Bulletins de Sécurité Microsoft Janvier 2012 Ramin Barreto – Patrick Chuzel – Philippe Vialle CSS Security EMEA Bruno Sorcelle – Ahmed Neggaz Technical Account Manager
Bienvenue ! Présentation des bulletins de Janvier Nouveaux bulletins de Sécurité 1 Critique 6 Importants 1 bulletin mis à jour Mises à jour Non relatives à la sécurité Informations connexes : Microsoft® Windows® Malicious Software* Removal Tool Autres informations Ressources Questions - Réponses : Envoyez dès maintenant ! * Malicious software (logiciel malveillant)
Questions - Réponses À tout moment pendant la présentation, posez vos questions : 1.Ouvrez l’interface et cliquez dans sur l’espace messagerie instantanée 2.Précisez le numéro du Bulletin, entrez votre question
BulletinN°ArticleLogicielAffectéComposantAffecté Indice de gravité Priorité de déploiement Max. Exploit Index Rating Révélé publiquem ent MS WindowsKernelImportant31Non MS WindowsWindows Object PackagerImportant21Non MS WindowsCSRSSImportant21Non MS WindowsDirectShow & Multimedia LibraryCritique11Non MS WindowsWindows PackagerImportant21Non MS WindowsSSL/TLSImportant23Oui MS WindowsAntiXSS LibraryImportant33Non Bulletins de Sécurité de Janvier Possibilité de code d’exploitation fonctionnel | 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel | * Non concerné Index d’exploitabilité : 1 - Possibilité de code d’exploitation fonctionnel | 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel | * Non concerné
MS : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS Une vulnérabilité dans le noyau Windows pourrait permettre un contournement du composant de sécurité ( ) Important Windows XP x64 Windows Server 2003 (Toutes les versions supportées) Windows Vista (Toutes les versions supportées) Windows Server 2008 (Toutes les versions supportées) Windows 7 (Toutes les versions supportées Windows Server 2008 R2 (Toutes les versions supportées)
MS : Une vulnérabilité dans le noyau Windows pourrait permettre un contournement du composant de sécurité ( ) - Important VulnérabilitéVulnérabilité de contournement de composant de sécurité CVE Vecteurs d'attaque possibles Une application spécialement conçue ImpactUn attaquant qui parviendrait à exploiter cette vulnérabilité pourrait contourner le composant de sécurité SafeSEH dans une application logicielle. Un attaquant pourrait alors utiliser d'autres vulnérabilités pour exploiter le gestionnaire d'exceptions structuré afin de faciliter une exécution de code arbitraire (sur une autre vulnérabilité d’un composant système) Facteurs atténuantsSeules les applications logicielles qui ont été compilées avec Microsoft Visual C++.NET 2003 peuvent être utilisées pour exploiter cette vulnérabilité. Contournement Recompiler le logiciel à l'aide d' une version plus récente de Microsoft Visual C++ (2005, 2008 ou 2010) Activer la protection SEHOP (Structured Exception Handling Overwrite Protection) Informations complémentaires Cette vulnérabilité n’a pas été révélée publiquement avant la publication de ce bulletin. À la publication de ce bulletin, Nous n'avons pas connaissance d'attaques ou de code d'exploitation
MS : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS Une vulnérabilité dans le Gestionnaire de liaisons Windows pourrait permettre l'exécution de code à distance ( ) Important Windows XP (Toutes les versions supportées) Windows Server 2003 (Toutes les versions supportées)
MS : Une vulnérabilité dans le Gestionnaire de liaisons Windows pourrait permettre l'exécution de code à distance ( ) - Important VulnérabilitéVulnérabilité d'exécution de code à distanceCVE Vecteurs d'attaque possibles Un fichier légitime avec un objet lié incorporé et un fichier exécutable spécialement conçu sur un partage réseau, un emplacement UNC ou WebDAV ImpactUn attaquant pourrait exécuter du code arbitraire dans le contexte de l'utilisateur connecté. Facteurs atténuantsPour qu'une attaque aboutisse, un utilisateur doit visiter l'emplacement d'un système de fichiers distant ou un partage WebDAV non fiable et ouvrir un fichier légitime. Le protocole de partage de fichiers, SMB (Server Message Block), est souvent désactivé sur le pare- feu de périmètre. Cela permet de limiter les vecteurs d'attaque potentiels pour cette vulnérabilité. Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté. ContournementDésactiver le service WebClient Bloquer les ports TCP 139 et 445 au niveau du pare-feu Enregistrer packager.exe avec un chemin complet Informations complémentaires Cette vulnérabilité n’a pas été révélée publiquement avant la publication de ce bulletin. À la publication de ce bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.
MS : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS Une vulnérabilité dans le processus CSRSS (Client-Server Run- time Subsystem) Windows pourrait permettre une élévation de privilèges ( ) Important Windows XP (Toutes les versions supportées) Windows Server 2003 (Toutes les versions supportées) Windows Vista (Toutes les versions supportées) Windows Server 2008 (Toutes les versions supportées)
MS : Une vulnérabilité dans le processus CSRSS (Client-Server Run-time Subsystem) Windows pourrait permettre une élévation de privilèges ( ) - Important VulnérabilitéVulnérabilité d'élévation de privilègesCVE Vecteurs d'attaque possibles Un attaquant doit d'abord ouvrir une session sur le système. L'attaquant pourra alors exécuter une application spécialement conçue ImpactUn attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Facteurs atténuantsUn attaquant doit disposer d'informations d'identification valides pour ouvrir une session localement ou à distance. Cette vulnérabilité peut être uniquement exploitée sur les systèmes dont les paramètres régionaux sont définis sur chinois, japonais ou coréen. ContournementMicrosoft n'a identifié aucune solution de contournement pour cette vulnérabilité. Informations complémentaires Cette vulnérabilité n’a pas été révélée publiquement avant la publication de ce bulletin. À la publication de ce bulletin, Nous n'avons pas connaissance d'attaques ou de code d'exploitation.
MS : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS Des vulnérabilités dans Windows Media pourraient permettre l'exécution de code à distance ( ) Critique Windows XP (Toutes les versions supportées) Windows XP Édition Media Center 2005 Service Pack 3 Windows Server 2003 (Toutes les versions supportées) Windows Vista (Toutes les versions supportées) Windows Server 2008 SP2 (Toutes les versions supportées) Windows 7 (Toutes les versions supportées) sauf pour la Multimédia Library Windows Server 2008 R2 (Toutes les versions supportées) sauf pour la Multimédia Library Pack TV Windows Media Center pour Windows Vista (Toutes les versions supportées)
MS : Des vulnérabilités dans Windows Media pourraient permettre l'exécution de code à distance ( ) - Critique VulnérabilitéVulnérabilités d’exécution de code à distanceCVE CVE Vecteurs d'attaque possibles Un site web spécialement conçu ImpactUn attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté. Facteurs atténuantsTout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Dans le cas d'une attaque Web, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Le fichier malveillant pourrait être envoyé en pièce jointe, mais l'attaquant devrait convaincre l'utilisateur d'ouvrir la pièce jointe. Dans le lecteur Windows Media 10, le lecteur Windows Media 11 et le lecteur Windows Media 12, les paramètres de sécurité du lecteur Windows Media bloquent l'affichage des sous-titres par défaut. (CVE ) ContournementDésactiver le traitement des fichiers MIDI (CVE ) Désactiver le filtre DirectShow Line21 (CVE ) Informations complémentaires Ces vulnérabilités n’ont pas été révélées publiquement avant la publication de ce bulletin. À la publication de ce bulletin, Nous n'avons pas connaissance d'attaques ou de code d'exploitation.
MS : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS Une vulnérabilité dans Microsoft Windows pourrait permettre l'exécution de code à distance ( ) Important Windows XP (Toutes les versions supportées) Windows Server 2003 (Toutes les versions supportées) Windows Vista (Toutes les versions supportées) Windows Server 2008 SP2 (Toutes les versions supportées) Windows 7 (Toutes les versions supportées) Windows Server 2008 R2 (Toutes les versions supportées)
MS : Une vulnérabilité dans Microsoft Windows pourrait permettre l'exécution de code à distance ( ) - Important VulnérabilitéVulnérabilité d’exécution de code à distanceCVE Vecteurs d'attaque possibles Un fichier Microsoft Office spécialement conçu ImpactCette vulnérabilité permet aux attaquants d'intégrer des programmes d'installation d'applications ClickOnce dans des documents Microsoft Office et d'exécuter du code sans intervention de l'utilisateur. Facteurs atténuantsLe fichier malveillant pourrait être envoyé en pièce jointe, mais l'attaquant devrait convaincre l'utilisateur d'ouvrir la pièce jointe. Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Pour pouvoir être déployés sur un réseau, le manifeste de déploiement et le manifeste d'application d'un déploiement ClickOnce doivent tous deux être signés avec un certificat numérique. ContournementSupprimer l'association de fichier.application Informations complémentaires Cette vulnérabilité n’a pas été révélée publiquement avant la publication de ce bulletin. À la publication de ce bulletin, Nous n'avons pas connaissance d'attaques ou de code d'exploitation.
MS : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS Une vulnérabilité dans SSL/TLS pourrait permettre la divulgation d'informations ( ) Important Windows XP (Toutes les versions supportées) Windows Server 2003 (Toutes les versions supportées) Windows Vista (Toutes les versions supportées) Windows Server 2008 SP2 (Toutes les versions supportées) Windows 7 (Toutes les versions supportées) Windows Server 2008 R2 (Toutes les versions supportées) Concerne l'Avis de sécurité Microsoft
MS : Une vulnérabilité dans SSL/TLS pourrait permettre la divulgation d'informations ( ) - Important VulnérabilitéVulnérabilité de divulgation d'informationsCVE Vecteurs d'attaque possibles Par écoute réseau, un attaquant pourrait espionner un trafic chiffré (avec CBC) à l’insu des protagonistes. ImpactUn attaquant qui surveille une communication chiffrée et qui réussit à exploiter cette vulnérabilité pourrait déchiffrer le trafic chiffré intercepté. Facteurs atténuantsTLS 1.1, TLS 1.2 et toutes les suites de code qui n'utilisent pas le mode CBC ne sont pas affectées. Forcer RC4 sur les serveurs. ContournementHiérarchiser l'algorithme RC4 dans le logiciel serveur sur les systèmes qui exécutent Windows Vista, Windows Server 2008, Windows 7 ou Windows Server 2008 R2 Activer TLS 1.1 et/ou 1.2 dans le logiciel client sur les systèmes qui exécutent Windows 7 ou Windows Server 2008 R2 Activer TLS 1.1 dans le logiciel serveur sur les systèmes qui exécutent Windows 7 ou Windows Server 2008 R2 Informations complémentaires Cette vulnérabilité a été révélée publiquement avant la publication de ce bulletin. À la publication de ce bulletin, Nous n'avons pas connaissance d'attaques mais nous avons connaissance de code d'exploitation.
MS : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS Une vulnérabilité dans la bibliothèque Anti- XSS pourrait permettre la divulgation d'informations ( ) Important Bibliothèque Anti-Cross Site Scripting V3.x et bibliothèque Anti-Cross Site Scripting V4.0 de Microsoft
MS : Une vulnérabilité dans la bibliothèque Anti-XSS pourrait permettre la divulgation d'informations ( ) - Important VulnérabilitéVulnérabilité de divulgation d'informationsCVE Vecteurs d'attaque possibles Un attaquant pourrait envoyer un fichier HTML spécialement conçu à un site Web cible qui utilise le module de nettoyage de la bibliothèque Anti-XSS. ImpactUn attaquant qui parviendrait à exploiter cette vulnérabilité pourrait effectuer une attaque de script inter-sites (cross-site scripting ou XSS) sur un site Web qui utilise la bibliothèque Anti-XSS pour nettoyer les fichiers HTML fournis par l'utilisateur. Il pourrait alors transmettre un script malveillant via une fonction de nettoyage et exposer ainsi des informations ne devant pas être révélées. Facteurs atténuantsSeuls les sites qui utilisent le module de nettoyage de la bibliothèque Anti-XSS sont concernés par cette vulnérabilité. ContournementMicrosoft n'a identifié aucune solution de contournement pour cette vulnérabilité. Informations complémentaires Cette vulnérabilité n’a pas été révélée publiquement avant la publication de ce bulletin. À la publication de ce bulletin, Nous n'avons pas connaissance d'attaques ou de code d'exploitation.
Bulletin mis à jour
MS Oui MS MS MS MS MS MS Non OuiNon Détection et déploiement
Informations de mise à jour BulletinRedémarrage requisDésinstallationRemplace MS Oui Aucun MS PossibleOuiAucun MS Oui MS MS Oui MS MS PossibleOuiAucun MS Oui MS10-049, MS10-085, MS MS PossibleOuiAucun
Janvier Mises à jour Non relatives à la sécurité ArticleTitleDistribution KB905866Update for Windows Mail Junk Filter The January 2012 release of the Windows Mail Junk Filter Catalog, AU, WSUS KB890830Windows Malicious Software Removal Tool The January 2012 release of the Windows Malicious Software Removal Tool Catalog, AU, WSUS KB Update for Windows 7, Windows Server 2008 R2, Windows Server 2008, Windows Vista, Windows Server 2003, and Windows XP Install this update to resolve issues in Windows. After you install this item, you may have to restart your computer. Catalog, AU, WSUS KB Update for Windows Server 2008 R2 x64 Edition Install this update to resolve issues in Windows Hyper-V. After you install this item, you may have to restart your computer. Catalog, AU, WSUS Info: KB Description of Software Update Services and Windows Server Update Services changes in content for
Windows Malicious Software Removal Tool Ajoute la possibilité de supprimer :Win32/Sefnit A prevalent Trojan downloader with configurable payload controlled by a set of remote hosts Disponible en tant que mise à jour prioritaire sous Windows Update et Microsoft Update Disponible par WSUS 3.0 Disponible en téléchargement à l'adresse suivante :
Après le 10 janvier 2012 les produits ou Service Pack suivants ne sont plus supportés : SQL Server 2005 Service Pack 3 SQL Server 2005 Service Pack 3 Dynamics AX 3.0 Dynamics AX 3.0 Host Integration Server 2000 Host Integration Server 2000 Content Management Server 2001 Content Management Server 2001 Windows XP Shared Computer Toolkit Windows XP Shared Computer Toolkit Pour rappel…
Ressources Synthèse des Bulletins de sécurité Bulletins de sécurité Webcast des Bulletins de sécurité Avis de sécurité Abonnez-vous à la synthèse des Bulletins de sécurité (en français) Blog du MSRC (Microsoft Security Response Center) Microsoft France sécurité TechNet sécurité
Informations légales L’OBJET DU PRESENT DOCUMENT EST DE VOUS FOURNIR L’INFORMATION QUE VOUS AVEZ DEMANDEE CONCERNANT LA SECURITE. GENERALEMENT, L’INFORMATION PROVOQUE UNE PRISE DE CONSCIENCE AUTOUR DE LA SECURITE ET IDENTIFIE LE PERSONNEL, LES PROCEDES, RESSOURCES ET TECHNOLOGIES QUI SONT DESTINES A PROMOUVOIR DE BONNES REGLES DE SECURITE DANS VOTRE ORGANISATION. LES VIRUS ET AUTRES TECHNOLOGIES NUISIBLES DESTINES A ATTAQUER VOTRE ENVIRONNEMENT INFORMATIQUE CHANGENT CONTINUELLEMENT AFIN DE CONTOURNER LES MESURES DE SECURITE EXISTANTES. DES LORS, MAINTENIR UN ENVIRONNEMENT INFORMATIQUE FIABLE EST UN PROCESSUS CONTINU QUI EXIGE QUE VOUS MAINTENIEZ UN PERSONNEL, DES PROCEDES, RESSOURCES ET Technologies ADEQUATS AFIN DE VOUS PROTEGER CONTRE TOUTE ATTEINTE A LA SECURITE. AUCUNE DISPOSITION CONTENUE DANS LES PRESENTES NE DOIT ETRE INTERPRETEE OU CONSIDEREE COMME UNE CERTIFICATION, UNE GARANTIE OU TOUTE AUTRE FORME DE VALIDATION QUE VOTRE ENVIRONNEMENT INFORMATIQUE EST ET DEMEURERA PROTEGE CONTRE DES ATTEINTES A LA SECURITE ET NOUS N’ASSUMONS AUCUNE RESPONSABILITE POUR TOUTE ATTEINTE A LA SECURITE OU TOUT DOMMAGE OU PERTE SUBSEQUENT. TOUTES COMMUNICATIONS OU TRANSMISSIONS D’INFORMATION QUI VOUS SONT ADRESSEES AU SUJET DE MICROSOFT ET CONCERNANT LA SECURITE INCLUANT NOTAMMENT TOUTES SUGGESTIONS, ANALYSES, OU COMMENTAIRES QUI VOUS SONT FOURNIS DURANT UNE ANALYSE RELATIVE A LA SECURITE OU TOUTE AUTRE INFORMATION PASSEE, PRESENTE OU FUTURE RELATIVE NOTAMMENT AUX TESTS DE SECURITE, EVALUATIONS, DISPONIBILITES, HORAIRES OU OBJECTIFS (CI-APRES COLLECTIVEMENT DENOMMES « INFORMATIONS SUR LA SECURITE »), SONT FOURNIS CONFORMEMENT AUX CONDITIONS DU CONTRAT DE SERVICE EXISTANT ENTRE VOUS ET MICROSOFT ET UNIQUEMENT AFIN DE VOUS PERMETTRE DE VOUS ORGANISER FACE A D’EVENTUELS PROBLEMES DE SECURITE. TOUTES LES INFORMATIONS SUR LA SECURITE CONTIENNENT TOUTES LES DONNEES QUI NOUS SONT ACTUELLEMENT ACCESSIBLES MAIS QUI SONT SUSCEPTIBLES DE CHANGER EN RAISON DU CHANGEMENT CONSTANT DE CES DONNEES SANS QUE MICROSOFT VOUS AIT PREALABLEMENT INFORME DE CES CHANGEMENTS. NOUS VOUS RECOMMANDONS DONC DE VERIFIER REGULIEREMENT AUPRES DE NOUS ET SUR LE SITE INTERNET DE SECURITE SITUE A L’ADRESSE SUIVANTE SI LES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES FONT L’OBJET DE MISES A JOUR. VEUILLEZ NOUS CONTACTER SI VOUS AVEZ D’AUTRES QUESTIONS CONCERNANT DES PROBLEMES DE SECURITE OU SI VOUS AVEZ BESOIN D’UNE MISE A JOUR DES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES.