Bulletins de Sécurité Microsoft Mai 2014 Hors Cycle Table Ronde du Bulletin de Sécurité Hors Cycle Début à 14h00 Microsoft France Patrick Chuzel CSS Security.

Slides:



Advertisements
Présentations similaires
Bulletins de Sécurité Microsoft - décembre 2007
Advertisements

Bulletins de Sécurité Microsoft janvier janvier 2007 Microsoft France Direction Technique et Sécurité
Bulletins de Sécurité Microsoft - octobre 2007 Microsoft France Direction Technique et Sécurité
Bulletins de sécurité Microsoft Janvier 2009 Jean Gautier CSS Security EMEA IR Team Jérôme Leseinne CSS Security EMEA IR Team Mathieu Malaise Direction.
Bulletins de sécurité Microsoft Mars 2009 Jean Gautier CSS Security EMEA IR Team Jérôme Leseinne CSS Security EMEA IR Team Mathieu Malaise Direction technique.
Bulletins de sécurité Microsoft Novembre 2008 Jean Gautier CSS Security EMEA IR Team Jérôme Leseinne CSS Security EMEA IR Team Mathieu Malaise Direction.
Bulletins de Sécurité Microsoft - Avril 2008 Jean Gautier, Jérôme Leseinne, Mathieu Malaise, Bruno Sorcelle Microsoft France.
Bulletins de sécurité Microsoft Février 2009 Jean Gautier CSS Security EMEA IR Team Mathieu Malaise Direction technique et sécurité
Bulletins de sécurité Microsoft Septembre 2009 Jérôme Leseinne CSS Security EMEA Bruno Sorcelle Technical Account Manager.
par Bernard Maudhuit Anne-Marie Droit
Bulletins de Sécurité Microsoft
Bulletins de Sécurité Microsoft
Bulletin de sécurité Microsoft 21 Janvier 2010 – Hors Cycle Jean Gautier CSS Security EMEA Bruno Sorcelle & Valéry Kremer Technical Account Manager.
Bulletins de Sécurité Microsoft - septembre septembre 2007 Microsoft France Direction Technique et Sécurité.
Module 8 : Maintenance des logiciels à l'aide des services SUS
Bulletins de Sécurité Microsoft
Toute léquipe Microsoft vous souhaite une excellente année 2011.
Bulletins de Sécurité Microsoft - Mai 2008 Microsoft France Direction technique et sécurité.
Bulletins de Sécurité Microsoft - novembre 2007 Microsoft France Direction Technique et Sécurité.
Bulletins de sécurité Microsoft Juillet 2009 Jérôme Leseinne CSS Security EMEA Mathieu Malaise Direction technique et sécurité.
Bulletins de Sécurité Microsoft
Bulletins de Sécurité Microsoft Novembre 2011 Bruno Sorcelle Technical Account Manager.
Bulletins de Sécurité Microsoft - mars 2008 Microsoft France Direction Technique et Sécurité.
Bulletins de Sécurité Microsoft
Ressources pour la gestion des mises à jour de sécurité
Bulletin de sécurité hors cycle Microsoft – 12 décembre 2008 Jean Gautier CSS Security EMEA IR Team Jérôme Leseinne CSS Security EMEA IR Team Mathieu Malaise.
Bulletins de Sécurité Microsoft 2 Aout 2010 – Hors Cycle Jean Gautier, Ramin Barreto CSS Security EMEA Bruno Sorcelle, Valéry Kremer Technical Account.
Bulletin de sécurité Microsoft 31 Mars 2010 – Hors Cycle Jean Gautier CSS Security EMEA Bruno Sorcelle & Valéry Kremer Technical Account Manager.
Sécurité et confidentialité dans Microsoft Internet Explorer William Keener Développement de contenu Global Service Automation Microsoft Corporation.
Bulletins de Sécurité Microsoft Septembre 2011 Bruno Sorcelle, Valéry Kremer Technical Account Manager.
Table Ronde Bulletins de Sécurité
Bulletins de Sécurité Microsoft Juillet 2011
Bulletins de Sécurité Microsoft Septembre 2014 Table Ronde Bulletins de Sécurité Début à 14h30 Microsoft France Patrick Chuzel CSS Security EMEA Pascal.
Publication Bulletin de sécurité hors cycle MS Révision Bulletin de sécurité MS
22 Retour d’expérience sur le ver Conficker 8 février 2010 Jean Gautier Security Support Engineer Microsoft France.
Table Ronde Bulletins de Sécurité
Bulletins de Sécurité Microsoft Mai 2013 Table Ronde des Bulletins de Sécurité Microsoft France Patrick Chuzel, Philippe Vialle CSS Security EMEA Bruno.
Bulletins de Sécurité Microsoft
Table Ronde Bulletins de Sécurité
Table Ronde Bulletins de Sécurité Juin Avis de SécuritéRévisions Autre contenu Cycle de vie des produits Annexes Manageability Tools Reference Ressources.
Bulletins de Sécurité Microsoft Octobre 2013 Table Ronde des Bulletins de Sécurité Début à 14h30 Microsoft France Patrick Chuzel, Philippe Vialle CSS Security.
Bulletins de Sécurité Microsoft Juillet 2014 Table Ronde Bulletins de Sécurité Début à 14h30 Microsoft France Patrick Chuzel CSS Security EMEA Pascal d’Ornano.
Bulletins de Sécurité Microsoft Mars 2013 Patrick Chuzel, Philippe Vialle CSS Security EMEA Bruno Sorcelle Senior Technical Account Manager.
Bulletins de Sécurité Microsoft Juin 2014 Table Ronde Bulletins de Sécurité Début à 14h30 Microsoft France Patrick Chuzel CSS Security EMEA Pascal d’Ornano.
Bulletin de sécurité Microsoft Janvier 2010 Jean Gautier CSS Security EMEA Bruno Sorcelle Technical Account Manager.
Table Ronde Bulletins de Sécurité Septembre 2015.
Bulletins de Sécurité Microsoft avril 2007 (publication hors cycle) 4 avril 2007 Microsoft France Direction Technique et Sécurité.
Bulletins de Sécurité Microsoft Décembre 2011 Ramin Barreto – Patrick Chuzel – Pascal Wodtke - Philippe Vialle CSS Security EMEA Bruno Sorcelle – Ahmed.
Bulletins de Sécurité Microsoft - janvier 2008 Microsoft France Direction Technique et Sécurité.
Bulletins de sécurité Microsoft Mai 2009 Jean Gautier CSS Security EMEA Mathieu Malaise Direction technique et sécurité.
Bulletins de sécurité Microsoft Juin 2009 Jean Gautier CSS Security EMEA Mathieu Malaise Direction technique et sécurité.
Bulletins de Sécurité Microsoft Mars 2011 Jean Gautier, Ramin Barreto CSS Security EMEA Bruno Sorcelle, Valéry Kremer Technical Account Manager.
Bulletins de Sécurité Microsoft - Juillet 2008 Microsoft France Direction technique et sécurité.
Bulletins de Sécurité Microsoft Juillet 2010 Jean Gautier, Ramin Barreto CSS Security EMEA Bruno Sorcelle, Valéry Kremer Technical Account Manager.
Bulletins de sécurité Microsoft Mars 2010 Jean Gautier CSS Security EMEA Bruno Sorcelle, Valéry Kremer Technical Account Manager.
Bulletins de Sécurité Microsoft Octobre 2011 Bruno Sorcelle Technical Account Manager.
Bulletin de Sécurité Microsoft 21 Septembre 2012 – Hors-Cycle Patrick Chuzel, Philippe Vialle CSS Security EMEA Bruno Sorcelle Technical Account Manager.
Bulletins de Sécurité Microsoft avril avril 2007 M France Direction Technique et Sécurité.
Bulletins de Sécurité Microsoft Janvier 2012 Ramin Barreto – Patrick Chuzel – Philippe Vialle CSS Security EMEA Bruno Sorcelle – Ahmed Neggaz Technical.
Bulletins de Sécurité Microsoft juillet juillet 2007 Microsoft France Direction Technique et Sécurité.
Bulletins de sécurité Microsoft Février 2010 Jean Gautier CSS Security EMEA Bruno Sorcelle, Valéry Kremer Technical Account Manager.
Bulletins de Sécurité Microsoft juin avril 2007 Microsoft France Direction Technique et Sécurité.
Table Ronde Bulletins de Sécurité MS Bulletin de sécurité hors cycle.
Table Ronde Bulletins de Sécurité Octobre Avis de SécuritéRévisions Autre contenu Cycle de vie des produits Annexes Manageability Tools Reference.
Table Ronde Bulletins de Sécurité Décembre Avis de SécuritéRévisions Autre contenu Cycle de vie des produits Annexes Manageability Tools Reference.
Table Ronde Bulletins de Sécurité Janvier Avis de SécuritéRevisions Autre contenu Cycle de vie des produits Annexes Manageability Tools Reference.
Table Ronde Bulletins de Sécurité Février Avis de SécuritéRevisions Autre contenu Cycle de vie des produits Annexes Manageability Tools Reference.
Table Ronde Bulletins de Sécurité Mars Avis de SécuritéRevisions Autre contenu Cycle de vie des produits Annexes Manageability Tools Reference Ressources.
Table Ronde Bulletins de Sécurité Hors-Cycle Mars 2016.
Table Ronde Bulletins de Sécurité Avril Avis de SécuritéRevisions Autre contenu Cycle de vie des produits Annexes Manageability Tools Reference.
Transcription de la présentation:

Bulletins de Sécurité Microsoft Mai 2014 Hors Cycle Table Ronde du Bulletin de Sécurité Hors Cycle Début à 14h00 Microsoft France Patrick Chuzel CSS Security EMEA François Goupil Pascal d’Ornano Senior Technical Account Managers

Agenda Mai 2014 Nouveaux Bulletins de Sécurité 1 Critique 0 Important 0 Avis Mis à jour Autres Informations 0 Avis de Sécurité Questions / Réponses : Posez les dès maintenant !

Questions - Réponses À tout moment pendant la présentation, posez vos questions : 1.Ouvrez l’interface et cliquez dans sur l’espace messagerie instantanée 2.Précisez le numéro du Bulletin, entrez votre question

BulletinImpactComposantSévéritéPriorité Exploitabi lité Public MS14-021Exécution de code à distance IE Critique 11Oui Bulletin de Sécurité hors cycle Mai Possibilité de code d’exploitation fonctionnel | 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel | N/A - Non concerné | * Pas d’indice Index d’exploitabilité : 1 - Possibilité de code d’exploitation fonctionnel | 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel | N/A - Non concerné | * Pas d’indice

Mise à jour de sécurité pour Internet Explorer ( ) MS Mise à jour de sécurité pour Internet Explorer ( ) Logiciels Concernés: IE 6 pour Windows XP et Windows Server 2003 IE 7 pour Windows XP, Windows Server 2003, Windows Vista et Windows Server 2008 IE 8 pour Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2 IE 9 pour Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2 IE 10 pour Windows 7, Windows 2008 R2, Windows 8, Windows Server 2012 et Windows RT IE 11 pour Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012 R2 et Windows RT 8.1 Sévérité | Critique Priorité de Déploiement Mises à jour remplacées Problèmes connus 1 Aucun Oui - KB Nécessité de redémarrer Cette mise à jour nécessite un redémarrage Informations de désinstallation Utilisez l'outil Ajout/Suppression de programmes du Panneau de configuration Détections et déploiements WUMUMBSAWSUSITMUSCCM Cette mise à jour n’est pas cumulative et nécessite l’installation du bulletin MS Oui Les mises à jour pour Windows RT ne sont disponibles que via Microsoft Update et le Windows store

Mise à jour de sécurité pour Internet Explorer ( ) MS Mise à jour de sécurité pour Internet Explorer ( ) Cette mise à jour de sécurité corrige une vulnérabilité révélée publiquement dans Internet Explorer. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un utilisateur affichait une page Web spécialement conçue à l'aide d'une version affectée d'Internet Explorer. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur actuel. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur. Cette mise à jour de sécurité est de niveau « critique » pour Internet Explorer 6 (IE 6), Internet Explorer 7 (IE 7), Internet Explorer 8 (IE 8), Internet Explorer 9 (IE 9), Internet Explorer 10 (IE 10) et Internet Explorer 11 (IE 11) sur les clients Windows concernés, et de niveau « modéré » pour Internet Explorer 6 (IE 6), Internet Explorer 7 (IE 7), Internet Explorer 8 (IE 8), Internet Explorer 9 (IE 9), Internet Explorer 10 (IE 10) et Internet Explorer 11 (IE 11) sur les serveurs Windows concernés. Cette mise à jour de sécurité corrige la vulnérabilité décrite dans l'Avis de sécurité Microsoft , en modifiant la façon dont Internet Explorer traite les objets en mémoire. CVESévéritéImpact XI Dernière Version XI Version Antérieur XI DoSPublicExploité Avis de sécurité CVE CritiqueExécution de Code à distance11*Oui Index d’Exploitabilité : 1 - Possibilité de code d’exploitation fonctionnel | 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel | N/A - Non concerné | * Pas d’indice DoS :T = Temporaire | P = Permanent

Mise à jour de sécurité pour Internet Explorer ( ) MS Mise à jour de sécurité pour Internet Explorer ( ) Vecteurs d’Attaques Toutes un attaquant pourrait héberger un site Web spécialement conçu pour exploiter cette vulnérabilité via Internet Explorer, puis inciter un utilisateur à consulter ce site Web. L'attaquant pourrait également exploiter des sites Web compromis et des sites Web qui acceptent ou hébergent du contenu ou des annonces fournis par les utilisateurs. Ces sites Web pourraient contenir du code spécialement conçu pour exploiter cette vulnérabilité. Facteurs Atténuants Toutes L'attaquant n'aurait aucun moyen de forcer l'utilisateur à afficher le contenu contrôlé par l'attaquant. Par défaut, toutes les versions de Microsoft Outlook, Microsoft Outlook Express et Windows Mail en cours de support ouvrent les messages au format HTML dans la zone Sites sensibles. Par défaut, Internet Explorer sur Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 et Windows Server 2012 R2 s'exécute selon un mode restreint appelé Configuration de sécurité renforcée. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur. Contournement Toutes vulnérabilités Désinscription de VGX.DLL Définir les paramètres des zones Intranet local et Internet sur la valeur « Élevé » afin de bloquer les contrôles ActiveX et Active Scripting dans ces zones Configurer Internet Explorer de manière à ce qu'il désactive Active Scripting ou à ce qu'il vous avertisse avant de l'exécuter dans la zone de sécurité Intranet local et Internet et ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer Configurer EMET 4.0/4.1 Activer le mode protégé amélioré et les processus 64 bits pour le mode protégé amélioré (IE 10, IE11 seulement)

Quelles versions dois-je installer? Version d’Internet ExplorerDernière mise à jour cumulative Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, and Internet Explorer 9 sur toutes les versions supportées de Microsoft Windows MS Internet Explorer 10 sur toutes les versions supportées de Microsoft Windows MS (bien que ne concernant pas IE 10 au niveau sécurité, il s’agit tout de même d’une mise à jour pour IE10) Internet Explorer 11 pour Windows 7 et Windows Server 2008 R2 Pour la mise à jour : MS (MS n’est pas une mise à jour cumulative pour Internet Explorer 11) Pour la mise à jour : Internet Explorer 11 pour Windows 8.1, Windows Server 2012 R2 et Windows RT 8.1 Pour la mise à jour : MS (MS n’est pas une mise à jour cumulative pour Internet Explorer 11) Pour la mise à jour :

ANNEXES

Ressources relatives aux Bulletins de Sécurité Outils Microsoft Safety Scanner Même moteur que MSRT, mais avec jeu de signatures A/V complet Windows Defender Offline Outil A/V bootable offline avec jeu de signatures complet Conçu pour supprimer les rootkits et autres malwares qui ne sont pas toujours détectés par les programmes anti- malware Requiert le téléchargement d’un fichier ISO à graver sur CD, DVD ou clé USB Blogs MSRC Blog SRD Team Blog MMPC Team Blog MSRC Ecosystem Strategy Team Blog Mise à jour mensuelles des articles de référence supplémentaire Microsoft Exploitability Index KB Detection and deployment guidance for Microsoft Security Updates KB Description of Software Update Services and Windows Server Update Services changes in content The Microsoft Windows Malicious Software Removal Tool helps remove specific, prevalent malicious software

Informations légales L’OBJET DU PRESENT DOCUMENT EST DE VOUS FOURNIR L’INFORMATION QUE VOUS AVEZ DEMANDEE CONCERNANT LA SECURITE. GENERALEMENT, L’INFORMATION PROVOQUE UNE PRISE DE CONSCIENCE AUTOUR DE LA SECURITE ET IDENTIFIE LE PERSONNEL, LES PROCEDES, RESSOURCES ET TECHNOLOGIES QUI SONT DESTINES A PROMOUVOIR DE BONNES REGLES DE SECURITE DANS VOTRE ORGANISATION. LES VIRUS ET AUTRES TECHNOLOGIES NUISIBLES DESTINES A ATTAQUER VOTRE ENVIRONNEMENT INFORMATIQUE CHANGENT CONTINUELLEMENT AFIN DE CONTOURNER LES MESURES DE SECURITE EXISTANTES. DES LORS, MAINTENIR UN ENVIRONNEMENT INFORMATIQUE FIABLE EST UN PROCESSUS CONTINU QUI EXIGE QUE VOUS MAINTENIEZ UN PERSONNEL, DES PROCEDES, RESSOURCES ET Technologies ADEQUATS AFIN DE VOUS PROTEGER CONTRE TOUTE ATTEINTE A LA SECURITE. AUCUNE DISPOSITION CONTENUE DANS LES PRESENTES NE DOIT ETRE INTERPRETEE OU CONSIDEREE COMME UNE CERTIFICATION, UNE GARANTIE OU TOUTE AUTRE FORME DE VALIDATION QUE VOTRE ENVIRONNEMENT INFORMATIQUE EST ET DEMEURERA PROTEGE CONTRE DES ATTEINTES A LA SECURITE ET NOUS N’ASSUMONS AUCUNE RESPONSABILITE POUR TOUTE ATTEINTE A LA SECURITE OU TOUT DOMMAGE OU PERTE SUBSEQUENT. TOUTES COMMUNICATIONS OU TRANSMISSIONS D’INFORMATION QUI VOUS SONT ADRESSEES AU SUJET DE MICROSOFT ET CONCERNANT LA SECURITE INCLUANT NOTAMMENT TOUTES SUGGESTIONS, ANALYSES, OU COMMENTAIRES QUI VOUS SONT FOURNIS DURANT UNE ANALYSE RELATIVE A LA SECURITE OU TOUTE AUTRE INFORMATION PASSEE, PRESENTE OU FUTURE RELATIVE NOTAMMENT AUX TESTS DE SECURITE, EVALUATIONS, DISPONIBILITES, HORAIRES OU OBJECTIFS (CI-APRES COLLECTIVEMENT DENOMMES « INFORMATIONS SUR LA SECURITE »), SONT FOURNIS CONFORMEMENT AUX CONDITIONS DU CONTRAT DE SERVICE EXISTANT ENTRE VOUS ET MICROSOFT ET UNIQUEMENT AFIN DE VOUS PERMETTRE DE VOUS ORGANISER FACE A D’EVENTUELS PROBLEMES DE SECURITE. TOUTES LES INFORMATIONS SUR LA SECURITE CONTIENNENT TOUTES LES DONNEES QUI NOUS SONT ACTUELLEMENT ACCESSIBLES MAIS QUI SONT SUSCEPTIBLES DE CHANGER EN RAISON DU CHANGEMENT CONSTANT DE CES DONNEES SANS QUE MICROSOFT VOUS AIT PREALABLEMENT INFORME DE CES CHANGEMENTS. NOUS VOUS RECOMMANDONS DONC DE VERIFIER REGULIEREMENT AUPRES DE NOUS ET SUR LE SITE INTERNET DE SECURITE SITUE A L’ADRESSE SUIVANTE SI LES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES FONT L’OBJET DE MISES A JOUR. VEUILLEZ NOUS CONTACTER SI VOUS AVEZ D’AUTRES QUESTIONS CONCERNANT DES PROBLEMES DE SECURITE OU SI VOUS AVEZ BESOIN D’UNE MISE A JOUR DES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES. MERCI