Bulletins de Sécurité Microsoft mai mai 2007 France Direction Technique et Sécurité

Bienvenue ! Présentation des bulletins de mai > Nouveaux bulletins de sécurité Information concernant MS > Mise à jour non relatives à la sécurité Informations connexes > Windows Malicious Software Removal Tool > Cycle de support produits - fin de support sécurité > Informations importantes complémentaires Ressources Questions - Réponses

Bulletins de Sécurité - mai 2007 Résumé Nouveaux bulletins de sécurité > Critique : 7

Questions - Réponses Vous pouvez poser vos questions à tout moment en indiquant le numéro du bulletin concerné et en utilisant le bouton « Poser une question »

Bulletins de Sécurité - mai 2007 Présentation NuméroTitreIndice de gravité maximal Produits affectés MS Des vulnérabilités dans Microsoft Excel pourraient permettre lexécution de code à distance (934233) CritiqueToutes versions d'Excel en cours de support MS Des vulnérabilités dans Microsoft Word pourraient permettre l'exécution de code à distance (934232) CritiqueMicrosoft Word 2000, 2002, 2003 MS Une vulnérabilité dans Microsoft Office pourrait permettre l'exécution de code à distance (934873) CritiqueToutes versions d'Office en cours de support MS Des vulnérabilités dans Microsoft Exchange pourraient permettre lexécution de code à distance (931832) CritiqueToutes versions d'Exchange en cours de support MS Mise à jour de sécurité cumulative pour Internet Explorer (931768) CritiqueToutes versions d'Internet Explorer sur toutes les versions de Windows en cours de support MS Une vulnérabilité dans CAPICOM pourrait permettre l'exécution de code à distance (931906) CritiqueCAPICOM, BizTalk Server MS07-029Une vulnérabilité dans l'interface RPC du serveur DNS Windows pourrait permettre l'exécution de code à distance (935966) CritiqueWindows 2000 Server, Windows Server 2003

Bulletins de Sécurité - mai 2007 Résumé des niveaux de criticité Numéro Microsoft Excel 2000 Microsoft Excel 2002 Microsoft Excel 2003 Excel 2007 MS07-023CritiqueImportant Microsoft Word 2000 Microsoft Word 2002 Microsoft Word 2003 Microsoft Word 2007 Microsoft Word 2004 pour Mac MS07-024CritiqueImportant Non concernéImportant Microsoft Office 2000 Microsoft Office XP Microsoft Office 2003 Microsoft Office 2007 Microsoft Office 2004 pour Mac MS07-025CritiqueImportant

Bulletins de Sécurité - mai 2007 Résumé des niveaux de criticité (2) Numéro Internet Explorer 5.01 SP 4 Internet Explorer 6 SP 1 Internet Explorer 6 et 7 pour Windows Server 2003 SP1 ou SP2 IE 6.0 pour Windows XP SP 2 IE 7.0 pour Windows XP SP2 IE 7.0 pour Windows Vista MS Critique ModéréCritique Microsoft Exchange 2000 Server Microsoft Exchange Server 2003 SP1 et SP2 Microsoft Exchange Server 2007 MS Critique CAPICOMBizTalk Server 2004 MS07-028Critique Windows 2000 SP4 Windows Server 2003 SP1 et SP2 MS07-029Critique

MS – Des vulnérabilités dans Microsoft Excel pourraient permettre lexécution de code à distance (934233) – Critique VulnérabilitésTrois vulnérabilités d'exécution de code dans Excel liées à la gestion d'éléments de données malformés. Vecteurs d'attaque possibles L'attaquant crée un document Excel spécifique L'attaquant poste le document sur un site Web ou l'envoie par L'attaquant persuade l'utilisateur de consulter le site Web ou d'ouvrir la pièce jointe ImpactExécution de code dans le contexte de l'utilisateur Facteurs atténuants Limitations en vigueur sur le compte de l'utilisateur Excel 2002, Excel 2003 et Excel 2007 : Ne peut pas être exploitée automatiquement par le biais des messages électroniques. L'utilisateur doit ouvrir la pièce jointe à un . Excel 2002, Excel 2003 et Excel 2007 : Ne peut pas être exploitée automatiquement par le biais d'une page Web. L'utilisateur doit accepter les risques présentés par la boîte de dialogue d'avertissement. > La boîte de dialogue ne s'affiche pas sous Office > La boîte de dialogue peut être ajoutée à Office 2000 en installant l'Outil de confirmation à l'ouverture pour Office. L'utilisateur doit visiter un site malveillant manuellement ou en cliquant sur un lien dans un ou dans un message instantané. L'accès aux sites ne peut être automatisé. Excel 2007 : problème affectant le traitement du format de fichier Excel précédent. Le blocage des fichiers peut aider à protéger f3b mspx?mfr=true

MS – Des vulnérabilités dans Microsoft Word pourraient permettre lexécution de code à distance (934232) – Critique VulnérabilitésTrois vulnérabilités d'exécution de code dans Word liées à la gestion d'éléments de données malformés. Vecteurs d'attaque possibles L'attaquant crée un document Word spécifique L'attaquant poste le document sur un site Web ou l'envoie par L'attaquant persuade l'utilisateur de consulter le site Web ou d'ouvrir la pièce jointe ImpactExécution de code dans le contexte de l'utilisateur Facteurs atténuants Limitations en vigueur sur le compte de l'utilisateur Word 2002 ou Word 2003 : Ne peut pas être exploitée automatiquement par le biais des messages électroniques. L'utilisateur doit ouvrir la pièce jointe à un . Word 2002 ou Word 2003 : Ne peut pas être exploitée automatiquement par le biais d'une page Web. L'utilisateur doit accepter les risques présentés par la boîte de dialogue d'avertissement. > La boîte de dialogue ne s'affiche pas sous Office > La boîte de dialogue peut être ajoutée à Office 2000 en installant l'Outil de confirmation à l'ouverture pour Office. L'utilisateur doit visiter un site malveillant manuellement ou en cliquant sur un lien dans un ou dans un message instantané. L'accès aux sites ne peut être automatisé. Informations connexes Résout le problème décrit dans l'Avis de sécurité Microsoft

MS – Une vulnérabilité dans Microsoft Office pourrait permettre l'exécution de code à distance (934873) – Critique VulnérabilitéUne vulnérabilité d'exécution de code existe dans la manière dont Microsoft Office traite un objet dessin spécialement conçu. Vecteurs d'attaque possibles L'attaquant crée un document Office spécifique L'attaquant poste le document sur un site Web ou l'envoie par L'attaquant persuade l'utilisateur de consulter le site Web ou d'ouvrir la pièce jointe ImpactExécution de code dans le contexte de l'utilisateur Facteurs atténuants Limitations en vigueur sur le compte de l'utilisateur Office XP ou Office 2003 : Ne peut pas être exploitée automatiquement par le biais des messages électroniques. L'utilisateur doit ouvrir la pièce jointe à un . Office XP ou Office 2003 : Ne peut pas être exploitée automatiquement par le biais d'une page Web. L'utilisateur doit accepter les risques présentés par la boîte de dialogue d'avertissement. > La boîte de dialogue ne s'affiche pas sous Office > La boîte de dialogue peut être ajoutée à Office 2000 en installant l'Outil de confirmation à l'ouverture pour Office. L'utilisateur doit visiter un site malveillant manuellement ou en cliquant sur un lien dans un ou dans un message instantané. L'accès aux sites ne peut être automatisé Informations connexes Vulnérabilité présente uniquement dans Excel, Publisher, FrontPage/SharePoint Designer Tous les utilisateurs d'Office devraient appliquer la mise à jour.

MS – Des vulnérabilités dans Microsoft Exchange pourraient permettre lexécution de code à distance (931832) – Critique VulnérabilitésUne vulnérabilité d'exécution de code à distance, une vulnérabilité de divulgation d'informations et deux vulnérabilités de déni de service. Vecteurs d'attaque possibles L'attaquant crée un spécifique L'attaquant envoie l' à un serveur Exchange ImpactExécution de code dans le contexte de "LocalSystem" Facteurs atténuantsAucun.

MS – Mise à jour de sécurité cumulative pour Internet Explorer (931768) – Critique VulnérabilitésCinq vulnérabilités d'exécution de code Vecteurs d'attaque possibles L'attaquant crée une page Web malveillante. L'attaquant poste la page sur un site Web ou l'envoie par au format HTML L'attaquant persuade l'utilisateur de consulter le site Web ou d'ouvrir l' ImpactExécution de code dans le contexte de l'utilisateur Facteurs atténuants Limitations en vigueur sur le compte de l'utilisateur La vulnérabilité ne peut être exploitée automatiquement. L'utilisateur doit visiter un site malveillant manuellement ou en cliquant sur un lien dans un ou dans un message instantané. Par défaut, dans toutes les versions de Microsoft Outlook et d'Outlook Express prises en charge, les messages au format HTML sont ouverts dans la zone Sites sensibles. Sur Windows Server 2003, la Configuration de sécurité améliorée d'Internet Explorer aide à réduire ce risque en modifiant de nombreux paramètres liés à la sécurité. Informations connexes Définit le killbit pour le contrôle ActiveX LaunchApp fourni par Acer Incorporated Consultez pour plus d'informations Définit le killbit pour un contrôle ActiveX développé par Research In Motion (RIM) Consultez pour plus d'informations

MS – Une vulnérabilité dans CAPICOM pourrait permettre l'exécution de code à distance (931906) – Critique VulnérabilitéUne vulnérabilité d'exécution de code dans CAPICOM (Cryptographic API Component Object Model) liée au traitement des entrées dans le contrôle ActiveX Vecteurs d'attaque possibles L'attaquant crée une page Web malveillante. L'attaquant poste la page sur un site Web ou l'envoie par au format HTML L'attaquant persuade l'utilisateur de consulter le site Web ou d'ouvrir l' ImpactExécution de code dans le contexte de l'utilisateur Facteurs atténuants Limitations en vigueur sur le compte de l'utilisateur La vulnérabilité ne peut être exploitée automatiquement. L'utilisateur doit visiter un site malveillant manuellement ou en cliquant sur un lien dans un ou dans un message instantané. Par défaut, dans toutes les versions de Microsoft Outlook et d'Outlook Express prises en charge, les messages au format HTML sont ouverts dans la zone Sites sensibles. Sur Windows Server 2003, la Configuration de sécurité améliorée d'Internet Explorer aide à réduire ce risque en modifiant de nombreux paramètres liés à la sécurité. Le contrôle n'est pas dans la liste « ActiveX Opt-in » d'Internet Explorer 7 : l'utilisateur doit accepter de manière explicite la première exécution du contrôle

MS – Une vulnérabilité dans l'interface RPC du serveur DNS Windows pourrait permettre l'exécution de code à distance (935966) – Critical VulnérabilitéVulnérabilité d'exécution de code dans l'interface RPC de gestion du serveur DNS Vecteurs d'attaque possibles L'attaquant crée un paquet réseau spécifique L'attaquant envoie le paquet à un système vulnérable ImpactExécution de code dans le contexte du compte Système local Informations connexes Résout le problème décrit dans l'Avis de sécurité Microsoft La mise à jour de sécurité ne rétablit aucune des solutions de contournement qui ont pu être mises en place : elles doivent être rétablies manuellement

Information concernant MS Informations partielles sur des attaques limitées reçues le 6 avril 2007 Enquête permettant la découverte d'informations terminée le 11 avril 2007 Solutions de contournement identifiées et Avis de sécurité publié le 12 avril 2007 Informations transmises aux partenaires de la Microsoft Security Alliance (MSRA) afin de permettre la mise en place de protections au sens large Surveillance en continu ayant permis de déterminer que les attaques restaient limitées

Détection et déploiement WinUpdate, SUS, AutoUpdates Office Update et Outil d'inventaire des mises à jour d'Office pour SMS MBSA 1.2 et Outil d'inventaire des mises à jour de sécurité pour SMS (SUIT) Outil d'analyse des mises à jour pour entreprise (EST) et Outils d'analyse des mises à jour de sécurité SMS MSUpdate/WSUS/AutoUpdates Outil d'inventaire SMS 2003 et MBSA 2.0 MS Oui (sauf 2007)Oui (local sauf 2007)NonOui (sauf 2000) MS OuiOui (local)NonOui (sauf 2000) MS Oui (sauf 2007)Oui (local sauf 2007)NonOui (sauf 2000) MS Oui (sauf 2007)NonOui MS Oui-Oui (sauf Vista)NonOui MS Oui-NonOui MS Oui- NonOui

Informations de mise à jour (suite) Bulletin Rédémarrage requis HotPatchingDésinstallationRemplace MS Non-Oui (sauf 2000)MS MS Non-Oui (sauf 2000)MS MS Non-Oui (sauf 2000)MS MS Non-OuiMS06-019, MS MS Oui- MS MS Non-Oui- MS OuiNonOui-

Mai Mises à jour non relatives à la sécurité NuméroTitreDistribution Mise à jour pour Windows XP (KB930916)WinUpdate, MSUpdate Mise à jour du filtre de courrier indésirable Outlook 2003 (KB934708)MSUpdate Mise à jour du filtre de courrier indésirable Outlook 2007 (KB934655)MSUpdate Mise à jour pour PowerPoint 2003 (KB933669)MSUpdate Mise à jour pour Word 2007 (KB934173)MSUpdate Mise à jour pour Office 2007 (KB934393)MSUpdate

Windows Malicious Software Removal Tool Ajoute la possibilité de supprimer : > Win32/Renos Disponible en tant que mise à jour prioritaire sous Windows Update et Microsoft Update pour les utilisateurs de Windows XP et Windows Vista. > Disponible par WSUS. Non disponible par SUS 1.0. Également disponible en téléchargement à

Cycle de support produits - fin de support sécurité Windows Server 2003 RTM (SP0) a expiré avec la publication d'avril 2007 > Windows Server 2003 SP1 et SP2 pris en charge 10 juillet 2007 > Software Update Services 1.0 WSUS 2.0 et 3.0 pris en charge > SQL Server 2000 Service Pack 3a SQL Server 2000 Service Pack 4 pris en charge > SQL Server 2005 RTM (SP0) SQL Server 2005 SP1 pris en charge

Informations importantes complémentaires Windows Server Update Services (WSUS) 3.0 disponible > Informations disponibles sur : Windows Server 2003 SP2 sera disponible par les Mises à jour automatiques à partir du 12 juin 2007 > Informations disponibles sur :

Ressources Webcast des bulletins de sécurité de juin 2007 Résumé des bulletins de sécurité Bulletins de sécurité Programme de conseils sécurité Microsoft : Glossaire Avis de sécurité Blog du MSRC (Microsoft Security Response Center) Notifications TechNet Radio (en anglais) Microsoft France sécurité Lettre d'information mensuelle TechNet sécurité

Informations légales LOBJET DU PRESENT DOCUMENT EST DE VOUS FOURNIR LINFORMATION QUE VOUS AVEZ DEMANDEE CONCERNANT LA SECURITE. GENERALEMENT, LINFORMATION PROVOQUE UNE PRISE DE CONSCIENCE AUTOUR DE LA SECURITE ET IDENTIFIE LE PERSONNEL, LES PROCEDES, RESSOURCES ET TECHNOLOGIES QUI SONT DESTINES A PROMOUVOIR DE BONNES REGLES DE SECURITE DANS VOTRE ORGANISATION. LES VIRUS ET AUTRES TECHNOLOGIES NUISIBLES DESTINES A ATTAQUER VOTRE ENVIRONNEMENT INFORMATIQUE CHANGENT CONTINUELLEMENT AFIN DE CONTOURNER LES MESURES DE SECURITE EXISTANTES. DES LORS, MAINTENIR UN ENVIRONNEMENT INFORMATIQUE FIABLE EST UN PROCESSUS CONTINU QUI EXIGE QUE VOUS MAINTENIEZ UN PERSONNEL, DES PROCEDES, RESSOURCES ET TECHNOLOGIES ADEQUATS AFIN DE VOUS PROTEGER CONTRE TOUTE ATTEINTE A LA SECURITE. AUCUNE DISPOSITION CONTENUE DANS LES PRESENTES NE DOIT ETRE INTERPRETEE OU CONSIDEREE COMME UNE CERTIFICATION, UNE GARANTIE OU TOUTE AUTRE FORME DE VALIDATION QUE VOTRE ENVIRONNEMENT INFORMATIQUE EST ET DEMEURERA PROTEGE CONTRE DES ATTEINTES A LA SECURITE ET NOUS NASSUMONS AUCUNE RESPONSABILITE POUR TOUTE ATTEINTE A LA SECURITE OU TOUT DOMMAGE OU PERTE SUBSEQUENT. TOUTES COMMUNICATIONS OU TRANSMISSIONS DINFORMATION QUI VOUS SONT ADRESSEES AU SUJET DE MICROSOFT ET CONCERNANT LA SECURITE INCLUANT NOTAMMENT TOUTES SUGGESTIONS, ANALYSES, OU COMMENTAIRES QUI VOUS SONT FOURNIS DURANT UNE ANALYSE RELATIVE A LA SECURITE OU TOUTE AUTRE INFORMATION PASSEE, PRESENTE OU FUTURE RELATIVE NOTAMMENT AUX TESTS DE SECURITE, EVALUATIONS, DISPONIBILITES, HORAIRES OU OBJECTIFS (CI-APRES COLLECTIVEMENT DENOMMES « INFORMATIONS SUR LA SECURITE »), SONT FOURNIS CONFORMEMENT AUX CONDITIONS DU CONTRAT DE SERVICE EXISTANT ENTRE VOUS ET MICROSOFT ET UNIQUEMENT AFIN DE VOUS PERMETTRE DE VOUS ORGANISER FACE A DEVENTUELS PROBLEMES DE SECURITE. TOUTES LES INFORMATIONS SUR LA SECURITE CONTIENNENT TOUTES LES DONNEES QUI NOUS SONT ACTUELLEMENT ACCESSIBLES MAIS QUI SONT SUSCEPTIBLES DE CHANGER EN RAISON DU CHANGEMENT CONSTANT DE CES DONNEES SANS QUE MICROSOFT VOUS AIT PREALABLEMENT INFORME DE CES CHANGEMENTS. NOUS VOUS RECOMMANDONS DONC DE VERIFIER REGULIEREMENT AUPRES DE NOUS ET SUR LE SITE INTERNET DE SECURITE SITUE A LADRESSE SUIVANTE SI LES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES FONT LOBJET DE MISES A JOUR. VEUILLEZ NOUS CONTACTER SI VOUS AVEZ DAUTRES QUESTIONS CONCERNANT DES PROBLEMES DE SECURITE OU SI VOUS AVEZ BESOIN DUNE MISE A JOUR DES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES.