Bulletins de sécurité Microsoft Avril 2009 Jean Gautier CSS Security EMEA IR Team Jérôme...

Bulletins de sécurité MicrosoftAvril 2009

Jean GautierCSS Security EMEA IR Team

Jérôme LeseinneCSS Security EMEA IR Team

Mathieu MalaiseDirection technique et sécurité

Bienvenue !

Présentation des bulletins d'avrilNouveaux Bulletins de sécuritéMises à jour non relatives à la sécurité

Informations connexes :Outil de suppression des logiciels malveillants (MSRT)

Ressources

Questions - Réponses

Questions - Réponses

À tout moment pendant la présentation, posez vos

questions :1. Ouvrez l’interface Questions-réponses en cliquant sur le menu Q&R :

2. Précisez le numéro du Bulletin, entrez votre question et cliquez sur « Poser une question » :

Bulletins de sécurité - avril 2009Résumé

Nouveaux Bulletins de sécurité :Critique : 5Important : 2Modéré : 1

Indices de gravité cumulée et Indices d'exploitabilité

Exploitability Index

HIGH

RISKMEDIUM

LOW

Severity

CRITICAL

IMPACT

IMPORTANT

MODERATE

LOW

MS09-009 MS09-010 MS09-011 MS09-012 MS09-013 MS09-014 MS09-015 MS09-016

MS09-009 : Introduction

Numéro Titre Indice de gravité maximal Produits affectés

MS09-009

Des vulnérabilités dans Microsoft Office Excel pourraient permettre l'exécution de code à distance (968557)

Critique

• Office 2000 SP3 • Office XP SP3 • Office 2003 SP3• Office 2007 SP1• Office 2004 pour Mac• Office 2008 pour Mac• Excel Viewer 2003 SP3• Excel Viewer• Pack de compatibilité Office pour les formats de fichier Word, Excel et PowerPoint 2007 SP1

MS09-009 : Indices de gravité

Numéro

Excel 2000 SP3 dans :Office 2000 SP3

Excel 2002 SP3 dans :Office XP SP3

Excel Viewer 2003 SP3, Excel Viewer

Pack de compatibilité Office pour les formats de fichier Word, Excel et PowerPoint 2007 SP1

MS09-009 Critique Important Important Important



Office 2004 pour Mac, Office 2008 pour Mac

MS09-009 : Des vulnérabilités dans Microsoft Office Excel pourraient permettre l'exécution de code à distance (968557))

Vulnérabilité • Deux vulnérabilités de corruption de la mémoire

Vecteurs d'attaque possibles

• Dans le cas d'une attaque Web, l'attaquant devrait héberger un site Web qui contient un fichier Excel spécialement conçu pour exploiter cette vulnérabilité.

• En cas d'attaque par courrier électronique, un attaquant pourrait envoyer un fichier Excel spécialement conçu à l'utilisateur et le persuader d'ouvrir ce fichier.

Impact • Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté.

Facteurs atténuants

• La vulnérabilité ne peut pas être exploitée automatiquement par le biais des messages électroniques.

• Les utilisateurs qui ont installé et qui utilisent l'Outil de confirmation à l'ouverture pour Office 2000 (Office Document Open Confirmation Tool for Office 2000) seront invités à Ouvrir, Enregistrer ou Annuler avant d'ouvrir un document. Les fonctionnalités de l'Outil de confirmation à l'ouverture pour Office (Office Document Open Confirmation Tool) sont intégrées dans Office XP et versions ultérieures.

Informations complémentaires

• Seul l'indice de gravité pour Excel 2000 est Critique. • Cette mise à jour de sécurité concerne la vulnérabilité décrite dans

l'Avis de sécurité Microsoft 968272.• Solutions de contournement : Environnement isolé de conversion

Microsoft Office (MOICE) et Fonctionnalité de blocage de fichiers pour Microsoft Office


Numéro Titre Indice de gravité maximal Produits affectés

MS09-010

Des vulnérabilités dans les convertisseurs de texte WordPad et Office pourraient permettre l'exécution de code à distance (960477)

Critique

• Windows 2000 SP4• Windows XP SP2 et SP3• Windows XP Professional x64 aucun SP et SP2• Windows Server 2003 :

• SP1 et SP2• x64 aucun SP et SP2• Itanium SP1 et SP2

• Office 2000 SP3• Office XP SP3• Pack de conversion Office


Numéro

Word 2000 SP3 dans :Office 2000 SP3

Word 2002 SP3 dans :Office XP SP3

Windows 2000 SP4 Windows Server 2003 SP1 pour systèmes Itanium et Windows Server 2003 SP2 pour systèmes Itanium

MS09-010 Critique Important Important Important

Windows XP SP2 et SP3

Windows Server 2003 SP1 et SP2, Windows Server 2003 Édition x64 et Édition x64 SP2

Pack de conversion Office

MS09-010 : Des vulnérabilités dans les convertisseurs de texte WordPad et Office pourraient permettre l'exécution de code à distance (960477) - CritiqueVulnérabilité • Plusieurs vulnérabilités dans le convertisseur texte de WordPad et

d'Office


• Dans le cas d'une attaque Web, l'attaquant devrait héberger un site Web qui contient un fichier spécialement conçu pour exploiter cette vulnérabilité.

• En cas d'attaque par courrier électronique, un attaquant pourrait envoyer un fichier spécialement conçu à l'utilisateur et le persuader d'ouvrir ce fichier.



• La vulnérabilité ne peut pas être exploitée automatiquement par le biais des messages électroniques.

• Les utilisateurs qui ont installé et qui utilisent l'Outil de confirmation à l'ouverture pour Office 2000 (Office Document Open Confirmation Tool for Office 2000) seront invités à Ouvrir, Enregistrer ou Annuler avant d'ouvrir un document. Les fonctionnalités de l'Outil de confirmation à l'ouverture pour Office (Office Document Open Confirmation Tool) sont intégrées dans Office XP et versions ultérieures.


• Word 2000 SP3 uniquement• Cette mise à jour de sécurité concerne la vulnérabilité décrite dans

l'Avis de sécurité Microsoft 960906.• Solutions de contournement : Environnement isolé de conversion

Microsoft Office (MOICE) et Fonctionnalité de blocage de fichiers pour Microsoft Office

MS09-011 : Introduction et indices de gravité

Numéro

Une vulnérabilité dans Microsoft DirectShow pourrait permettre l'exécution de code à distance (961373)

MS09-011 Critique Critique

DirectX 8.1 sur :• Windows 2000 SP4

DirectX 9.0 sur :• Windows 2000 SP4• Windows XP SP2 et SP3• Windows XP Professional x64 aucun SP

et SP2• Windows Server 2003 :

• SP1 et SP2• x64 aucun SP et SP2• Itanium SP1 et SP2

MS09-011 : Une vulnérabilité dans Microsoft DirectShow pourrait permettre l'exécution de code à distance (961373) - Critique

Vulnérabilité • Une vulnérabilité de corruption de la mémoire• Trois vulnérabilités de corruption de la pile


• En cas d'attaque par courrier électronique, un attaquant pourrait envoyer un fichier spécialement conçu à l'utilisateur et le persuader d'ouvrir ce fichier.

• Dans le cas d'une attaque Web, l'attaquant devrait héberger un site Web qui contient un fichier spécialement conçu pour exploiter cette vulnérabilité.



• Les vulnérabilités ne peuvent pas être exploitées automatiquement par le biais des messages électroniques.

• Un site Web qui tenterait d'exploiter cette vulnérabilité entraînerait l'affichage d'une boîte de dialogue sur laquelle l'utilisateur aurait à cliquer.

Informations connexes

• Les convertisseurs peuvent être désactivés pour se protéger contre les attaques.

• Seul l'indice de gravité pour Office 2000 SP3 est Critique.


Numéro Titre Indice de gravité

maximalProduits affectés

MS09-012

Des vulnérabilités dans Windows pourraient permettre une élévation de privilèges (959454)

ImportantToutes les versions de Windows et Windows Server en cours de support

*Installation Server Core de Windows Server 2008 concernée.

MS09-012 : Des vulnérabilités dans Windows pourraient permettre une élévation de privilèges (959454) - Important

Vulnérabilité • Quatre vulnérabilités• Des processus ne sont pas correctement isolés et

s'exécutent sous les comptes NetworkService et LocalService.


• Après avoir ouvert une session, l'attaquant pourrait exécuter une application spécialement conçue pour exploiter cette vulnérabilité.

Impact • Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les mêmes droits d'utilisateur que le service LocalSystem.


• Pour exploiter cette vulnérabilité, l'attaquant doit pouvoir exécuter du code sur l'ordinateur local.


• Plusieurs solutions de contournement indiquées dans le Bulletin.

• Cette mise à jour de sécurité concerne la vulnérabilité décrite dans l'Avis de sécurité Microsoft 951306.




MS09-013

Des vulnérabilités dans les services HTTP Windows pourraient permettre l'exécution de code à distance (960803)

CritiqueToutes les versions de Windows et Windows Server en cours de support, excepté Windows 7


MS09-013 : Des vulnérabilités dans les services HTTP Windows pourraient permettre l'exécution de code à distance (960803) - Critique

Vulnérabilité • Trois vulnérabilités dans les services HTTP Windows


• Un attaquant devrait héberger un serveur malveillant.



• Aucune édition d'Internet Explorer en cours de support n'est concernée par cette vulnérabilité.

• Windows Vista et Windows Server 2008 bloquent le trafic SMB par défaut.


Numéro Titre Indice de

gravité maximalProduits affectés

MS09-014Mise à jour de sécurité cumulative pour Internet Explorer (963027)

Critique Toutes les versions de Windows et Windows Server en cours de support, excepté Windows 7


Numéro

Windows 2000 SP4 avec Internet Explorer 5.01 SP4 et Internet Explorer 6 SP1

Internet Explorer 7 sur :Windows XP SP2 et SP3, Windows XP x64 et x64 SP2

Internet Explorer 6 sur : Windows Server 2003 SP1 et SP2, Windows Server 2003 x64 et x64 SP2

Internet Explorer 7 sur :Windows Server 2003 SP1 et SP2, Windows Server 2003 x64 et x64 SP2

Internet Explorer 7 sur :Windows Server 2008 pour systèmes 32 bits, Windows Server 2008 pour systèmes x64 et Windows Server 2008 pour systèmes Itanium

MS09-014

Critique Critique Important Important Modéré

Internet Explorer 6 sur : Windows XPSP2 et SP3, Windows XP Édition x64 et Édition x64 SP2

Internet Explorer 7 sur :Windows Vista et Windows Vista SP1, Windows Vista Édition x64 et Édition x64 SP1

Internet Explorer 6 sur : Windows Server 2003 pour les systèmes Itanium et pour les systèmes Itanium SP2

Internet Explorer 7 sur :Windows Server 2003 pour les systèmes Itanium et pour les systèmes Itanium SP2

*Installation Server Core de Windows Server 2008 non concernée. Internet Explorer 8 n'est pas concerné.


MS09-014 : Mise à jour de sécurité cumulative pour Internet Explorer (963027) - Critique

Vulnérabilité • Plusieurs vulnérabilités d'exécution de code à distance liée à une menace multifacteur dans la façon dont Internet Explorer localise et ouvre des fichiers sur le système, dans la manière dont WinINet traite des informations d'identification NTLM, ainsi que d'autres vulnérabilités.


• Un attaquant pourrait héberger un site Web spécialement conçu, puis inciter un utilisateur à consulter le site Web.



• Windows Internet Explorer 8 n'est pas concerné par ces vulnérabilités.

• Un attaquant n'aurait aucun moyen de forcer un utilisateur à visiter un site Web malveillant. Un attaquant devrait convaincre un utilisateur à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site Web.




MS09-015

Une vulnérabilité liée à une menace multifacteur dans SearchPath pourrait permettre une élévation de privilèges (959426)

Modéré

Toutes les versions de Windows et Windows Server en cours de support, excepté Windows 7

Windows 2000 SP4 – Défense en profondeur uniquement


MS09-015 : Une vulnérabilité liée à une menace multifacteur dans SearchPath pourrait permettre une élévation de privilèges (959426) - Modéré

Vulnérabilité • Une vulnérabilité révélée publiquement dans la fonction SearchPath de Windows. Cette vulnérabilité pourrait permettre une élévation de privilèges si un utilisateur téléchargeait un fichier spécialement conçu à un emplacement spécifique, puis ouvrait une application capable de charger le fichier sous certaines conditions.


• Un attaquant pourrait créer un fichier spécialement conçu, puis convaincre l'utilisateur de télécharger le fichier sur le Bureau. L'utilisateur devrait alors lancer une application qui ouvrirait ce fichier spécialement conçu.



• N.A.


• Cette mise à jour de sécurité concerne également la vulnérabilité décrite dans l'Avis de sécurité Microsoft 953818.




MS09-016

Des vulnérabilités dans Microsoft ISA Server et dans Forefront Threat Management Gateway (Medium Business Edition) pourraient provoquer un déni de service (961759)

Important

• Forefront Threat Management Gateway, Medium Business Edition*• ISA Server 2000 Standard SP3**• ISA Server 2004 Enterprise SP3• ISA Server 2006• Mise à jour de capacité de prise en charge ISA 2006• ISA Server 2006 SP1

*Microsoft Forefront TMG MBE est proposé à la fois en tant que produit autonome et en tant que composant de Windows Essential Business Server 2008.

Microsoft ISA Server 2004 Standard Edition est proposé en tant que produit autonome et en tant que composant de Windows Small Business Server 2003 Premium Edition SP1 et de Windows Small Business Server 2003 R2 Premium Edition.

MS09-016 : Des vulnérabilités dans Microsoft ISA Server et dans Forefront Threat Management Gateway (Medium Business Edition) pourraient provoquer un déni de service (961759) - Important

Vulnérabilité • Déni de service si un attaquant envoie des paquets réseau spécialement conçus au système affecté ou divulgation d'informations ou usurpation si un utilisateur clique sur un lien malveillant ou visite un site Web dont le contenu serait contrôlé par l'attaquant.


• Un attaquant pourrait envoyer des paquets réseau spécialement conçus au système affecté.

• Un attaquant pourrait exploiter cette vulnérabilité en forçant l'utilisateur à visiter le site Web affecté à l'aide d'une URL spécialement conçue.

Impact • L'écouteur (listener) Web cesserait de répondre.• Script inter-sites : L'attaquant pourrait exécuter toute action que le

site Web est autorisé à exécuter sur l’ordinateur de l’utilisateur.


• Les déploiements d'ISA Server 2006 ou de Forefront TMG MBE qui sont utilisés pour la publication Web mais qui n'utilisent pas l'authentification par formulaires HTML ne sont pas vulnérables.

• Les déploiements d'ISA Server 2006 et de Forefront Threat Management Gateway MBE ne disposant d'aucune règle de publication Web ne sont pas vulnérables par défaut.

Bulletin Windows Update

Microsoft Update

MBSA 2.1 WSUS 2.0 / WSUS 3.0

SMS avec Feature Pack SUS

SMS avec Outil

d'inventaire des mises à jour

SCCM 2007

MS09-009 Non Oui3,4 Oui3,4 Oui Oui5 Oui3,4 Oui3,4

MS09-010 Non Oui Oui6 Oui Non7 Oui6 Oui6

MS09-011 Oui Oui Oui Oui Non Oui Oui

MS09-012 Oui Oui Oui Oui Non1 Oui Oui


MS09-014 Oui Oui Oui Oui Non1,2 Oui Oui


MS09-016 Non Oui Oui Oui Non Oui Oui

1. SMS SUSFP prend uniquement en charge Windows 2000 SP4, Windows XP SP2 et SP3, Windows Server 2003 SP1 et SP2 pour cette mise à jour.2. SMS avec SUSFP prennent en charge toutes les versions affectées d'Internet Explorer à l'exception d'Internet Explorer 7.Except for versions of Office for Mac3. Excepté pour les versions d'Office pour Mac4. Excepté pour Excel 2000 SP35. Excel 2000 SP3, Excel 2002 SP3 et Excel 2003 SP3 uniquement6. Excepté pour Word 2000 SP37. Excepté pour Windows XP Édition x64, Windows Server 2003 Édition x64 et Windows Server 2003 pour systèmes Itanium

Détection et déploiement

Informations de mise à jour (suite)Bulletin

Redémarrage requis

HotPatching

Désinstallation Remplace

MS09-009 ÉventuellementNon

applicable

Oui – Exceptés Excel 2000 et toutes les versions d'Office

pour MacMS08-074

MS09-010 OuiNon

applicableOui – Excepté pour Office

2000MS04-027

MS09-011 ÉventuellementNon

applicableOui MS08-033

MS09-012 OuiNon

applicableOui

MS07-022 MS07-058MS08-002MS08-064

MS09-013 OuiNon

applicableOui (Aucun)

MS09-014 OuiNon

applicableOui

MS08-073MS08-078MS09-002

MS09-015 OuiNon

applicableOui MS07-035

MS09-016 OuiNon

applicableOui (Aucun)

Avril 2009 - Mises à jour non relatives à la sécurité

KB Article

Title Distribution

KB905866 Update for Windows Mail Junk E-mail Filter The April 2009 release of the Windows Mail Junk E-mail Filter

Catalog, AU, WSUS

Outil de suppression des logiciels malveillants (MSRT)

Ajoute la possibilité de supprimer :Win32/Waledac Disponible en tant que mise à jour prioritaire sous Windows Update et Microsoft UpdateDisponible par WSUS 2.0 et WSUS 3.0

Disponible en téléchargement à l'adresse suivante : http://www.microsoft.com/france/securite/malwareremove

Rapport sur les données de sécurité volume 6

Le Rapport sur les données de sécurité complet et une synthèse (disponible dans 10 langues) est disponible à :

http://www.microsoft.com/france/sir

• Faux logiciels de sécurité

• Schémas d'hébergement de phishinget de logiciels malveillants

• Mise à jour des contenus précédents

• Conseils pratiques

Ressources concernant Conficker

Conseils pour les professionnels de l'informatique

http://technet.microsoft.com/security/dd452420

Conseils pour le grand publichttp://www.microsoft.com/france/protect/computer/viruses/worms/conficker.mspx

RessourcesSynthèse des Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletin/ms09-aprmspx

Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletinWebcast des Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletin/webcasts.mspx

Avis de sécuritéhttp://www.microsoft.com/france/technet/security/advisory

Abonnez-vous à la synthèse des Bulletins de sécurité (en français)http://www.microsoft.com/france/securite/newsletters.mspx

Blog du MSRC (Microsoft Security Response Center)http://blogs.technet.com/msrc

Microsoft France sécurité http://www.microsoft.com/france/securite TechNet sécuritéhttp://www.microsoft.com/france/technet/security

Informations légales

L’OBJET DU PRESENT DOCUMENT EST DE VOUS FOURNIR L’INFORMATION QUE VOUS AVEZ DEMANDEE CONCERNANT LA SECURITE. GENERALEMENT, L’INFORMATION PROVOQUE UNE PRISE DE CONSCIENCE AUTOUR DE LA SECURITE ET IDENTIFIE LE PERSONNEL, LES PROCEDES, RESSOURCES ET TECHNOLOGIES QUI SONT DESTINES A PROMOUVOIR DE BONNES REGLES DE SECURITE DANS VOTRE ORGANISATION. LES VIRUS ET AUTRES TECHNOLOGIES NUISIBLES DESTINES A ATTAQUER VOTRE ENVIRONNEMENT INFORMATIQUE CHANGENT CONTINUELLEMENT AFIN DE CONTOURNER LES MESURES DE SECURITE EXISTANTES. DES LORS, MAINTENIR UN ENVIRONNEMENT INFORMATIQUE FIABLE EST UN PROCESSUS CONTINU QUI EXIGE QUE VOUS MAINTENIEZ UN PERSONNEL, DES PROCEDES, RESSOURCES ET TECHNOLOGIES ADEQUATS AFIN DE VOUS PROTEGER CONTRE TOUTE ATTEINTE A LA SECURITE. AUCUNE DISPOSITION CONTENUE DANS LES PRESENTES NE DOIT ETRE INTERPRETEE OU CONSIDEREE COMME UNE CERTIFICATION, UNE GARANTIE OU TOUTE AUTRE FORME DE VALIDATION QUE VOTRE ENVIRONNEMENT INFORMATIQUE EST ET DEMEURERA PROTEGE CONTRE DES ATTEINTES A LA SECURITE ET NOUS N’ASSUMONS AUCUNE RESPONSABILITE POUR TOUTE ATTEINTE A LA SECURITE OU TOUT DOMMAGE OU PERTE SUBSEQUENT. TOUTES COMMUNICATIONS OU TRANSMISSIONS D’INFORMATION QUI VOUS SONT ADRESSEES AU SUJET DE MICROSOFT ET CONCERNANT LA SECURITE INCLUANT NOTAMMENT TOUTES SUGGESTIONS, ANALYSES, OU COMMENTAIRES QUI VOUS SONT FOURNIS DURANT UNE ANALYSE RELATIVE A LA SECURITE OU TOUTE AUTRE INFORMATION PASSEE, PRESENTE OU FUTURE RELATIVE NOTAMMENT AUX TESTS DE SECURITE, EVALUATIONS, DISPONIBILITES, HORAIRES OU OBJECTIFS (CI-APRES COLLECTIVEMENT DENOMMES « INFORMATIONS SUR LA SECURITE »), SONT FOURNIS CONFORMEMENT AUX CONDITIONS DU CONTRAT DE SERVICE EXISTANT ENTRE VOUS ET MICROSOFT ET UNIQUEMENT AFIN DE VOUS PERMETTRE DE VOUS ORGANISER FACE A D’EVENTUELS PROBLEMES DE SECURITE. TOUTES LES INFORMATIONS SUR LA SECURITE CONTIENNENT TOUTES LES DONNEES QUI NOUS SONT ACTUELLEMENT ACCESSIBLES MAIS QUI SONT SUSCEPTIBLES DE CHANGER EN RAISON DU CHANGEMENT CONSTANT DE CES DONNEES SANS QUE MICROSOFT VOUS AIT PREALABLEMENT INFORME DE CES CHANGEMENTS. NOUS VOUS RECOMMANDONS DONC DE VERIFIER REGULIEREMENT AUPRES DE NOUS ET SUR LE SITE INTERNET DE SECURITE SITUE A L’ADRESSE SUIVANTE WWW.MICROSOFT.COM/SECURITY SI LES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES FONT L’OBJET DE MISES A JOUR. VEUILLEZ NOUS CONTACTER SI VOUS AVEZ D’AUTRES QUESTIONS CONCERNANT DES PROBLEMES DE SECURITE OU SI VOUS AVEZ BESOIN D’UNE MISE A JOUR DES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES.

Bulletins de sécurité Microsoft Avril 2009 Jean Gautier CSS Security EMEA IR Team Jérôme...

Documents

Transcript of Bulletins de sécurité Microsoft Avril 2009 Jean Gautier CSS Security EMEA IR Team Jérôme...