Bulletins de Sécurité Microsoft juin avril 2007 Microsoft France Direction Technique et Sécurité
Bienvenue ! Présentation des bulletins de juin > Nouveaux bulletins de sécurité > Mise à jour non relatives à la sécurité Informations connexes > Webcast : Rapport sur les données de sécurité juillet à décembre 2006 > Windows Malicious Software Removal Tool > Informations concernant les Avis de sécurité > Modification de nos communications > Cycle de support produits - Expiration de support sécurité pour le public > Informations connexes importantes Ressources Questions - Réponses
Bulletins de Sécurité - juin 2007 Résumé Nouveaux bulletins de sécurité > Critique : 4 > Important : 1 > Modéré : 1
Questions - Réponses Vous pouvez poser vos questions à tout moment en indiquant le numéro du bulletin concerné et en utilisant le bouton “Poser une question”
Bulletins de Sécurité - juin 2007 Présentation NuméroTitreIndice de gravité maximal Produits affectés MS Des vulnérabilités dans Microsoft Visio pourraient permettre l’exécution de code à distance (927051) ImportantVisio 2002, 2003 MS Une vulnérabilité dans le package de sécurité Windows Schannel pourrait permettre l'exécution de code à distance (935840) CritiqueWindows 2000, Windows XP et Windows Server 2003 MS Une vulnérabilité dans Windows Vista pourrait entraîner la divulgation d'informations (931213) ModéréWindows Vista MS Mise à jour de sécurité cumulative pour Internet Explorer (933566) CritiqueToutes versions actuelles d'Internet Explorer sur toutes les versions de Microsoft Windows en cours de support MS Mise à jour de sécurité cumulative pour Outlook Express et Windows Mail (929123) CritiqueOutlook Express 6 sur Windows XP et Windows Server 2003, Windows Mail sur Windows Vista MS07-035Une vulnérabilité dans l'API Win32 pourrait permettre l'exécution de code à distance (935839) CritiqueWindows 2000, Windows XP et Windows Server 2003
Bulletins de Sécurité - avril 2007 Résumé des niveaux de criticité Numéro Internet Explorer 5.01 SP 4 Internet Explorer 6 SP 1 Internet Explorer 6 et 7 pour Windows Server 2003 SP1 et SP2 IE 6.0 pour Windows XP SP 2 IE 7.0 pour Windows XP SP2 et Windows Vista MS Critique ModéréCritique Windows 2000 SP4 Windows XP SP2 Windows Server 2003 SP1 Windows Server 2003 SP2 Windows Vista MS07-031ModéréCritiqueImportant- MS Modéré MS07-035Critique - Outlook Express 6 Windows Mail MS07-034ImportantCritique Visio 2002Visio 2003 MS07-030Important
MS – Important : Des vulnérabilités dans Microsoft Visio pourraient permettre l'exécution de code à distance (927051) VulnérabilitésDeux vulnérabilités d'exécution de code liées au traitement d'éléments de données malformés Vecteurs d'attaque possibles L'attaquant crée un document Visio spécifique L'attaquant poste le document sur un site Web ou l'envoie par L'attaquant persuade l'utilisateur de consulter le site Web ou d'ouvrir la pièce jointe ImpactExécution de code dans le contexte de l'utilisateur Facteurs atténuants L'utilisateur doit visiter un site malveillant manuellement ou en cliquant sur un lien dans un ou dans un message instantané. L'accès aux sites ne peut être automatisé. Limitations en vigueur sur le compte de l'utilisateur
MS – Critique : Une vulnérabilité dans le package de sécurité Windows Schannel pourrait permettre l'exécution de code à distance (935840) VulnérabilitéVulnérabilité d'exécution de code dans le traitement des signatures numériques envoyées par le serveur lors des établissements de session (handshake) SSL. Vecteurs d'attaque possibles L'attaquant crée une page Web malveillante. L'attaquant poste la page sur un site Web ou l'envoie par au format HTML L'attaquant persuade l'utilisateur de consulter le site Web ou d'ouvrir l' ImpactExécution de code dans le contexte du système local (LocalSystem) Facteurs atténuants L'utilisateur doit visiter un site malveillant manuellement ou en cliquant sur un lien dans un ou dans un message instantané. L'accès aux sites ne peut être automatisé. Déni de service sur Windows 2000, Windows Server 2003
MS Modéré : Une vulnérabilité dans Windows Vista pourrait entraîner la divulgation d'informations (931213) VulnérabilitéDivulgation d'informations liée aux permissions par défaut sur certaines banques d'informations utilisateur dans le registre et sur le système de fichiers local Vecteurs d'attaque possibles L'attaquant ouvre une session locale au niveau terminal ou console L'attaquant accède à l'information dans le registre et sur le système de fichiers local ImpactDivulgation d'informations Facteurs atténuants L'utilisateur doit ouvrir une session locale au niveau terminal ou console Informations connexes Les scénarios de mise à niveau peuvent présenter plus de risque du fait des informations enregistrées lors du processus.
MS Critique : Mise à jour de sécurité cumulative pour Internet Explorer (933566) VulnérabilitésSix vulnérabilités, cinq vulnérabilités d'exécution de code, une vulnérabilité d'usurpation de contenu Vecteurs d'attaque possibles L'attaquant crée une page Web malveillante. L'attaquant poste la page sur un site Web ou l'envoie par au format HTML L'attaquant persuade l'utilisateur de consulter le site Web ou d'ouvrir l' ImpactExécution de code dans le contexte de l'utilisateur Facteurs atténuants Limitations en vigueur sur le compte de l'utilisateur La vulnérabilité ne peut être exploitée automatiquement. L'utilisateur doit visiter un site malveillant manuellement ou en cliquant sur un lien dans un ou dans un message instantané. Par défaut, dans toutes les versions de Microsoft Outlook et d'Outlook Express prises en charge, les messages au format HTML sont ouverts dans la zone Sites sensibles. Sur Windows Server 2003, la Configuration de sécurité améliorée d'Internet Explorer aide à réduire ce risque en modifiant de nombreux paramètres liés à la sécurité. Informations connexes Vulnérabilité d'usurpation de contenu liée à la page Navigation annulée - CVE , révélée publiquement Définit les kill bits pour la vulnérabilité de corruption de la mémoire d'un contrôle vocal - CVE
MS Critique : Mise à jour de sécurité cumulative pour Outlook Express et Windows Mail (929123) VulnérabilitésTrois vulnérabilités de divulgation d'informations et une vulnérabilité d'exécution de code Vecteurs d'attaque possibles L'attaquant crée une page Web malveillante. L'attaquant poste la page sur un site Web ou l'envoie par au format HTML L'attaquant persuade l'utilisateur de consulter le site Web ou d'ouvrir l' ImpactExécution de code dans le contexte de l'utilisateur Facteurs atténuants Limitations en vigueur sur le compte de l'utilisateur La vulnérabilité ne peut être exploitée automatiquement. L'utilisateur doit visiter un site malveillant manuellement ou en cliquant sur un lien dans un ou dans un message instantané. Sur Windows Server 2003, la Configuration de sécurité améliorée d'Internet Explorer aide à réduire ce risque en modifiant de nombreux paramètres liés à la sécurité.
MS — Critique : Une vulnérabilité dans l'API Win32 pourrait permettre l'exécution de code à distance (935839) VulnérabilitéVulnérabilité d'exécution de code liée à une validation incorrecte des paramètres lors de l'appel à une fonction de l'API Win32 Vecteurs d'attaque possibles L'attaquant crée une page Web malveillante. L'attaquant poste la page sur un site Web ou l'envoie par au format HTML L'attaquant persuade l'utilisateur de consulter le site Web ou d'ouvrir l' ImpactExécution de code dans le contexte de l'utilisateur Facteurs atténuants Limitations en vigueur sur le compte de l'utilisateur La vulnérabilité ne peut être exploitée automatiquement. L'utilisateur doit visiter un site malveillant manuellement ou en cliquant sur un lien dans un ou dans un message instantané. Par défaut, dans toutes les versions de Microsoft Outlook et d'Outlook Express prises en charge, les messages au format HTML sont ouverts dans la zone Sites sensibles. Sur Windows Server 2003, la Configuration de sécurité améliorée d'Internet Explorer aide à réduire ce risque en modifiant de nombreux paramètres liés à la sécurité. Le contrôle ActiveX n'est pas dans la liste « ActiveX Opt-in » d'Internet Explorer 7 : l'utilisateur doit explicitement accepter sa première exécution
Bulletins republiés MS : Republié pour inclure Windows Server 2003 SP2 en tant que produit affecté. > Les clients qui ont déployé MS avant d'installer le SP2 n'ont pas besoin de prendre de mesure supplémentaire. MS : Republié pour résoudre des problèmes identifiés dans l'Article de la Base de connaissances Microsoft. > Nos clients devraient utiliser la nouvelle version de la mise à jour sur les systèmes qui n'ont pas la mise à jour. > Nos clients devraient suivre les étapes présentées dans l'Article de la Base de connaissances Microsoft pour les systèmes qui ont la mise à jour originale installée.
Détection et déploiement WinUpdate, SUS, AutoUpdates Office Update et Outil d'inventaire des mises à jour d'Office pour SMS MBSA 1.2 et Outil d'inventaire des mises à jour de sécurité pour SMS (SUIT) Outil d'analyse des mises à jour pour entreprise (EST) et Outils d'analyse des mises à jour de sécurité SMS MSUpdate/WSUS/ AutoUpdates, Outil d'inventaire SMS 2003 et MBSA 2.0 MS OuiOui (local)NonOui MS Oui- NonOui MS Oui-Non Oui MS Oui- NonOui MS Oui-NonOui (Outlook Express 6 uniquement) Oui (Windows Mail uniquement) MS Oui- NonOui
Informations de mise à jour (suite) Bulletin Redémarrage requis HotPatchingDésinstallationRemplace MS Éventuel-OuiAucun. MS OuiNonOuiAucun. MS Oui- Aucun. MS OuiNonOuiMS MS Oui- Aucun. MS Oui- MS06-051
Mise à jour non relatives à la sécurité - juin 2007 NuméroTitreDistribution Mise à jour WindowsWinUpdate, MSUpdate Mise à jour WindowsWinUpdate, MSUpdate Mise à jour du filtre de courrier indésirable Outlook 2003MSUpdate Mise à jour du filtre de courrier indésirable Outlook 2003MSUpdate Outlook 2007 avec le gestionnaire de contactsMSUpdate Mise à jour pour Office 2007MSUpdate Mise à jour pour Office 2007MSUpdate Mise à jour pour Outlook 2007MSUpdate Mise à jour pour Microsoft Office System 2007MSUpdate
Rapport sur les données de sécurité juillet à décembre 2006 Rapport sur les données de sécurité, période de juillet à décembre 2006 Données et tendances identifiées dans le rapport de Vinny Gullotto > Téléchargez le rapport ici : E35DC3F26CFE
Windows Malicious Software Removal Tool Ajoute la possibilité de supprimer : > Win32/Allaple Disponible en tant que mise à jour prioritaire sous Windows Update et Microsoft Update pour les utilisateurs de Windows XP et Windows Vista. > Disponible par WSUS. Non disponible par SUS 1.0. Également disponible en téléchargement à
Informations concernant les Avis de sécurité Avis de sécurité Microsoft (927891) > Mise à jour de Windows Installer > Corrige plusieurs problèmes lors de l'application de mises à jour depuis Windows Update, Microsoft Update et les Mises à jour automatiques Avis de sécurité Microsoft (937696) > Environnement isolé de conversion Microsoft Office (Microsoft Office Isolated Conversion Environment - MOICE) > Possibilité de restreindre les types de fichiers pouvant être ouverts ou sauvegardés dans Microsoft Office 2003 et Microsoft Office System 2007 Appelé également « file block » > Outils pouvant être utilisés en association afin d'aider à se protéger contre les fichiers Microsoft Office malveillants
Modification de nos communications Ajout d'informations dans le préavis des Bulletins > Les informations sont maintenant fournies par bulletin Nouveau format des Bulletins de sécurité > Résultat du travail continu avec nos clients > Déplacement de certain contenu afin d'en améliorer la lisibilité > Aider à la compréhension des informations > Éliminer la répétition d'informations
Cycle de support produits - Expiration de support sécurité pour le public Windows Server 2003 RTM (SP0) arrivé à expiration avec la publication d'avril 2007 > Windows Server 2003 SP1 et SP2 pris en charge 10 juillet 2007 > Software Update Services 1.0 WSUS 2.0 et 3.0 pris en charge > SQL Server 2000 Service Pack 3a SQL Server 2000 Service Pack 4 pris en charge > SQL Server 2005 RTM (SP0) SQL Server 2005 SP1 pris en charge
Informations connexes importantes Le support pour MBSA expire le 9 octobre 2007 > Utilisez Shavlik NetChk Limited pour les produits anciens non pris en charge par MBSA Windows Server 2003 SP2 sera disponible par les Mises à jour automatiques à partir du 12 juin 2007 > Informations (et outil pour empêcher son déploiement) disponible ici :
Ressources Webcast des bulletins de sécurité de juillet 2007 Résumé des bulletins de sécurité Bulletins de sécurité Programme de conseils sécurité Microsoft : Glossaire Avis de sécurité Blog du MSRC (Microsoft Security Response Center) Notifications TechNet Radio (en anglais) Microsoft France sécurité Lettre d'information mensuelle TechNet sécurité
Informations légales L’OBJET DU PRESENT DOCUMENT EST DE VOUS FOURNIR L’INFORMATION QUE VOUS AVEZ DEMANDEE CONCERNANT LA SECURITE. GENERALEMENT, L’INFORMATION PROVOQUE UNE PRISE DE CONSCIENCE AUTOUR DE LA SECURITE ET IDENTIFIE LE PERSONNEL, LES PROCEDES, RESSOURCES ET TECHNOLOGIES QUI SONT DESTINES A PROMOUVOIR DE BONNES REGLES DE SECURITE DANS VOTRE ORGANISATION. LES VIRUS ET AUTRES TECHNOLOGIES NUISIBLES DESTINES A ATTAQUER VOTRE ENVIRONNEMENT INFORMATIQUE CHANGENT CONTINUELLEMENT AFIN DE CONTOURNER LES MESURES DE SECURITE EXISTANTES. DES LORS, MAINTENIR UN ENVIRONNEMENT INFORMATIQUE FIABLE EST UN PROCESSUS CONTINU QUI EXIGE QUE VOUS MAINTENIEZ UN PERSONNEL, DES PROCEDES, RESSOURCES ET TECHNOLOGIES ADEQUATS AFIN DE VOUS PROTEGER CONTRE TOUTE ATTEINTE A LA SECURITE. AUCUNE DISPOSITION CONTENUE DANS LES PRESENTES NE DOIT ETRE INTERPRETEE OU CONSIDEREE COMME UNE CERTIFICATION, UNE GARANTIE OU TOUTE AUTRE FORME DE VALIDATION QUE VOTRE ENVIRONNEMENT INFORMATIQUE EST ET DEMEURERA PROTEGE CONTRE DES ATTEINTES A LA SECURITE ET NOUS N’ASSUMONS AUCUNE RESPONSABILITE POUR TOUTE ATTEINTE A LA SECURITE OU TOUT DOMMAGE OU PERTE SUBSEQUENT. TOUTES COMMUNICATIONS OU TRANSMISSIONS D’INFORMATION QUI VOUS SONT ADRESSEES AU SUJET DE MICROSOFT ET CONCERNANT LA SECURITE INCLUANT NOTAMMENT TOUTES SUGGESTIONS, ANALYSES, OU COMMENTAIRES QUI VOUS SONT FOURNIS DURANT UNE ANALYSE RELATIVE A LA SECURITE OU TOUTE AUTRE INFORMATION PASSEE, PRESENTE OU FUTURE RELATIVE NOTAMMENT AUX TESTS DE SECURITE, EVALUATIONS, DISPONIBILITES, HORAIRES OU OBJECTIFS (CI-APRES COLLECTIVEMENT DENOMMES « INFORMATIONS SUR LA SECURITE »), SONT FOURNIS CONFORMEMENT AUX CONDITIONS DU CONTRAT DE SERVICE EXISTANT ENTRE VOUS ET MICROSOFT ET UNIQUEMENT AFIN DE VOUS PERMETTRE DE VOUS ORGANISER FACE A D’EVENTUELS PROBLEMES DE SECURITE. TOUTES LES INFORMATIONS SUR LA SECURITE CONTIENNENT TOUTES LES DONNEES QUI NOUS SONT ACTUELLEMENT ACCESSIBLES MAIS QUI SONT SUSCEPTIBLES DE CHANGER EN RAISON DU CHANGEMENT CONSTANT DE CES DONNEES SANS QUE MICROSOFT VOUS AIT PREALABLEMENT INFORME DE CES CHANGEMENTS. NOUS VOUS RECOMMANDONS DONC DE VERIFIER REGULIEREMENT AUPRES DE NOUS ET SUR LE SITE INTERNET DE SECURITE SITUE A L’ADRESSE SUIVANTE SI LES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES FONT L’OBJET DE MISES A JOUR. VEUILLEZ NOUS CONTACTER SI VOUS AVEZ D’AUTRES QUESTIONS CONCERNANT DES PROBLEMES DE SECURITE OU SI VOUS AVEZ BESOIN D’UNE MISE A JOUR DES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES.