tant que produit autonome et en tant que composant de Windows Essential Business Server Microsoft ISA Server 2004 Standard Edition est proposé en tant que produit autonome et en tant que composant de Windows Small Business Server 2003 Premium Edition SP1 et de Windows Small Business Server 2003 R2 Premium Edition.
MS : Des vulnérabilités dans Microsoft ISA Server et dans Forefront Threat Management Gateway (Medium Business Edition) pourraient provoquer un déni de service (961759) - Important VulnérabilitéDéni de service si un attaquant envoie des paquets réseau spécialement conçus au système affecté ou divulgation d'informations ou usurpation si un utilisateur clique sur un lien malveillant ou visite un site Web dont le contenu serait contrôlé par l'attaquant. Vecteurs d'attaque possibles Un attaquant pourrait envoyer des paquets réseau spécialement conçus au système affecté. Un attaquant pourrait exploiter cette vulnérabilité en forçant l'utilisateur à visiter le site Web affecté à l'aide d'une URL spécialement conçue. ImpactL'écouteur (listener) Web cesserait de répondre. Script inter-sites : L'attaquant pourrait exécuter toute action que le site Web est autorisé à exécuter sur lordinateur de lutilisateur. Facteurs atténuants Les déploiements d'ISA Server 2006 ou de Forefront TMG MBE qui sont utilisés pour la publication Web mais qui n'utilisent pas l'authentification par formulaires HTML ne sont pas vulnérables. Les déploiements d'ISA Server 2006 et de Forefront Threat Management Gateway MBE ne disposant d'aucune règle de publication Web ne sont pas vulnérables par défaut.
BulletinWindows Update Microsoft Update MBSA 2.1WSUS 2.0 / WSUS 3.0 SMS avec Feature Pack SUS SMS avec Outil d'inventair e des mises à jour SCCM 2007 MS09-009NonOui 3,4 OuiOui 5 Oui 3,4 MS09-010NonOuiOui 6 OuiNon 7 Oui 6 MS09-011Oui NonOui MS09-012Oui Non 1 Oui MS09-013Oui Non 1 Oui MS09-014Oui Non 1,2 Oui MS09-015Oui Non 1 Oui MS09-016NonOui NonOui 1.SMS SUSFP prend uniquement en charge Windows 2000 SP4, Windows XP SP2 et SP3, Windows Server 2003 SP1 et SP2 pour cette mise à jour. 2.SMS avec SUSFP prennent en charge toutes les versions affectées d'Internet Explorer à l'exception d'Internet Explorer 7.Except for versions of Office for Mac 3.Excepté pour les versions d'Office pour Mac 4.Excepté pour Excel 2000 SP3 5.Excel 2000 SP3, Excel 2002 SP3 et Excel 2003 SP3 uniquement 6.Excepté pour Word 2000 SP3 7.Excepté pour Windows XP Édition x64, Windows Server 2003 Édition x64 et Windows Server 2003 pour systèmes Itanium Détection et déploiement
Informations de mise à jour (suite) BulletinRedémarrage requisHotPatchingDésinstallationRemplace MS Éventuellement Non applicable Oui – Exceptés Excel 2000 et toutes les versions d'Office pour Mac MS MS Oui Non applicable Oui – Excepté pour Office 2000MS MS Éventuellement Non applicable OuiMS MS Oui Non applicable Oui MS MS MS MS MS Oui Non applicable Oui(Aucun) MS Oui Non applicable Oui MS MS MS MS Oui Non applicable OuiMS MS Oui Non applicable Oui(Aucun)
Avril Mises à jour non relatives à la sécurité KB ArticleTitleDistribution KB905866Update for Windows Mail Junk Filter The April 2009 release of the Windows Mail Junk E- mail Filter Catalog, AU, WSUS
Outil de suppression des logiciels malveillants (MSRT) Ajoute la possibilité de supprimer : Win32/Waledac Disponible en tant que mise à jour prioritaire sous Windows Update et Microsoft Update Disponible par WSUS 2.0 et WSUS 3.0 Disponible en téléchargement à l'adresse suivante :
Rapport sur les données de sécurité volume 6 Le Rapport sur les données de sécurité complet et une synthèse (disponible dans 10 langues) est disponible à : Faux logiciels de sécurité Faux logiciels de sécurité Schémas d'hébergement de phishing et de logiciels malveillants Schémas d'hébergement de phishing et de logiciels malveillants Mise à jour des contenus précédents Mise à jour des contenus précédents Conseils pratiques Conseils pratiques
Ressources concernant Conficker Conseils pour les professionnels de l'informatique Conseils pour le grand public uses/worms/conficker.mspx
Ressources Synthèse des Bulletins de sécurité Bulletins de sécurité Webcast des Bulletins de sécurité Avis de sécurité Abonnez-vous à la synthèse des Bulletins de sécurité (en français) Blog du MSRC (Microsoft Security Response Center) Microsoft France sécurité TechNet sécurité
Informations légales LOBJET DU PRESENT DOCUMENT EST DE VOUS FOURNIR LINFORMATION QUE VOUS AVEZ DEMANDEE CONCERNANT LA SECURITE. GENERALEMENT, LINFORMATION PROVOQUE UNE PRISE DE CONSCIENCE AUTOUR DE LA SECURITE ET IDENTIFIE LE PERSONNEL, LES PROCEDES, RESSOURCES ET TECHNOLOGIES QUI SONT DESTINES A PROMOUVOIR DE BONNES REGLES DE SECURITE DANS VOTRE ORGANISATION. LES VIRUS ET AUTRES TECHNOLOGIES NUISIBLES DESTINES A ATTAQUER VOTRE ENVIRONNEMENT INFORMATIQUE CHANGENT CONTINUELLEMENT AFIN DE CONTOURNER LES MESURES DE SECURITE EXISTANTES. DES LORS, MAINTENIR UN ENVIRONNEMENT INFORMATIQUE FIABLE EST UN PROCESSUS CONTINU QUI EXIGE QUE VOUS MAINTENIEZ UN PERSONNEL, DES PROCEDES, RESSOURCES ET TECHNOLOGIES ADEQUATS AFIN DE VOUS PROTEGER CONTRE TOUTE ATTEINTE A LA SECURITE. AUCUNE DISPOSITION CONTENUE DANS LES PRESENTES NE DOIT ETRE INTERPRETEE OU CONSIDEREE COMME UNE CERTIFICATION, UNE GARANTIE OU TOUTE AUTRE FORME DE VALIDATION QUE VOTRE ENVIRONNEMENT INFORMATIQUE EST ET DEMEURERA PROTEGE CONTRE DES ATTEINTES A LA SECURITE ET NOUS NASSUMONS AUCUNE RESPONSABILITE POUR TOUTE ATTEINTE A LA SECURITE OU TOUT DOMMAGE OU PERTE SUBSEQUENT. TOUTES COMMUNICATIONS OU TRANSMISSIONS DINFORMATION QUI VOUS SONT ADRESSEES AU SUJET DE MICROSOFT ET CONCERNANT LA SECURITE INCLUANT NOTAMMENT TOUTES SUGGESTIONS, ANALYSES, OU COMMENTAIRES QUI VOUS SONT FOURNIS DURANT UNE ANALYSE RELATIVE A LA SECURITE OU TOUTE AUTRE INFORMATION PASSEE, PRESENTE OU FUTURE RELATIVE NOTAMMENT AUX TESTS DE SECURITE, EVALUATIONS, DISPONIBILITES, HORAIRES OU OBJECTIFS (CI-APRES COLLECTIVEMENT DENOMMES « INFORMATIONS SUR LA SECURITE »), SONT FOURNIS CONFORMEMENT AUX CONDITIONS DU CONTRAT DE SERVICE EXISTANT ENTRE VOUS ET MICROSOFT ET UNIQUEMENT AFIN DE VOUS PERMETTRE DE VOUS ORGANISER FACE A DEVENTUELS PROBLEMES DE SECURITE. TOUTES LES INFORMATIONS SUR LA SECURITE CONTIENNENT TOUTES LES DONNEES QUI NOUS SONT ACTUELLEMENT ACCESSIBLES MAIS QUI SONT SUSCEPTIBLES DE CHANGER EN RAISON DU CHANGEMENT CONSTANT DE CES DONNEES SANS QUE MICROSOFT VOUS AIT PREALABLEMENT INFORME DE CES CHANGEMENTS. NOUS VOUS RECOMMANDONS DONC DE VERIFIER REGULIEREMENT AUPRES DE NOUS ET SUR LE SITE INTERNET DE SECURITE SITUE A LADRESSE SUIVANTE SI LES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES FONT LOBJET DE MISES A JOUR. VEUILLEZ NOUS CONTACTER SI VOUS AVEZ DAUTRES QUESTIONS CONCERNANT DES PROBLEMES DE SECURITE OU SI VOUS AVEZ BESOIN DUNE MISE A JOUR DES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES.