Bulletins de sécurité Microsoft Octobre 2009 Jean Gautier, Jérôme Leseinne CSS Security EMEA Bruno Sorcelle Technical Account Manager 1

Bienvenue ! Présentation des bulletins d'Octobre Nouveaux Bulletins de sécurité Mises à jour non relatives à la sécurité Informations connexes : Microsoft® Windows® Malicious Software* Removal Tool Autres informations Ressources Questions - Réponses : Envoyez dès maintenant ! * Malicious software (logiciel malveillant)

Questions - Réponses À tout moment pendant la présentation, posez vos questions : 1. Ouvrez l’interface Questions-réponses en cliquant sur le menu Q&R : 2. Précisez le numéro du Bulletin, entrez votre question et cliquez sur « Poser une question » :

Bulletins de Sécurité d'Octobre 2009 N°Article Indice de gravité maximal Composants Logiciels Affectés MS09-050 975517 Critique SMBv2 Windows MS09-051 975682 Media Runtime MS09-052 974112 Media Player MS09-053 975254 Important FTP Service MS09-054 974455 Internet Explorer Windows, Internet Explorer MS09-055 973525 ActiveX MS09-056 974571 CryptoAPI MS09-057 969059 Indexing Service MS09-058 971486 Windows Kernel MS09-059 975467 LSASS MS09-060 973965 Office ATL Office MS09-061 974378 .NET Framework Windows, .NET Framework MS09-062 957488 GDI+ Windows, .NET Framework, Internet Explorer, Office, SQL, Visual Studio, FCS

MS09-050 : Introduction et indices de gravité Numéro Titre Indice de gravité maximal Produits affectés MS09-050 Des vulnérabilités dans SMBv2 pourraient permettre l'exécution de code à distance (975517) Critique Windows Vista toutes versions Windows Server 2008 toutes versions

MS09-050 : Des vulnérabilités dans SMBv2 pourraient permettre l'exécution de code à distance (975517) - Critique Vulnérabilité Vulnérabilités d'exécution de code à distance et déni de service. Vecteurs d'attaque possibles Il existe une vulnérabilité de déni de service dans la façon dont le logiciel de protocole Microsoft Server Message Block (SMB) gère les paquets SMB version 2 (SMBv2) spécialement conçus. Toute tentative d'exploitation de cette vulnérabilité ne nécessiterait aucune authentification, ce qui permettrait à un attaquant de l'exploiter en envoyant un message réseau spécialement conçu à un ordinateur exécutant le service Serveur Il existe deux vulnérabilités d'exécution de code à distance ne nécessitant aucune authentification, liée à la façon dont Microsoft Server Message Block (SMB) gère les paquets SMB spécialement conçus. Toute tentative d'exploitation de cette vulnérabilité ne nécessiterait aucune authentification, ce qui permettrait à un attaquant de l'exploiter en envoyant un message réseau spécialement conçu à un ordinateur exécutant le service Serveur. Impact Un attaquant pourrait prendre le contrôle intégrale de la machine. Facteurs atténuants Les meilleures pratiques en matière de pare-feu, ainsi que les configurations par défaut des pare-feu, contribuent à protéger les réseaux contre les attaques lancées depuis l'extérieur de l'entreprise. Les meilleures pratiques recommandent que les systèmes connectés à Internet aient le moins possible de ports exposés. Dans Windows Vista, si le profil de réseau est défini sur « Public », le système n'est pas affecté par cette vulnérabilité étant donné que, par défaut, les paquets réseau entrants non sollicités sont bloqués. Les versions RTM (Release to Manufacturing) de Windows 7 et Windows Server 2008 R2 ne sont pas concernées par cette vulnérabilité. Contournement Désactiver SMBv2 Bloquer le trafic entrant sur les ports 139 et 445 Informations complémentaires Ces vulnérabilités ont été révélées publiquement (voir Avis de sécurité 975497). Ces vulnérabilités sont actuellement exploités.

MS09-051 : Introduction et indices de gravité Numéro Titre Indice de gravité maximal Produits affectés MS09-051 Des vulnérabilités dans Windows Media Runtime pourraient permettre l'exécution de code à distance (975682) Critique Windows 2000 SP4 Windows XP toutes versions Windows Server 2003 (x86 & x64) Windows Vista toutes versions Windows Server 2008 (x86 & x64)

MS09-051 : Des vulnérabilités dans Windows Media Runtime pourraient permettre l'exécution de code à distance (975682) - Critique Vulnérabilité Vulnérabilités d'exécution de code à distance. Vecteurs d'attaque possibles Il existe deux vulnérabilités d'exécution de code à distance dans le lecteur Windows Media en raison du traitement incorrect des fichiers ASF (Advanced Systems Format) spécialement conçus. Impact Un attaquant pourrait obtenir les mêmes droits que l'utilisateur connecté. Facteurs atténuants L'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l’utilisateur, généralement en l’incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site. Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Windows Server 2008 n'est pas concerné, à moins que le composant facultatif Expérience Bureau ne soit également installé. Contournement Désinscrire wmspdmod.dll Informations complémentaires Ces vulnérabilités ont été signalées de manière responsable. À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.

MS09-052 : Introduction et indices de gravité Numéro Titre Indice de gravité maximal Produits affectés MS09-052 Une vulnérabilité dans le lecteur Windows Media pourrait permettre l'exécution de code à distance (974112) Critique Windows Media Player 6.4 sur Windows Server 2003 (x86 & x64)

MS09-052: Une vulnérabilité dans le lecteur Windows Media pourrait permettre l'exécution de code à distance (974112) - Critique Vulnérabilité Deux vulnérabilités d'exécution de code à distance. Vecteurs d'attaque possibles Il existe une vulnérabilité d'exécution de code à distance dans le lecteur Windows Media 6.4. Un attaquant pourrait exploiter cette vulnérabilité en créant un fichier ASF spécialement conçu qui pourrait permettre l'exécution de code à distance lors de sa lecture à l'aide du lecteur Windows Media 6.4. Impact Un attaquant pourrait obtenir les mêmes droits que l'utilisateur connecté. Facteurs atténuants Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. La vulnérabilité ne peut pas être exploitée automatiquement par le biais des messages électroniques. L'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site. Contournement Modifier la liste de contrôle d'accès (ACL) pour strmdll.dll Informations complémentaires Cette vulnérabilité a été signalée de manière responsable. À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.

MS09-053 : Introduction et indices de gravité Numéro Titre Indice de gravité maximal Produits affectés MS09-053 Des vulnérabilités dans le service FTP pour Internet Information Services pourraient permettre l'exécution de code à distance (975254) Important Windows Server 2008 toutes versions

MS09-053 : Des vulnérabilités dans le service FTP pour Internet Information Services pourraient permettre l'exécution de code à distance (975254) - Important Vulnérabilité Vulnérabilités d'exécution de code à distance et de déni de service. Vecteurs d'attaque possibles Des paquets TCP/IP spécialement conçus vers un ordinateur avec un service d'écoute sur le réseau. Impact Ces vulnérabilités pourraient permettre l'exécution de code à distance (RCE) sur les systèmes exécutant le service FTP sur IIS 5.0 ou un déni de service (DoS) sur les systèmes exécutant le service FTP sur IIS 5.0, IIS 5.1, IIS 6.0 ou IIS 7.0. Facteurs atténuants Le service FTP n'est pas installé par défaut. Internet Information Services 5.1 sur Windows XP et Internet Information Services 6.0 sur Windows Server 2003 sont moins exposés car ces versions ont été compilées à l'aide de l'option /GS du compilateur. Ceci ne supprime pas la vulnérabilité mais rend l'exploitation de la vulnérabilité plus difficile et réduit l'impact d'un déni de service. Internet Information Services 7.0 n'est pas concerné par cette vulnérabilité. Contournement Désactivez le service FTP Refusez l'accès en écriture au FTP aux utilisateurs anonymes Refusez l'accès au FTP aux utilisateurs anonymes Modifiez les autorisations du système de fichiers NTFS pour rejeter la création de répertoires par les utilisateurs FTP Mettez à niveau vers le service FTP 7.5 Informations complémentaires Ces vulnérabilités ont été révélées publiquement (voir Avis de Sécurité 975191) À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.

Indice de gravité maximal MS09-054 : Introduction Numéro Titre Indice de gravité maximal Produits affectés MS09-054 Mise à jour de sécurité cumulative pour Internet Explorer (974455) Critique Toutes les versions Internet Explorer et Windows

MS09-054 : Mise à jour de sécurité cumulative pour Internet Explorer (974455) - Critique Vulnérabilité Vulnérabilités d'exécution de code à distance. Vecteurs d'attaque possibles Ces vulnérabilités pourraient permettre l'exécution de code à distance si un utilisateur affichait une page Web spécialement conçue à l'aide d'Internet Explorer. Impact Un attaquant pourrait obtenir les mêmes droits que l'utilisateur connecté. Facteurs atténuants L'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site. Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Par défaut, toutes les versions de Microsoft Outlook, Microsoft Outlook Express et de Windows Mail en cours de support ouvrent les messages au format HTML dans la zone Sites sensibles. Par défaut, Internet Explorer sur Windows Server 2003 et Windows Server 2008 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. Windows Internet Explorer 8 n'est pas concerné par cette vulnérabilité. Contournement Définissez les paramètres des zones Intranet local et Internet sur la valeur « Élevé » afin d'afficher un message de confirmation avant d'exécuter les contrôles ActiveX et Active Scripting dans ces zones. Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer. Désactivez les applications du navigateur XAML dans Internet Explorer. Informations complémentaires Une des vulnérabilités a été révélée publiquement. À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.

Indice de gravité maximal MS09-055 : Introduction Numéro Titre Indice de gravité maximal Produits affectés MS09-055 Mise à jour de sécurité cumulative pour les kill bits ActiveX (973525) Critique Windows toutes versions

MS09-055 : Mise à jour de sécurité cumulative pour les kill bits ActiveX (973525) - Critique Vulnérabilité Vulnérabilités d'exécution de code à distance. Vecteurs d'attaque possibles Ces vulnérabilités pourraient permettre l'exécution de code à distance si un utilisateur affichait une page Web spécialement conçue à l'aide d'Internet Explorer. Impact Un attaquant pourrait obtenir les mêmes droits que l'utilisateur connecté. Facteurs atténuants Par défaut, la majorité de contrôles ActiveX n'est pas incluse dans la liste verte par défaut des contrôles ActiveX dans Internet Explorer 7 ou Internet Explorer 8 s'exécutant sur Windows Vista ou des systèmes d'exploitation ultérieurs. Par défaut, Internet Explorer 8 propose des protections avancées en activant des protections de mémoire DEP/NX pour les utilisateurs de Windows XP Service Pack 3, Windows Vista Service Pack 1, Windows Vista Service Pack 2 et Windows 7. Par défaut, Internet Explorer sur Windows Server 2003 et Windows Server 2008 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. Par défaut, dans toutes les versions de Microsoft Outlook en cours de support et dans Microsoft Outlook Express, les messages au format HTML sont ouverts dans la zone Sites sensibles. Dans le cas d'une attaque Web, l'attaquant devrait attirer l’utilisateur, généralement en l’incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site. Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Contournement Empêcher les objets COM de s'exécuter dans Internet Explorer Informations complémentaires Cette vulnérabilité a été signalée de manière responsable. Microsoft a connaissance d'attaque limitée utilisant cette vulnérabilité.

Indice de gravité maximal MS09-056 : Introduction Numéro Titre Indice de gravité maximal Produits affectés MS09-056 Des vulnérabilités dans Windows CryptoAPI pourraient permettre une usurpation de contenu (974571) Important Windows toutes versions

MS09-056 : Des vulnérabilités dans Windows CryptoAPI pourraient permettre une usurpation de contenu (974571) - Important Vulnérabilité Vulnérabilités d'usurpation de contenu. Vecteurs d'attaque possibles Ces vulnérabilités pourraient permettre une usurpation de contenu si un attaquant parvenait à accéder au certificat utilisé par l'utilisateur final pour son authentification Impact Un attaquant qui réussirait à exploiter cette vulnérabilité pourrait imiter un autre utilisateur ou système. Facteurs atténuants Aucun Contournement Informations complémentaires Ces vulnérabilités ont été révélées publiquement. À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.

Indice de gravité maximal MS09-057 : Introduction Numéro Titre Indice de gravité maximal Produits affectés MS09-057 Une vulnérabilité dans le service d'indexation pourrait permettre l'exécution de code à distance (969059) Important Windows 2000 SP4 Windows XP toutes versions Windows Server 2003 toutes versions

MS09-057 : Une vulnérabilité dans le service d'indexation pourrait permettre l'exécution de code à distance (969059) - Important Vulnérabilité Vulnérabilités d'exécution de code à distance. Vecteurs d'attaque possibles Cette vulnérabilité est liée à un contrôle ActiveX inclus avec le service et qui ne traite pas correctement le contenu Web spécialement conçu. Impact Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Facteurs atténuants Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. La vulnérabilité ne peut pas être exploitée automatiquement par le biais des messages électroniques. Le fichier malveillant pourrait être envoyé en pièce jointe, mais l'attaquant devrait convaincre l'utilisateur d'ouvrir la pièce jointe afin de pouvoir exploiter cette vulnérabilité. L'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site. Contournement Désinscrire ixsso.dll Bloquer l'exécution de l'objet COM du contrôle ActiveX de service d'indexation dans Internet Explorer Définissez les paramètres des zones Intranet local et Internet sur la valeur « Élevé » afin d'afficher un message de confirmation avant d'exécuter les contrôles ActiveX et Active Scripting dans ces zones Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer Configurer Internet Explorer de manière à ce qu'il désactive Active Scripting ou à ce qu'il vous avertisse avant de l'exécuter dans la zone de sécurité Intranet local et Internet. Informations complémentaires Cette vulnérabilité a été signalée de manière responsable. À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.

Indice de gravité maximal MS09-058 : Introduction Numéro Titre Indice de gravité maximal Produits affectés MS09-058 Des vulnérabilités dans le noyau Windows pourraient permettre une élévation de privilèges (971486) Important Windows 2000 SP4 Windows XP toutes versions Windows Server 2003 toutes versions Windows Vista toutes versions Windows Server 2008 toutes versions

MS09-058 : Des vulnérabilités dans le noyau Windows pourraient permettre une élévation de privilèges (971486) - Important Vulnérabilité Vulnérabilités d'élévation de privilèges . Vecteurs d'attaque possibles La plus grave de ces vulnérabilités pourrait permettre une élévation de privilèges si un attaquant se connectait au système et exécutait une application spécialement conçue. Impact Un attaquant qui parviendrait à exploiter ces vulnérabilités pourrait exécuter du code arbitraire en mode noyau. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données, créer de nouveaux comptes dotés de tous les privilèges, exécuter une application spécialement conçue pour entraîner le redémarrage du système. Facteurs atténuants L’attaquant doit disposer d’informations d’identification valides pour ouvrir une session en local. Cette vulnérabilité ne peut pas être exploitée à distance ou par des utilisateurs anonymes. Un attaquant doit être en mesure de placer une application spécialement conçue sur un système. Cette vulnérabilité ne peut pas être exploitée à distance ou par des utilisateurs anonymes. Sur les systèmes 32 bits, cette vulnérabilité peut être seulement déclenchée si le système utilise l'extension d'adresse physique (PAE). Contournement Aucun Informations complémentaires Ces vulnérabilités ont été signalées de manière responsable. À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.

Indice de gravité maximal MS09-059 : Introduction Numéro Titre Indice de gravité maximal Produits affectés MS09-059 Une vulnérabilité dans le service LSASS (Local Security Authority Subsystem Service) pourrait permettre un déni de service (975467) Important Windows XP toutes versions* Windows Server 2003 toutes versions* Windows Vista toutes versions* Windows Server 2008 toutes versions* Windows 7 Windows Server 2008 R2 *Ce système d'exploitation est concerné uniquement lorsque le KB968389, concernant la Protection étendue de l'authentification (consultez l'Avis de sécurité Microsoft 973811), a été installée.

MS09-059 : Une vulnérabilité dans le service LSASS (Local Security Authority Subsystem Service) pourrait permettre un déni de service (975467) - Important Vulnérabilité Vulnérabilité de déni de service Vecteurs d'attaque possibles Un attaquant pourrait créer des requêtes d'authentification NTLM anonymes spécialement conçues qui entraîneraient une défaillance du service LSASS et ensuite redémarreraient l'ordinateur. Impact Il existe dans le service LSASS (Local Security Authority Subsystem Service) de Microsoft Windows une vulnérabilité d'élévation des privilèges liée au traitement incorrect des paquets mal formés lors de l'authentification NTLM. Facteurs atténuants Aucun Contournement Activez le filtrage TCP/IP avancé sur les systèmes qui prennent en charge cette fonctionnalité. Utilisez un pare-feu personnel, tel que le Pare-feu de connexion Internet. Désinstallez KB968389 des ordinateurs Windows XP ou Windows Server 2003 Informations complémentaires Cette vulnérabilité a été signalée de manière responsable. À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.

Indice de gravité maximal MS09-060 : Introduction Numéro Titre Indice de gravité maximal Produits affectés MS09-060 Des vulnérabilités dans les contrôles ActiveX de Microsoft ATL (Active Template Library) pour Microsoft Office pourraient permettre l'exécution de code à distance (973965) Critique Office XP SP3 Office 2003 SP3 Office System 2007 SP1 & SP2 Visio 2002 Viewer Office Visio 2003 Viewer Office Visio Viewer 2007 SP1 & SP2

MS09-060 : Des vulnérabilités dans les contrôles ActiveX de Microsoft ATL (Active Template Library) pour Microsoft Office pourraient permettre l'exécution de code à distance (973965) - Critique Vulnérabilité Vulnérabilités d'exécution de code à distance Vecteurs d'attaque possibles Ces vulnérabilités pourraient permettre l'exécution de code à distance si un utilisateur a chargé un composant ou un contrôle spécialement conçu. Impact Un utilisateur malveillant pourrait prendre le contrôle intégral d'un système affecté ou lire des données supplémentaires au-delà de la fin de la chaîne et donc divulguer des informations en mémoire. Facteurs atténuants Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. La vulnérabilité ne peut pas être exploitée automatiquement par le biais des messages électroniques. Pour qu'une attaque aboutisse, il faut que l'utilisateur ouvre la pièce jointe du message électronique correspondant. L'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site. Contournement N'ouvrez pas ou n'enregistrez pas les fichiers Microsoft Office provenant de sources non fiables ou reçus de sources fiables de manière inattendue. Cette vulnérabilité pourrait être exploitée lorsqu’un utilisateur ouvre un fichier spécialement conçu. Informations complémentaires Ces vulnérabilités ont été signalées de manière responsable. À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.

Indice de gravité maximal MS09-061 : Introduction Numéro Titre Indice de gravité maximal Produits affectés MS09-061 Des vulnérabilités dans le CLR (Common Language Runtime) Microsoft .NET pourraient permettre l'exécution de code à distance (974378) Critique .NET Framework 1.1 SP1, 2.0 SP1, & 2.0 SP2 on all supported versions of Windows 2000 .NET Framework 1.0 SP3, 1.1 SP1, 2.0 SP1, 2.0 SP2, 3.5, and 3.5 SP1 on all supported versions of Windows XP .NET Framework 1.1 SP1, 2.0 SP1, 2.0 SP2, 3.5, and 3.5 SP1 on all supported versions of Windows Server 2003 .NET Framework 1.1 SP1, 2.0 SP1, 2.0 SP2, 3.5, and 3.5 SP1 on all supported versions of Windows Vista .NET Framework 1.1 SP1, 2.0 SP1, 2.0 SP2, 3.5, and 3.5 SP1 on all supported versions of Windows Server 2008 .NET Framework 1.1 SP1 on Windows 7 .NET Framework 1.1 SP1 on Windows Server 2008 R2 Silverlight 2 on Mac Silverlight 2 on all releases of Windows clients and Windows servers

MS09-061 : Des vulnérabilités dans le CLR (Common Language Runtime) Microsoft .NET pourraient permettre l'exécution de code à distance (974378) - Critique Vulnérabilité Vulnérabilités d'exécution de code à distance Vecteurs d'attaque possibles Page Web spécialement conçue utilisant un navigateur Web pouvant exécuter des applications du navigateur XAML (XBAP) ou des applications Silverlight, ou si un attaquant arrive à persuader un utilisateur d'exécuter une application Microsoft .NET spécialement conçue. Impact Ces vulnérabilités d'exécution de code à distance pourrait permettre à un utilisateur malveillant de prendre le contrôle complet du système affecté Facteurs atténuants Les applications Microsoft .NET qui ne sont pas malveillantes ne sont pas exposées à ce risque. Seules les applications conçues de manière malveillante pourraient exploiter cette vulnérabilité. Dans un scénario d'hébergement Web, un attaquant doit posséder l'autorisation de téléchargement des pages ASP.NET arbitraires vers un site Web, et ASP.NET doit être installé sur ce serveur Web. Dans la configuration par défaut, un utilisateur anonyme ne peut pas télécharger et exécuter du code Microsoft .NET sur un serveur Internet Information Server (IIS). Par défaut, Internet Explorer sur Windows Server 2003 et Windows Server 2008 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. Internet Explorer 8 désactive le filtre MIME Microsoft .NET dans la zone Internet. L'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web Un attaquant ayant exploité avec succès cette vulnérabilité peut obtenir des droits d'utilisateur identiques à ceux de l'utilisateur local ou du compte d'utilisateur ASP.NET. Contournement Désactivez les applications Microsoft .NET de confiance partielle Désactivez les applications du navigateur XAML dans Internet Explorer Bloquez temporairement l'exécution du contrôle ActiveX Microsoft Silverlight dans Internet Explorer. Informations complémentaires Une vulnérabilité a été signalée publiquement. À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.

Indice de gravité maximal MS09-062 : Introduction Numéro Titre Indice de gravité maximal Produits affectés MS09-062 Des vulnérabilités dans GDI+ pourraient permettre l'exécution de code à distance (957488) Critique All supported versions of Windows XP, Windows Server 2003, Windows Vista, and Windows Server 2008 IE 6 SP1, .NET Framework 1.1 SP1 , 2.0 SP1 & SP2, and Forefront Client Security on Windows 2000 Office XP SP3, Office 2003 SP3, Office 2007 SP1 and SP2, Project 2002 SP1, Visio 2002 SP2, the Word, Excel, and PowerPoint Viewers, the Office 2007 Compatibility Pack SP1 & SP2, Expression Web & Expression Web 2, Groove 2007 & SP1, and Works 8.5 SQL Server 2000 Reporting Services, SQL Server 2005 SP2 & SP3, SQL Server 2005 x64 SP2 & SP3 , and SQL Server 2005 Itanium SP2 & SP3 Visual Studio .NET 2003 SP1, Visual Studio 2005 SP1, Visual Studio 2008 & SP1, Report Viewer 2005 SP1 Redistributable Package, Report Viewer 2008 SP1 Redistributable Package, Visual FoxPro 8.0 SP1, Visual FoxPro 9.0 SP2, and the Platform SDK Redistributable: GDI+

MS09-062 : Des vulnérabilités dans GDI+ pourraient permettre l'exécution de code à distance (957488) - Critique Vulnérabilité Vulnérabilités d'exécution de code à distance Vecteurs d'attaque possibles Page Web spécialement conçue Image spécialement conçue Impact Ces vulnérabilités dans GDI + pourraient permettre à un utilisateur malveillant de prendre le contrôle complet du système affecté si un utilisateur ouvre un fichier image spécialement conçue ou accède à un site Web qui contient du code malveillant. Facteurs atténuants Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. L'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site. Par défaut, Internet Explorer sur Windows Server 2003 et Windows Server 2008 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. Un attaquant n’a aucun moyen de forcer un utilisateur à ouvrir un fichier spécialement conçu. Cela ne peut pas être exploitée automatiquement par le biais des messages électroniques. Pour qu'une attaque aboutisse, il faut que l'utilisateur ouvre la pièce jointe du message électronique correspondant. Il est très peu probable qu'un attaquant puisse réellement influencer une application .NET non malveillante pour réaliser des appels API vers les fonctions vulnérables. Contournement Limiter l'accès à gdiplus.dll Désinscription de vgx.dll Empêcher RSClientPrint de s'exécuter dans Internet Explorer Lecture des messages électroniques au format texte brut Désactiver le traitement des métafichiers N'ouvrez pas de fichiers Office provenant de sources non fiables ou reçus de sources fiables de manière inattendue Informations complémentaires Ces vulnérabilités ont été signalées de manière responsable. À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.

Détection et déploiement Bulletin Windows Update Microsoft Update MBSA 2.1 WSUS 3.0 SMS avec Feature Pack SUS SMS avec Outil d'inventaire des mises à jour SCCM 2007 MS09-050 Oui Non MS09-051 Oui1 MS09-052 MS09-053 MS09-054 Oui2 MS09-055 MS09-056 MS09-057 MS09-058 MS09-059 MS09-060 MS09-061 MS09-062 1 - SMS SUSFP ne prend pas en charge Internet Explorer 7, Internet Explorer 8, Office System 2007, Works 8.5 & 9.0, ISA 2006. Virtual PC et Virtual Server, Windows Vista, Windows Server 2008, toutes versions de Windows x64 et les systèmes Windows ia64 2 - MBSA 2.1 ne prend pas en charge Windows 7 ou Windows Server 2008R2. Une mise à jour sera disponible pour le 22 octobre 2009

Informations de mise à jour (suite) Bulletin Redémarrage requis Désinstallation Remplace MS09-050 Oui MS09-051 Éventuellement MS09-052 MS08-076 MS09-053 Non MS09-054 MS09-034 MS09-055 MS09-032 MS09-056 MS04-007 MS09-057 MS06-053 MS09-058 MS07-022 MS08-064 MS09-059 MS09-060 MS08-015 MS09-061 MS07-040 MS09-062

Octobre 2009 - Mises à jour non relatives à la sécurité Article Title Distribution 905866 Update for Windows Mail Junk E-mail Filter AU, WSUS et Catalogue 890830 Windows Malicious Software Removal Tool 974306 Cumulative Update for Media Center for Windows Vista 971737 Update for Windows Server 2008, Windows Vista, Windows Server 2003, and Windows XP Install this update to help strengthen authentication credentials in specific scenarios KB970430 KB974431 Update for Windows 7 and Windows Server 2008 R2 This is a reliability update. KB974307 Cumulative Update for Media Center TVPack for Windows Vista

Windows Malicious Software Removal Tool Ajoute la possibilité de supprimer : Win32/FakeScanti. Disponible en tant que mise à jour prioritaire sous Windows Update et Microsoft Update Disponible par WSUS 3.0 Disponible en téléchargement à l'adresse suivante : http://www.microsoft.com/france/securite/malwareremove

Ressources Synthèse des Bulletins de sécurité http://www.microsoft.com/france/technet/security/bulletin/ms09-oct.mspx Bulletins de sécurité http://www.microsoft.com/france/technet/security/bulletin Webcast des Bulletins de sécurité http://www.microsoft.com/france/technet/security/bulletin/webcasts.mspx Avis de sécurité http://www.microsoft.com/france/technet/security/advisory Abonnez-vous à la synthèse des Bulletins de sécurité (en français) http://www.microsoft.com/france/securite/newsletters.mspx Blog du MSRC (Microsoft Security Response Center) http://blogs.technet.com/msrc Microsoft France sécurité http://www.microsoft.com/france/securite TechNet sécurité http://www.microsoft.com/france/technet/security

Informations légales L’OBJET DU PRESENT DOCUMENT EST DE VOUS FOURNIR L’INFORMATION QUE VOUS AVEZ DEMANDEE CONCERNANT LA SECURITE. GENERALEMENT, L’INFORMATION PROVOQUE UNE PRISE DE CONSCIENCE AUTOUR DE LA SECURITE ET IDENTIFIE LE PERSONNEL, LES PROCEDES, RESSOURCES ET TECHNOLOGIES QUI SONT DESTINES A PROMOUVOIR DE BONNES REGLES DE SECURITE DANS VOTRE ORGANISATION. LES VIRUS ET AUTRES TECHNOLOGIES NUISIBLES DESTINES A ATTAQUER VOTRE ENVIRONNEMENT INFORMATIQUE CHANGENT CONTINUELLEMENT AFIN DE CONTOURNER LES MESURES DE SECURITE EXISTANTES. DES LORS, MAINTENIR UN ENVIRONNEMENT INFORMATIQUE FIABLE EST UN PROCESSUS CONTINU QUI EXIGE QUE VOUS MAINTENIEZ UN PERSONNEL, DES PROCEDES, RESSOURCES ET TECHNOLOGIES ADEQUATS AFIN DE VOUS PROTEGER CONTRE TOUTE ATTEINTE A LA SECURITE. AUCUNE DISPOSITION CONTENUE DANS LES PRESENTES NE DOIT ETRE INTERPRETEE OU CONSIDEREE COMME UNE CERTIFICATION, UNE GARANTIE OU TOUTE AUTRE FORME DE VALIDATION QUE VOTRE ENVIRONNEMENT INFORMATIQUE EST ET DEMEURERA PROTEGE CONTRE DES ATTEINTES A LA SECURITE ET NOUS N’ASSUMONS AUCUNE RESPONSABILITE POUR TOUTE ATTEINTE A LA SECURITE OU TOUT DOMMAGE OU PERTE SUBSEQUENT. TOUTES COMMUNICATIONS OU TRANSMISSIONS D’INFORMATION QUI VOUS SONT ADRESSEES AU SUJET DE MICROSOFT ET CONCERNANT LA SECURITE INCLUANT NOTAMMENT TOUTES SUGGESTIONS, ANALYSES, OU COMMENTAIRES QUI VOUS SONT FOURNIS DURANT UNE ANALYSE RELATIVE A LA SECURITE OU TOUTE AUTRE INFORMATION PASSEE, PRESENTE OU FUTURE RELATIVE NOTAMMENT AUX TESTS DE SECURITE, EVALUATIONS, DISPONIBILITES, HORAIRES OU OBJECTIFS (CI-APRES COLLECTIVEMENT DENOMMES « INFORMATIONS SUR LA SECURITE »), SONT FOURNIS CONFORMEMENT AUX CONDITIONS DU CONTRAT DE SERVICE EXISTANT ENTRE VOUS ET MICROSOFT ET UNIQUEMENT AFIN DE VOUS PERMETTRE DE VOUS ORGANISER FACE A D’EVENTUELS PROBLEMES DE SECURITE. TOUTES LES INFORMATIONS SUR LA SECURITE CONTIENNENT TOUTES LES DONNEES QUI NOUS SONT ACTUELLEMENT ACCESSIBLES MAIS QUI SONT SUSCEPTIBLES DE CHANGER EN RAISON DU CHANGEMENT CONSTANT DE CES DONNEES SANS QUE MICROSOFT VOUS AIT PREALABLEMENT INFORME DE CES CHANGEMENTS. NOUS VOUS RECOMMANDONS DONC DE VERIFIER REGULIEREMENT AUPRES DE NOUS ET SUR LE SITE INTERNET DE SECURITE SITUE A L’ADRESSE SUIVANTE WWW.MICROSOFT.COM/SECURITY SI LES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES FONT L’OBJET DE MISES A JOUR. VEUILLEZ NOUS CONTACTER SI VOUS AVEZ D’AUTRES QUESTIONS CONCERNANT DES PROBLEMES DE SECURITE OU SI VOUS AVEZ BESOIN D’UNE MISE A JOUR DES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES.