Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parClaude Roussel Modifié depuis plus de 9 années
1
Bulletins de Sécurité Microsoft Décembre 2011 Ramin Barreto – Patrick Chuzel – Pascal Wodtke - Philippe Vialle CSS Security EMEA Bruno Sorcelle – Ahmed Neggaz Technical Account Manager
2
Bienvenue ! Présentation des bulletins de Décembre 2011 13 Nouveaux bulletins de Sécurité 3 Critiques 10 Importants Mises à jour Non relatives à la sécurité Informations connexes : Microsoft® Windows® Malicious Software* Removal Tool Autres informations Ressources Questions - Réponses : Envoyez dès maintenant ! * Malicious software (logiciel malveillant)
3
Questions - Réponses À tout moment pendant la présentation, posez vos questions : 1.Ouvrez l’interface et cliquez dans sur l’espace messagerie instantanée 2.Précisez le numéro du Bulletin, entrez votre question
4
BulletinN°ArticleLogicielAffectéComposantAffecté Indice de gravité Priorité de déploiement Max. Exploit Index Rating Révélé publiquem ent MS11-087 2639417 WindowsKernel-Mode DriversCritique11Oui MS11-088 2652016 OfficeIMEImportant31Non MS11-089 2590602 Office Important21Non MS11-090 2618451 WindowsActiveXCritique21Non MS11-091 2607702 OfficePublisherImportant21Oui MS11-092 2648048 WindowsWindows MediaCritique11Non MS11-093 2624667 WindowsOLEImportant31Non MS11-094 2639142 OfficePowerPointImportant21Non MS11-095 2640045 WindowsActive DirectoryImportant21Non MS11-096 2640241 OfficeExcelImportant21Non MS11-097 2620712 WindowsCSRSSImportant31Non MS11-098 2633171 WindowsWindows KernelImportant31Non MS11-099 2618444 WindowsInternet ExplorerImportant21Oui Bulletins de Sécurité de Décembre 2011 1 - Possibilité de code d’exploitation fonctionnel | 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel | * Non concerné Index d’exploitabilité : 1 - Possibilité de code d’exploitation fonctionnel | 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel | * Non concerné
5
MS11-087 : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS11-087 Une vulnérabilité dans les pilotes en mode noyau de Windows pourrait permettre l'exécution de code à distance (2639417) Critique Windows XP (Toutes les versions supportées) Windows Server 2003 (Toutes les versions supportées) Windows Vista (Toutes les versions supportées) Windows Server 2008 (Toutes les versions supportées) Windows 7 (Toutes les versions supportées Windows Server 2008 R2 (Toutes les versions supportées) Corrige l’Avis de sécurité Microsoft 2639658 concernant les polices TrueType intégrés et leurs utilisation par le malware Duqu
6
MS11-087 : Une vulnérabilité dans les pilotes en mode noyau de Windows pourrait permettre l'exécution de code à distance (2639417) - Critique VulnérabilitéVulnérabilité d’exécution de code à distanceCVE-2011-3402 Vecteurs d'attaque possibles Un document spécialement conçu Une application spécialement conçue Une page web spécialement conçue ImpactUn attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire en mode noyau. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de droits administratifs complets. Facteurs atténuantsDans le cas d'une attaque Web, l'attaquant devrait héberger un site Web qui contiendrait une page Web spécialement conçue pour exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Par défaut, toutes les versions de Microsoft Outlook, Microsoft Outlook Express et de Windows Mail en cours de support ouvrent les messages au format HTML dans la zone Sites sensibles, ce qui, par défaut, désactive le téléchargement des polices. En cliquant sur un lien figurant dans un message électronique, l'utilisateur s'expose toujours à une attaque Web exploitant cette vulnérabilité. Cette vulnérabilité pourrait également être exploitée si un utilisateur ouvrait une pièce jointe à un message électronique. Contournement Interdire l'accès à T2EMBED.DLL Informations complémentaires Cette vulnérabilité a été révélée publiquement avant la publication de ce bulletin. À la publication de ce Bulletin, nous avons connaissance d'attaques limitées et ciblées.
7
MS11-088 : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS11-088 Une vulnérabilité dans l'Éditeur IME Microsoft Office (version en chinois) pourrait permettre une élévation de privilèges (2652016) Important Éditeur IME Pinyin Microsoft 2010 (version 32 bits) Éditeur IME Pinyin Microsoft 2010 (version 64 bits) Microsoft Office Pinyin SimpleFast Style 2010 et Microsoft Office Pinyin New Experience Style 2010 (version 32 bits) Microsoft Office Pinyin SimpleFast Style 2010 et Microsoft Office Pinyin New Experience Style 2010 (version 64 bits)
8
MS11-088 : Une vulnérabilité dans l'Éditeur IME Microsoft Office (version en chinois) pourrait permettre une élévation de privilèges (2652016) - Important VulnérabilitéVulnérabilité d’élévation de privilègesCVE-2011-2010 Vecteurs d'attaque possibles Pour exploiter cette vulnérabilité, un attaquant doit d'abord ouvrir une session sur le système. L'attaquant pourrait alors effectuer des actions spécifiques en utilisant la barre d'outils de l'Éditeur IME Pinyin Microsoft pour lancer Internet Explorer avec des privilèges de niveau système. L'attaquant pourrait ensuite exécuter un programme avec des privilèges de niveau système. ImpactUn attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire en mode noyau. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de droits administratifs complets. Facteurs atténuantsPour exploiter cette vulnérabilité, l'attaquant doit disposer d'informations d'identification valides pour ouvrir une session en local. Cette vulnérabilité ne peut pas être exploitée à distance ou par des utilisateurs anonymes. Seules les implémentations de l'Éditeur IME Pinyin Microsoft 2010 sont affectées par cette vulnérabilité. ContournementMicrosoft n'a identifié aucune solution de contournement pour cette vulnérabilité. Informations complémentaires Cette vulnérabilité n’a pas été révélée publiquement avant la publication de ce bulletin. À la publication de ce bulletin, Nous n'avons pas connaissance d'attaques ou de code d'exploitation.
9
MS11-089 : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS11-089 Une vulnérabilité dans Microsoft Office pourrait permettre l'exécution de code à distance (2590602) Important Office 2007 SP2 Office 2007 SP3 Office 2010 éditions 32 bits (Toutes les versions supportées) Office 2010 éditions 64 bits (Toutes les versions supportées) Office 2011 pour Mac
10
MS11-089 : Une vulnérabilité dans Microsoft Office pourrait permettre l'exécution de code à distance (2590602) - Important VulnérabilitéVulnérabilité d’exécution de code à distanceCVE-2011-1983 Vecteurs d'attaque possibles L'exploitation de cette vulnérabilité nécessite qu'un utilisateur ouvre un fichier Word spécialement conçu à l'aide d'une version affectée de Microsoft Word. ImpactUn attaquant pourrait exécuter du code arbitraire dans le contexte de l'utilisateur connecté. Facteurs atténuantsDans le cas d'une attaque Web, l'attaquant doit héberger un site Web contenant un fichier Word conçu pour exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. La vulnérabilité ne peut pas être exploitée automatiquement par le biais des messages électroniques. Pour qu'une attaque aboutisse, il faut que l'utilisateur ouvre la pièce jointe du message électronique correspondant. Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté. ContournementNe pas ouvrir de fichiers Office provenant de sources non fiables ou reçus de sources fiables de manière inattendue Informations complémentaires Cette vulnérabilité n’a pas été révélée publiquement avant la publication de ce bulletin. À la publication de ce bulletin, Nous n'avons pas connaissance d'attaques ou de code d'exploitation.
11
MS11-090 : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS11-090 Mise à jour de sécurité cumulative pour les kill bits ActiveX (2618451) Critique Windows XP (Toutes les versions supportées) Windows Server 2003 (Toutes les versions supportées) Windows Vista (Toutes les versions supportées) Windows Server 2008 SP2 (Toutes les versions supportées) Windows 7 (Toutes les versions supportées) Windows Server 2008 R2 (Toutes les versions supportées)
12
MS11-090 : Mise à jour de sécurité cumulative pour les kill bits ActiveX (2618451) - Critique VulnérabilitéVulnérabilité d’exécution de code à distance dans le composant Microsoft Time CVE-2011-3397 Vecteurs d'attaque possibles Un site web spécialement conçu ImpactUn attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté. Facteurs atténuantsDans le cas d'une attaque Web, l'attaquant devrait héberger un site Web qui contiendrait une page Web spécialement conçue pour exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté. Internet Explorer 7, Internet Explorer 8 et Internet Explorer 9 ne sont pas concernés par cette vulnérabilité. ContournementDésactiver le comportement temporel dans Windows XP et Windows Server 2003 Empêcher les comportements binaires d'être utilisés dans Internet Explorer Informations complémentaires Cette vulnérabilité n’a pas été révélée publiquement avant la publication de ce bulletin. À la publication de ce bulletin, Nous n'avons pas connaissance d'attaques ou de code d'exploitation. Cette mise à jour comprend des kill bits permettant d'empêcher l'exécution des contrôles ActiveX suivants dans Internet Explorer : Dell IT Assistant HP Easy Printer Care Software HP Photo Creative Yahoo! CD Player
13
MS11-091 : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS11-091 Des vulnérabilités dans Microsoft Publisher pourraient permettre l'exécution de code à distance (2607702) Important Publisher 2003 SP3 Publisher 2007 SP2 Publisher 2007 SP3
14
MS11-091 : Des vulnérabilités dans Microsoft Publisher pourraient permettre l'exécution de code à distance (2607702) - Important VulnérabilitéVulnérabilités d’exécution de code à distanceCVE-2011-1508 CVE-2011-3410 CVE-2011-3411 CVE-2011-3412 Vecteurs d'attaque possibles L'exploitation de ces vulnérabilités nécessite qu'un utilisateur ouvre ou insère un fichier Publisher spécialement conçu à l'aide d'une version affectée de Microsoft Publisher. ImpactUn attaquant pourrait exécuter du code arbitraire dans le contexte de l'utilisateur connecté. Facteurs atténuantsDans le cas d'une attaque Web, l'attaquant doit héberger un site Web contenant un fichier Word conçu pour exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. La vulnérabilité ne peut pas être exploitée automatiquement par le biais des messages électroniques. Pour qu'une attaque aboutisse, il faut que l'utilisateur ouvre la pièce jointe du message électronique correspondant. Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté. ContournementNe pas ouvrir de fichiers Office provenant de sources non fiables ou reçus de sources fiables de manière inattendue Informations complémentaires La vulnérabilité CVE-2011-1508 a été révélée publiquement avant la publication de ce bulletin. À la publication de ce bulletin, Nous n'avons pas connaissance d'attaques ou de code d'exploitation.
15
MS11-092 : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS11-092 Une vulnérabilité dans Windows Media pourrait permettre l'exécution de code à distance (2648048) Critique Windows XP Media Center 2005 SP3 Windows XP (Toutes les versions supportées) Windows Vista (Toutes les versions supportées) Windows 7 (Toutes les versions supportées
16
MS11-092 : Une vulnérabilité dans Windows Media pourrait permettre l'exécution de code à distance (2648048) - Critique VulnérabilitéVulnérabilité d’exécution de code à distanceCVE-2011-3401 Vecteurs d'attaque possibles Un fichier multimédia.DVR-MS spécialement conçu ImpactUn attaquant pourrait exécuter du code arbitraire dans le contexte de l'utilisateur connecté. Facteurs atténuantsDans le cas d'une attaque Web, l'attaquant devrait héberger un site Web qui contiendrait une page Web spécialement conçue pour exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté. La vulnérabilité ne peut pas être exploitée automatiquement par le biais des messages électroniques. Pour qu'une attaque aboutisse, un utilisateur devrait ouvrir un fichier.dvr-ms spécialement conçu envoyé en pièce jointe dans un message électronique. ContournementLimiter l'accès à ENCDEC.DLL, possédé par le groupe Administrateurs Désinscrire ENCDEC.DLL Ne pas ouvrir de fichiers.dvr-ms reçus de sources non fiables Informations complémentaires Cette vulnérabilité n’a pas été révélée publiquement avant la publication de ce bulletin. À la publication de ce bulletin, Nous n'avons pas connaissance d'attaques ou de code d'exploitation.
17
MS11-093 : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS11-093 Une vulnérabilité dans OLE pourrait permettre l'exécution de code à distance (2624667) Important Windows XP (Toutes les versions supportées) Windows Server 2003 (Toutes les versions supportées)
18
MS11-093 : Une vulnérabilité dans OLE pourrait permettre l'exécution de code à distance (2624667) - Important VulnérabilitéVulnérabilité d’exécution de code à distanceCVE-2011-3400 Vecteurs d'attaque possibles L'exploitation de cette vulnérabilité nécessite une interaction avec l'utilisateur. Pour qu'une attaque aboutisse en envoyant un message électronique à un utilisateur connecté localement, l'utilisateur doit ouvrir une pièce jointe contenant un objet OLE spécialement conçu. ImpactUn attaquant pourrait exécuter du code arbitraire dans le contexte de l'utilisateur connecté. Facteurs atténuantsUn attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté. La vulnérabilité ne peut pas être exploitée automatiquement par le biais des messages électroniques. Pour qu'une attaque aboutisse, il faut que l'utilisateur ouvre la pièce jointe du message électronique correspondant. ContournementN'ouvrez pas de fichiers Office provenant de sources non fiables ou reçus de sources fiables de manière inattendue. Informations complémentaires Cette vulnérabilité n’a pas été révélée publiquement avant la publication de ce bulletin. À la publication de ce bulletin, Nous n'avons pas connaissance d'attaques ou de code d'exploitation.
19
MS11-094 : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS11-094 Des vulnérabilités dans Microsoft PowerPoint pourraient permettre l'exécution de code à distance (2639142) Important PowerPoint 2007 SP2 PowerPoint 2010 éditions 32 bits PowerPoint 2010 éditions 64 bits Office 2008 pour Mac Pack de compatibilité Office PowerPoint Viewer 2007 SP2
20
MS11-094 : Des vulnérabilités dans Microsoft PowerPoint pourraient permettre l'exécution de code à distance (2639142) - Important VulnérabilitéVulnérabilités d’exécution de code à distanceCVE-2011-3396 CVE-2011-3413 Vecteurs d'attaque possibles Un fichier Powerpoint spécialement conçu Un fichier légitime situé dans le même répertoire réseau qu'un fichier de bibliothèque de liens dynamiques (DLL) spécialement conçu. ImpactUn attaquant pourrait exécuter du code arbitraire dans le contexte de l'utilisateur connecté. Facteurs atténuantsLe protocole de partage de fichiers, SMB (Server Message Block), est souvent désactivé sur le pare- feu de périmètre Pour qu'une attaque aboutisse, un utilisateur doit visiter l'emplacement d'un système de fichiers distant ou un partage WebDAV non fiable et ouvrir un fichier PowerPoint Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur La vulnérabilité ne peut pas être exploitée automatiquement par le biais des messages électroniques Dans le cas d'une attaque Web, l'attaquant devrait héberger un site Web qui contiendrait une page Web spécialement conçue pour exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. ContournementDésactiver le chargement de bibliothèques à partir de partages réseau WebDAV et distants Désactiver le service WebClient Bloquer les ports TCP 139 et 445 au niveau du pare-feu Adopter la stratégie de blocage des fichiers Microsoft Office pour bloquer l'ouverture des documents au format Office 2003 et d'une version antérieure provenant d'une source inconnue ou non fiable Utiliser l'Environnement isolé de conversion Microsoft Office (MOICE) pour ouvrir des fichiers provenant d'une source inconnue ou non fiable Informations complémentaires Ces vulnérabilités n’ont pas été révélées publiquement avant la publication de ce bulletin. À la publication de ce bulletin, Nous n'avons pas connaissance d'attaques ou de code d'exploitation.
21
MS11-095 : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS11-095 Une vulnérabilité dans Active Directory pourrait permettre l'exécution de code à distance (2640045) Important Windows XP (Toutes les versions supportées) Windows Server 2003 (Toutes les versions supportées) Windows Vista (Toutes les versions supportées) Windows Server 2008 éditions 32 bits (Toutes les versions supportées) Windows Server 2008 éditions 64 bits (Toutes les versions supportées) Windows 7 (Toutes les versions supportées Windows Server 2008 R2 x64 (Toutes les versions supportées) Les versions Itanium de Windows Server 2008 et 2008 R2 ne sont pas concernées
22
MS11-095 : Une vulnérabilité dans Active Directory pourrait permettre l'exécution de code à distance (2640045) - Important VulnérabilitéVulnérabilité d’exécution de code à distanceCVE-2011-3406 Vecteurs d'attaque possibles Une application spécialement conçue et des informations d’identification pour ouvrir une session sur un domaine Active Directory ImpactUn attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Facteurs atténuantsPour pouvoir exploiter cette vulnérabilité, un attaquant doit posséder les informations d'identification d'un compte membre du domaine Active Directory cible. Cependant, l'attaquant n'a pas besoin d'avoir un poste de travail associé au domaine Active Directory Les meilleures pratiques en matière de pare-feu, ainsi que les configurations par défaut des pare- feu, contribuent à protéger les réseaux contre les attaques lancées depuis l'extérieur de l'entreprise. ContournementBloquer le port TCP 389 au niveau du pare-feu de votre entreprise Informations complémentaires Cette vulnérabilité n’a pas été révélée publiquement avant la publication de ce bulletin. À la publication de ce bulletin, Nous n'avons pas connaissance d'attaques ou de code d'exploitation.
23
MS11-096 : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS11-096 Une vulnérabilité dans Microsoft Excel pourrait permettre l'exécution de code à distance (2640241) Important Excel 2003 SP3 Office 2004 pour Mac
24
MS11-096 : Une vulnérabilité dans Microsoft Excel pourrait permettre l'exécution de code à distance (2640241) - Important VulnérabilitéVulnérabilité d’exécution de code à distanceCVE-2011-3403 Vecteurs d'attaque possibles Un fichier Excel spécialement conçu ImpactUn attaquant pourrait exécuter du code arbitraire dans le contexte de l'utilisateur connecté. Facteurs atténuantsUn attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté. La vulnérabilité ne peut pas être exploitée automatiquement par le biais des messages électroniques Dans le cas d'une attaque Web, l'attaquant devrait héberger un site Web qui contiendrait une page Web spécialement conçue pour exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. ContournementDéfinir la validation de fichier Office pour désactiver l'ouverture des fichiers dont la validation échoue dans Excel 2003 Adopter la stratégie de blocage des fichiers Microsoft Office pour bloquer l'ouverture des documents au format Office 2003 et d'une version antérieure provenant d'une source inconnue ou non fiable Utiliser l'Environnement isolé de conversion Microsoft Office (MOICE) pour ouvrir des fichiers provenant d'une source inconnue ou non fiable Ne pas ouvrir de fichiers Excel provenant de sources non fiables ou reçus de sources fiables de manière inattendue Informations complémentaires Cette vulnérabilité n’a pas été révélée publiquement avant la publication de ce bulletin. À la publication de ce bulletin, Nous n'avons pas connaissance d'attaques ou de code d'exploitation.
25
MS11-097 : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS11-097 Une vulnérabilité dans le processus CSRSS (Client-Server Run- time Subsystem) Windows pourrait permettre une élévation de privilèges (2620712) Important Windows XP (Toutes les versions supportées) Windows Server 2003 (Toutes les versions supportées) Windows Vista (Toutes les versions supportées) Windows Server 2008 (Toutes les versions supportées) Windows 7 (Toutes les versions supportées Windows Server 2008 R2 (Toutes les versions supportées)
26
MS11-097 : Une vulnérabilité dans le processus CSRSS (Client-Server Run-time Subsystem) Windows pourrait permettre une élévation de privilèges (2620712) - Important VulnérabilitéVulnérabilité d’élévation de privilègesCVE-2011-3408 Vecteurs d'attaque possibles Pour exploiter cette vulnérabilité, un attaquant doit d'abord ouvrir une session sur le système. L'attaquant pourrait alors exécuter une application spécialement conçue pour envoyer un message d'événement de périphérique à un processus d'intégrité plus élevée ImpactUn attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire dans le contexte d'un autre processus. Facteurs atténuantsPour exploiter cette vulnérabilité, l'attaquant doit disposer d'informations d'identification valides pour ouvrir une session en local. ContournementMicrosoft n'a identifié aucune solution de contournement pour cette vulnérabilité. Informations complémentaires Cette vulnérabilité n’a pas été révélée publiquement avant la publication de ce bulletin. À la publication de ce bulletin, Nous n'avons pas connaissance d'attaques ou de code d'exploitation.
27
MS11-098 : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS11-098 Une vulnérabilité dans le noyau Windows pourrait permettre une élévation de privilèges (2633171) Important Windows XP SP3 Windows Server 2003 SP2 Windows Vista SP2 Windows Server 2008 SP2 Windows 7 Windows 7 SP1
28
MS11-098 : Une vulnérabilité dans le noyau Windows pourrait permettre une élévation de privilèges (2633171) - Important VulnérabilitéVulnérabilité d’élévation de privilègesCVE-2011-2018 Vecteurs d'attaque possibles Pour exploiter cette vulnérabilité, un attaquant doit d'abord ouvrir une session sur le système. L'attaquant pourrait alors exécuter une application spécialement conçue pour exploiter cette vulnérabilité et prendre le contrôle intégral d'un système affecté. ImpactUn attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire en mode noyau. Facteurs atténuantsPour exploiter cette vulnérabilité, l'attaquant doit disposer d'informations d'identification valides pour ouvrir une session en local. Cette vulnérabilité ne peut pas être exploitée à distance ou par des utilisateurs anonymes. ContournementMicrosoft n'a identifié aucune solution de contournement pour cette vulnérabilité. Informations complémentaires Cette vulnérabilité n’a pas été révélée publiquement avant la publication de ce bulletin. À la publication de ce bulletin, Nous n'avons pas connaissance d'attaques ou de code d'exploitation.
29
MS11-099 : Introduction et indices de gravité NuméroTitre Indice de gravité maximal Produits affectés MS11-099 Mise à jour de sécurité cumulative pour Internet Explorer (2618444) Important Internet Explorer 6.0 Windows XP et Windows Server 2003 Internet Explorer 7 Windows XP, Windows Server 2003, Windows Vista et Windows Server 2008 Internet Explorer 8 Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2 Internet Explorer 9 Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2 Concerne l’Avis de sécurité Microsoft 2269637 sur le chargement de bibliothèque
30
MS11-099 : Mise à jour de sécurité cumulative pour Internet Explorer (2618444) - Important VulnérabilitéVulnérabilités d’exécution de code à distance et de divulgation d’information CVE-2011-2019 CVE-2011-1992 CVE-2011-3404 Vecteurs d'attaque possibles Une page web spécialement conçue Un courriel HTML spécialement conçu ImpactLa vulnérabilité de chargement de DLL non sécurisé pourrait permettre l'exécution de code à distance dans le contexte de l’utilisateur connecté. Un attaquant qui réussirait à exploiter la vulnérabilité XSS de script inter-sites et de Content- Disposition pourrait afficher le contenu d'un autre domaine ou d'une autre zone Internet Explorer. Facteurs atténuantsDans le cas d'une attaque Web, l'attaquant devrait héberger un site Web qui contiendrait une page Web spécialement conçue pour exploiter cette vulnérabilité. Par défaut, toutes les versions en cours de support de Microsoft Outlook, Microsoft Outlook Express et de Windows Mail ouvrent les messages au format HTML dans la zone Sites sensibles. Par défaut, Internet Explorer sur Windows Server 2003, Windows Server 2008 et Windows Server 2008 R2 s'exécutent selon un mode restreint appelé Configuration de sécurité renforcée. CVE-2011-1992 : IE7,IE8 et IE9 ne sont pas concernés par cette vulnérabilité. Le protocole de partage de fichiers, SMB (Server Message Block), est souvent désactivé sur le pare- feu de périmètre. Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté.
31
MS11-099 : Mise à jour de sécurité cumulative pour Internet Explorer (2618444) – Important - Suite ContournementDéfinissez les paramètres des zones Intranet local et Internet sur la valeur « Élevé » afin de bloquer les contrôles ActiveX et Active Scripting dans ces zones Configurer Internet Explorer de manière à ce qu'il désactive Active Scripting ou à ce qu'il vous avertisse avant de l'exécuter dans la zone de sécurité Intranet local et Internet. Désactiver le filtre XSS Désactiver le chargement de bibliothèques à partir de partages réseau WebDAV et distants Désactiver le service WebClient Bloquer les ports TCP 139 et 445 au niveau du pare-feu Lecture des messages électroniques au format texte brut Informations complémentaires La vulnérabilité CVE-2011-2019 a été révélée publiquement avant la publication de ce bulletin. À la publication de ce Bulletin, Nous n'avons pas connaissance d'attaques ou de code d'exploitation.
32
MS11-087 Oui MS11-088 Non 1/2 Oui MS11-089 Non 1 Oui MS11-090 MS11-091 NonOui MS11-092 MS11-093 MS11-094 Non 1 Oui MS11-095 MS11-096 NonOui MS11-097 MS11-098 MS11-099 Détection et déploiement 1.Microsoft ne fournit pas d’outils de detection et de déploiement pour les Macintosh 2.Office Pinyin New Experience Style 2010 et Office Pinyin simpleFast Style 2010 est disponible uniquement sur le Centre de Téléchargement Windows Update fournit seulement les mises à jour pour les composants Windows et ne supporte pas Office ou Exchange. Les utilisateurs auront besoin de s’orienter vers Microsoft Update afin de recevoir les mises à jour de sécurité pour Notre gamme complète de produits et services
33
Informations de mise à jour BulletinRedémarrage requisDésinstallationRemplace MS11-087 Oui MS11-077, MS11-084 MS11-088 PossibleOuiAucun MS11-089 PossibleOuiMS11-072 MS11-090 Oui MS11-027 MS11-091 PossibleOuiMS10-103 MS11-092 PossibleOuiAucun MS11-093 PossibleOuiAucun MS11-094 PossibleOui MS11-022, MS11-036, MS11-072 MS11-095 Oui MS11-086 MS11-096 PossibleOuiMS11-072 MS11-097 Oui MS11-010 MS11-098 Oui MS10-021, MS10-047, MS11-068 MS11-099 Oui MS11-081
34
Décembre 2011 - Mises à jour Non relatives à la sécurité ArticleTitleDistribution KB905866Update for Windows Mail Junk E-mail Filter The December 2011 release of the Windows Mail Junk E-mail Filter Catalog, AU, WSUS KB890830Windows Malicious Software Removal Tool The December 2011 release of the Windows Malicious Software Removal Tool Catalog, AU, WSUS KB2633952Update for Windows December 2011 cumulative time zone update for Windows operating systems Catalog, AU, WSUS KB2607047Update for Windows 7 and Windows Server 2008 R2 Install this update to resolve issues in Windows. After you install this item, you may have to restart your computer. Catalog, AU, WSUS Info: KB894199 Description of Software Update Services and Windows Server Update Services changes in content for 2011 http://support.microsoft.com/kb/894199
35
Windows Malicious Software Removal Tool Ajoute la possibilité de supprimer :Win32/Helompy An AutoIt worm that propagates through removal device, network share, email, IM etc. and aims to steal web credentials Disponible en tant que mise à jour prioritaire sous Windows Update et Microsoft Update Disponible par WSUS 3.0 Disponible en téléchargement à l'adresse suivante : http://www.microsoft.com/france/securite/malwareremove http://www.microsoft.com/france/securite/malwareremove
36
Après le 10 janvier 2012 les produits ou Service Pack suivants ne sont plus supportés : SQL Server 2005 Service Pack 3 SQL Server 2005 Service Pack 3 Dynamics AX 3.0 Dynamics AX 3.0 Host Integration Server 2000 Host Integration Server 2000 Content Management Server 2001 Content Management Server 2001 Pour rappel…
37
Ressources Synthèse des Bulletins de sécurité http://technet.microsoft.com/fr-fr/security/bulletin/ms11-dec http://technet.microsoft.com/fr-fr/security/bulletin/ms11-dec Bulletins de sécurité http://technet.microsoft.com/fr-fr/security/bulletin http://technet.microsoft.com/fr-fr/security/bulletin Webcast des Bulletins de sécurité http://www.microsoft.com/france/technet/security/bulletin/webcasts.mspx http://www.microsoft.com/france/technet/security/bulletin/webcasts.mspx Avis de sécurité http://technet.microsoft.com/fr-fr/security/advisory http://technet.microsoft.com/fr-fr/security/advisory Abonnez-vous à la synthèse des Bulletins de sécurité (en français) http://www.microsoft.com/france/securite/newsletters.mspx http://www.microsoft.com/france/securite/newsletters.mspx Blog du MSRC (Microsoft Security Response Center) http://blogs.technet.com/msrc http://blogs.technet.com/msrc Microsoft France sécurité http://www.microsoft.com/france/securite http://www.microsoft.com/france/securite TechNet sécurité http://www.microsoft.com/france/technet/security http://www.microsoft.com/france/technet/security
38
Informations légales L’OBJET DU PRESENT DOCUMENT EST DE VOUS FOURNIR L’INFORMATION QUE VOUS AVEZ DEMANDEE CONCERNANT LA SECURITE. GENERALEMENT, L’INFORMATION PROVOQUE UNE PRISE DE CONSCIENCE AUTOUR DE LA SECURITE ET IDENTIFIE LE PERSONNEL, LES PROCEDES, RESSOURCES ET TECHNOLOGIES QUI SONT DESTINES A PROMOUVOIR DE BONNES REGLES DE SECURITE DANS VOTRE ORGANISATION. LES VIRUS ET AUTRES TECHNOLOGIES NUISIBLES DESTINES A ATTAQUER VOTRE ENVIRONNEMENT INFORMATIQUE CHANGENT CONTINUELLEMENT AFIN DE CONTOURNER LES MESURES DE SECURITE EXISTANTES. DES LORS, MAINTENIR UN ENVIRONNEMENT INFORMATIQUE FIABLE EST UN PROCESSUS CONTINU QUI EXIGE QUE VOUS MAINTENIEZ UN PERSONNEL, DES PROCEDES, RESSOURCES ET Technologies ADEQUATS AFIN DE VOUS PROTEGER CONTRE TOUTE ATTEINTE A LA SECURITE. AUCUNE DISPOSITION CONTENUE DANS LES PRESENTES NE DOIT ETRE INTERPRETEE OU CONSIDEREE COMME UNE CERTIFICATION, UNE GARANTIE OU TOUTE AUTRE FORME DE VALIDATION QUE VOTRE ENVIRONNEMENT INFORMATIQUE EST ET DEMEURERA PROTEGE CONTRE DES ATTEINTES A LA SECURITE ET NOUS N’ASSUMONS AUCUNE RESPONSABILITE POUR TOUTE ATTEINTE A LA SECURITE OU TOUT DOMMAGE OU PERTE SUBSEQUENT. TOUTES COMMUNICATIONS OU TRANSMISSIONS D’INFORMATION QUI VOUS SONT ADRESSEES AU SUJET DE MICROSOFT ET CONCERNANT LA SECURITE INCLUANT NOTAMMENT TOUTES SUGGESTIONS, ANALYSES, OU COMMENTAIRES QUI VOUS SONT FOURNIS DURANT UNE ANALYSE RELATIVE A LA SECURITE OU TOUTE AUTRE INFORMATION PASSEE, PRESENTE OU FUTURE RELATIVE NOTAMMENT AUX TESTS DE SECURITE, EVALUATIONS, DISPONIBILITES, HORAIRES OU OBJECTIFS (CI-APRES COLLECTIVEMENT DENOMMES « INFORMATIONS SUR LA SECURITE »), SONT FOURNIS CONFORMEMENT AUX CONDITIONS DU CONTRAT DE SERVICE EXISTANT ENTRE VOUS ET MICROSOFT ET UNIQUEMENT AFIN DE VOUS PERMETTRE DE VOUS ORGANISER FACE A D’EVENTUELS PROBLEMES DE SECURITE. TOUTES LES INFORMATIONS SUR LA SECURITE CONTIENNENT TOUTES LES DONNEES QUI NOUS SONT ACTUELLEMENT ACCESSIBLES MAIS QUI SONT SUSCEPTIBLES DE CHANGER EN RAISON DU CHANGEMENT CONSTANT DE CES DONNEES SANS QUE MICROSOFT VOUS AIT PREALABLEMENT INFORME DE CES CHANGEMENTS. NOUS VOUS RECOMMANDONS DONC DE VERIFIER REGULIEREMENT AUPRES DE NOUS ET SUR LE SITE INTERNET DE SECURITE SITUE A L’ADRESSE SUIVANTE WWW.MICROSOFT.COM/SECURITY SI LES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES FONT L’OBJET DE MISES A JOUR. VEUILLEZ NOUS CONTACTER SI VOUS AVEZ D’AUTRES QUESTIONS CONCERNANT DES PROBLEMES DE SECURITE OU SI VOUS AVEZ BESOIN D’UNE MISE A JOUR DES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES.WWW.MICROSOFT.COM/SECURITY
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.