Toute léquipe Microsoft vous souhaite une excellente année 2011

Bulletins de Sécurité Microsoft Janvier 2011 Jean Gautier, Ramin Barreto CSS Security EMEA Bruno Sorcelle, Valéry Kremer Technical Account Manager

Bienvenue ! Présentation des bulletins de Janvier Nouveaux bulletins de Sécurité 1 Critique 1 Important 1 avis de sécurité (révision) Mises à jour non relatives à la sécurité Informations connexes : Microsoft® Windows® Malicious Software* Removal Tool Autres informations Ressources Questions - Réponses : Envoyez dès maintenant !

Questions - Réponses À tout moment pendant la présentation, posez vos questions : 1. Ouvrez linterface Questions-réponses en cliquant sur le menu Q&R : 2. Précisez le numéro du Bulletin, entrez votre question et cliquez sur « Poser une question » :

Bulletins de Sécurité de Janvier 2011 MS Important Gestionnaire de sauvegarde Windows Microsoft Windows MS Critique Microsoft Data Access Components (MDAC) Microsoft Windows

MS : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS Une vulnérabilité dans le gestionnaire de sauvegarde de Windows pourrait permettre l'exécution de code à distance ( ) Important Windows Vista (Toutes les versions supportées)

MS : Une vulnérabilité dans le gestionnaire de sauvegarde de Windows pourrait permettre l'exécution de code à distance ( ) - Important VulnérabilitéVulnérabilités d'exécution de code à distance Vecteurs d'attaque possibles un fichier.wbcat légitime situé dans le même répertoire qu'un fichier de bibliothèque de liens dynamiques (DLL) spécialement conçu. Un fichier DLL malveillant spécialement conçu ImpactTout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Lattaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges.. Facteurs atténuantsPour exploiter cette vulnérabilité, un utilisateur doit visiter l'emplacement d'un système de fichiers distant ou un partage WebDAV non fiable et ouvrir un fichier.wbcat (fichier du catalogue de Sauvegarde Windows). Le protocole de partage de fichiers, SMB (Server Message Block), est souvent désactivé sur le pare-feu de périmètre. Cela permet de limiter les vecteurs d'attaque potentiels pour cette vulnérabilité. ContournementDésactiver le chargement de bibliothèques à partir de partages réseau WebDAV et distants Désactiver le service WebClient Bloquer les ports TCP 139 et 445 au niveau du pare-feu Informations complémentaires Cette vulnérabilité a été signalée publiquement avant la publication de ce bulletin (voir lavis de sécurité ) À la publication de ce bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.

MS : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS Des vulnérabilités dans Microsoft Data Access Components (MDAC) pourraient permettre l'exécution de code à distance ( ) Critique MDAC 2.8 SP 1 sur Windows XP (Toutes les versions supportées) MDAC 2.8 SP 2 sur Windows Server 2003 (Toutes les versions supportées) WDAC 6.0 sur Windows Vista (Toutes les versions supportées) WDAC 6.0 sur Windows Server 2008 (Toutes les versions supportées) WDAC 6.0 sur Windows 7 (Toutes les versions supportées) WDAC 6.0 sur Windows Server 2008 R2 (Toutes les versions supportées)

MS : Des vulnérabilités dans Microsoft Data Access Components (MDAC) pourraient permettre l'exécution de code à distance ( ) - Critique VulnérabilitéVulnérabilités d'exécution de code à distance Vecteurs d'attaque possibles Une page Web spécialement conçue Un message électronique HTML spécialement conçu ImpactUn attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral d'un système affecté Un attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Facteurs atténuantsL'attaquant devrait héberger un site Web qui contiendrait une page Web spécialement conçue pour exploiter cette vulnérabilité et convaincre les utilisateurs de visiter ce site Web, généralement en les incitant à cliquer sur un lien dans un message électronique ou un message instantané. Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Par défaut, toutes les versions en cours de support de Microsoft Outlook, Microsoft Outlook Express et de Windows Mail ouvrent les messages au format HTML dans la zone Sites sensibles, ce qui désactive les scripts et les contrôles ActiveX. Par défaut, Internet Explorer sur Windows Server 2003 et Windows Server 2008 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. La CVE ne peut pas être exploitée dans la configuration de Windows par défaut. Pour que le système soit exposé à cette vulnérabilité, une application tierce utilisant des API Open Database Connectivity (ODBC) spécifiques d'une manière vulnérable doit être installée. ContournementDéfinissez les paramètres des zones Intranet local et Internet sur la valeur « Élevé » afin de bloquer les contrôles ActiveX et Active Scripting dans ces zones Configurer Internet Explorer de manière à ce qu'il désactive Active Scripting ou à ce qu'il vous avertisse avant de l'exécuter dans la zone de sécurité Intranet local et Internet. Désactivez le fichier DLL ActiveX Data Objects (ADO) Microsoft n'a identifié aucune solution de contournement pour la CVE Informations complémentaires Les vulnérabilités nont pas été signalées publiquement avant la publication de ce bulletin À la publication de ce bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation pour ces vulnérabilités.

BulletinWindows Update Microsoft Update MBSA 2.1WSUS 3.0SMS avec Feature Pack SUS SMS avec Outil d'inventaire des mises à jour SCCM 2007 MS OuiOuiOuiOui Non 1 OuiOui MS OuiOuiOuiOui Oui 1 OuiOui 1 - SMS SUSFP ne prend pas en charge Internet Explorer 7, Internet Explorer 8, Exchange 2007, Windows Media Player 11, toutes versions ou composant s d'Office ou Works, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, toutes versions de Windows x64 et les systèmes Windows ia64 Détection et déploiement

Informations de mise à jour BulletinRedémarrage requisDésinstallationRemplace MS11-001PossibleOuiAucun MS11-002PossibleOuiAucun

Avis de sécurité Microsoft (Révision) – Une vulnérabilité dans Internet Explorer pourrait permettre l'exécution de code à distance. Logiciels Affectés Internet Explorer 6.0 sur Windows XP et sur Windows Server 2003 Internet Explorer 7 sur Windows XP, Windows Server 2003, Windows Vista et sur Windows Server 2008 Internet Explorer 8 sur Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, et sur Windows Server 2008 R2 Résumé Microsoft étudie de nouveaux rapports publics faisant état d'attaques limitées visant à exploiter une vulnérabilité dans toutes les les versions en cours de support d'Internet Explorer. L'impact principal de cette vulnérabilité est une exécution de code à distance. Cet Avis contient des solutions de contournement et des facteurs atténuants concernant ce problème. La vulnérabilité existe en raison de la création de mémoire non initialisée pendant l'exécution d'une fonction CSS dans Internet Explorer. Dans certaines conditions, il peut arriver que la mémoire soit utilisée par un attaquant qui utilise une page Web spécialement conçue pour pouvoir exécuter du code à distance. Raisons de la révision Ajout dune solution de contournement : Empêcher le chargement récursif de feuilles de style de CSS dans Internet Explorer Mise à jour de la synthèse pour refléter l'analyse concernant des attaques limitées. Informations complémentaires Nouveau package Fix-it contenant un shim IE Nécessite MS Des éléments complémentaires sont disponibles sur le blog SRD :

Janvier Mises à jour non relatives à la sécurité ArticleTitleDistribution KB905866Update for Windows Mail Junk FilterUpdate for Windows Mail Junk Filter Catalog, AU, WSUS KB890830Windows Malicious Software Removal ToolWindows Malicious Software Removal Tool Catalog, AU, WSUS

Windows Malicious Software Removal Tool Ajoute la possibilité de supprimer :Win32/Lethic A prevalent backdoor trojan that allows remote access and control of an affected machine A prevalent backdoor trojan that allows remote access and control of an affected machine Disponible en tant que mise à jour prioritaire sous Windows Update et Microsoft Update Disponible par WSUS 3.0 Disponible en téléchargement à l'adresse suivante :

Après le 11 janvier 2011 les produits ou Service Pack suivants ne sont plus supportés : Exchange Server 2000 Exchange Server 2000 SQL Server 7.0 SQL Server 7.0 SCCM 2007 SP1 SCCM 2007 SP1 SCCM 2007 R2 SCCM 2007 R2 Après le 12 avril 2011 les produits ou Service Pack suivants ne sont plus supportés : ISA Server 2000 ISA Server 2000 MOM 2000 MOM 2000 SMS 2.0 SMS 2.0.Net Framework 3.0.Net Framework 3.0.Net Framework 3.5 RTM.Net Framework 3.5 RTM Pour rappel…

Ressources Synthèse des Bulletins de sécurité Bulletins de sécurité Webcast des Bulletins de sécurité Avis de sécurité Abonnez-vous à la synthèse des Bulletins de sécurité (en français) Blog du MSRC (Microsoft Security Response Center) Microsoft France sécurité TechNet sécurité

Informations légales LOBJET DU PRESENT DOCUMENT EST DE VOUS FOURNIR LINFORMATION QUE VOUS AVEZ DEMANDEE CONCERNANT LA SECURITE. GENERALEMENT, LINFORMATION PROVOQUE UNE PRISE DE CONSCIENCE AUTOUR DE LA SECURITE ET IDENTIFIE LE PERSONNEL, LES PROCEDES, RESSOURCES ET TECHNonLOGIES QUI SONT DESTINES A PROMOUVOIR DE BONNES REGLES DE SECURITE DANS VOTRE ORGANISATION. LES VIRUS ET AUTRES TECHNonLOGIES NUISIBLES DESTINES A ATTAQUER VOTRE ENVIRONNEMENT INFORMATIQUE CHANGENT CONTINUELLEMENT AFIN DE CONTOURNER LES MESURES DE SECURITE EXISTANTES. DES LORS, MAINTENIR UN ENVIRONNEMENT INFORMATIQUE FIABLE EST UN PROCESSUS CONTINU QUI EXIGE QUE VOUS MAINTENIEZ UN PERSONNEL, DES PROCEDES, RESSOURCES ET TECHNonLOGIES ADEQUATS AFIN DE VOUS PROTEGER CONTRE TOUTE ATTEINTE A LA SECURITE. AUCUNE DISPOSITION CONTENUE DANS LES PRESENTES NE DOIT ETRE INTERPRETEE OU CONSIDEREE COMME UNE CERTIFICATION, UNE GARANTIE OU TOUTE AUTRE FORME DE VALIDATION QUE VOTRE ENVIRONNEMENT INFORMATIQUE EST ET DEMEURERA PROTEGE CONTRE DES ATTEINTES A LA SECURITE ET NonUS NASSUMONS AUCUNE RESPONSABILITE POUR TOUTE ATTEINTE A LA SECURITE OU TOUT DOMMAGE OU PERTE SUBSEQUENT. TOUTES COMMUNICATIONS OU TRANSMISSIONS DINFORMATION QUI VOUS SONT ADRESSEES AU SUJET DE MICROSOFT ET CONCERNANT LA SECURITE INCLUANT NonTAMMENT TOUTES SUGGESTIONS, ANALYSES, OU COMMENTAIRES QUI VOUS SONT FOURNIS DURANT UNE ANALYSE RELATIVE A LA SECURITE OU TOUTE AUTRE INFORMATION PASSEE, PRESENTE OU FUTURE RELATIVE NonTAMMENT AUX TESTS DE SECURITE, EVALUATIONS, DISPONIBILITES, HORAIRES OU OBJECTIFS (CI-APRES COLLECTIVEMENT DENonMMES « INFORMATIONS SUR LA SECURITE »), SONT FOURNIS CONFORMEMENT AUX CONDITIONS DU CONTRAT DE SERVICE EXISTANT ENTRE VOUS ET MICROSOFT ET UNIQUEMENT AFIN DE VOUS PERMETTRE DE VOUS ORGANISER FACE A DEVENTUELS PROBLEMES DE SECURITE. TOUTES LES INFORMATIONS SUR LA SECURITE CONTIENNENT TOUTES LES DONNEES QUI NonUS SONT ACTUELLEMENT ACCESSIBLES MAIS QUI SONT SUSCEPTIBLES DE CHANGER EN RAISON DU CHANGEMENT CONSTANT DE CES DONNEES SANS QUE MICROSOFT VOUS AIT PREALABLEMENT INFORME DE CES CHANGEMENTS. NonUS VOUS RECOMMANDONS DONC DE VERIFIER REGULIEREMENT AUPRES DE NonUS ET SUR LE SITE INTERNET DE SECURITE SITUE A LADRESSE SUIVANTE SI LES INFORMATIONS QUE NonUS VOUS AVONS FOURNIES FONT LOBJET DE MISES A JOUR. VEUILLEZ NonUS CONTACTER SI VOUS AVEZ DAUTRES QUESTIONS CONCERNANT DES PROBLEMES DE SECURITE OU SI VOUS AVEZ BESOIN DUNE MISE A JOUR DES INFORMATIONS QUE NonUS VOUS AVONS FOURNIES.