Bulletins de sécurité MicrosoftFévrier 2009

Jean GautierCSS Security EMEA IR Team

Mathieu MalaiseDirection technique et sécurité

Bienvenue !

Présentation des Bulletins de févrierQuatre nouveaux Bulletins de sécuritéMise à jour non relatives à la sécurité

Informations connexes :Microsoft® Windows® Malicious Software* Removal Tool

Ressources

Questions - Réponses

* Malicious software (logiciel malveillant)

Bulletins de Sécurité - février 2009Résumé

Nouveaux Bulletins de sécurité :Critique : 2Important : 2

Questions - Réponses

À tout moment pendant la présentation, posez vos

questions :1. Ouvrez l’interface Questions-réponses en cliquant sur le menu Q&R :

2. Précisez le numéro du Bulletin, entrez votre question et cliquez sur « Poser une question » :

Indices de gravité cumulée et Indices d'exploitabilité

Bulletin Indice de gravité maximalIndice d'exploitabilité

maximum

MS09-002 CritiqueÉlevé - Possibilité de code d’exploitation fonctionnel

MS09-003 CritiqueMoyen - Possibilité de code

d’exploitation peu fonctionnel

MS09-004 ImportantÉlevé - Possibilité de code d’exploitation fonctionnel

MS09-005 ImportantMoyen - Possibilité de code

d’exploitation peu fonctionnel

* Tri par indice de gravité et indice d'exploitabilité* Indice de gravité dans chaque Bulletin* Indice d'exploitabilité dans la Synthèse

MS09-002 : Introduction

Numéro Titre Indice de gravité

maximalProduits affectés

MS09-002Mise à jour de sécurité cumulative pour Internet Explorer (961260)

CritiqueInternet Explorer 7 sur toutes les versions de Windows en cours de support.

*Installation Server Core de Windows Server 2008 non concernée.

Numéro

Internet Explorer 7 sur :

Windows Vista et Windows Vista SP1,

Windows Vista Édition x64 et Édition x64 SP1

Internet Explorer 7 sur : Windows Server 2003 x64 et x64 SP2, Windows Server 2003

SP1 et SP2

Internet Explorer 7 sur :

Windows Server 2003 SP1 et SP2, Windows Server

2003 x64 et x64 SP2, Windows Server 2003 pour

les systèmes Itanium et SP2 pour les systèmes Itanium.

MS09-002 Critique Modéré Modéré

Internet Explorer 7 sur :

Windows XP

SP2 et SP3, Windows XP x64 et x64 SP2

Internet Explorer 7 sur :

Windows Server 2003 pour les systèmes Itanium et pour les

systèmes Itanium SP2

Internet Explorer 7 sur :Windows Server 2008 pour systèmes 32 bits, Windows Server 2008 pour systèmes x64 et Windows Server 2008

pour systèmes Itanium

*Installation Server Core de Windows Server 2008 non concernée.

MS09-002 : Indices de gravité

MS09-002 : Mise à jour de sécurité cumulative pour Internet Explorer (961260) - Critique

Vulnérabilité • Deux vulnérabilités d'exécution de code

Vecteurs d'attaque possibles

• L'attaquant crée une page Web malveillante.• L'attaquant poste la page sur un site Web ou l'envoie par email au format

HTML• L'attaquant persuade l'utilisateur de consulter le site Web ou d'ouvrir l'email

Impact • Exécution de code dans le contexte de l'utilisateur

Facteurs atténuants

• Limitations en vigueur sur le compte de l'utilisateur• La vulnérabilité ne peut être exploitée automatiquement. L'utilisateur doit

visiter un site malveillant manuellement ou en cliquant sur un lien dans un email ou dans un message instantané.

• Par défaut, dans toutes les versions de Microsoft Outlook et d'Outlook Express prises en charge, les messages au format HTML sont ouverts dans la zone Sites sensibles.

• Sur Windows Server 2003 et Windows Server 2008, la Configuration de sécurité améliorée d'Internet Explorer aide à réduire ce risque en modifiant de nombreux paramètres liés à la sécurité.

MS09-003 : Introduction et indices de gravité

Numéro Titre Indice de gravité

maximalProduits affectés

MS09-003

*Des vulnérabilités dans Microsoft Exchange pourraient permettre l'exécution de code à distance (959239)

CritiqueToutes versions d'Exchange Server en cours de support

MS09-003 : Des vulnérabilités dans Microsoft Exchange pourraient permettre l'exécution de code à distance (959239) - Critique

Vulnérabilité • Une vulnérabilité d'exécution de code• Une vulnérabilité de déni de service

Vecteurs d'attaque possibles

• Un attaquant envoie un message au format TNEF spécialement conçu à un serveur Exchange.

• Un attaquant envoie une commande MAPI spécialement conçue à un serveur Exchange.

Impact • Exécution de code dans le contexte du compte de service Exchange Server.

• Le service de surveillance du système Exchange cesse de répondre.

Informations connexes

• Contournement : Bloquer les messages électroniques au format TNEF afin d'aider à vous protéger contre le vecteur d'attaque par message électronique.

MS09-004 : Introduction

Numéro Titre Indice de gravité

maximalProduits affectés

MS09-004

Une vulnérabilité dans Microsoft SQL Server pourrait permettre l'exécution de code à distance (959420)

Important

•SQL Server 2000 SP4•SQL Server 2005 SP2•SQL Server 2000 Desktop Edition (MSDE) SP4•SQL Server 2005 Express Edition SP2•Base de données interne Windows (WYukon) SP2

•Non concernés :•SQL Server 2005 SP2•SQL Server 2008

*Installation Server Core de Windows Server 2008 concernée.

Numéro

SQL Server 2000 Desktop Engine (WMSDE) sur :

Windows Server 2003 SP1 et SP2, Windows Server 2003 Édition x64

et Édition x64 SP2

Base de données interne Windows (WYukon)

Édition x64 SP2 sur : Windows Server 2003 x64

et x64 SP2, Windows Server 2003 SP1 et SP2,

Windows Server 2008 pour systèmes x64*

SQL Server 2005 SP2 pour systèmes Itanium, SQL Server 2000 Desktop Engine (MSDE 2000) SP4, SQL Server 2005

Express Edition SP2, SQL Server 2005 Express Edition with Advanced Services SP2

MS09-004 Important Important Important

Windows Internal Database (WYukon) SP2 sur :

Windows Server 2003 SP1 et SP2, Windows Server 2003 Édition x64

et Édition x64 SP2, Windows Server 2008 pour systèmes 32 bits.*

SQL Server 2000 SP4, SQL Server 2000 pour systèmes Itanium SP4, SQL Server 2005 SP2;

SQL Server 2005 Édition x64 SP2

*Installation Server Core de Windows Server 2008 concernée.

MS09-004 : Indices de gravité

MS09-004 : Une vulnérabilité dans Microsoft SQL Server pourrait permettre l'exécution de code à distance (959420) - Important

Vulnérabilité • Une vulnérabilité d'exécution de code

Vecteurs d'attaque possibles

• Un attaquant pourrait créer une requête qui appelle la procédure stockée vulnérable.

Impact • Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté.

Facteurs atténuants

• Cette vulnérabilité n'est pas exposée de manière anonyme.• Par défaut, MSDE 2000 et SQL Server 2005 Express n'autorisent pas les

connexions à distance. Un attaquant authentifié devrait lancer une attaque localement afin d'exploiter la vulnérabilité.

Informations connexes

• Cette vulnérabilité a d'abord été décrite dans l'Avis de sécurité Microsoft 961040.

• Pourrait permettre l'exécution de code à distance si une attaque par injection SQL se produisait sur un système affecté.

• Consultez l'Article 954462 de la Base de connaissances Microsoft pour plus d'informations sur les outils et les conseils disponibles pour vous protéger contre les attaques par injection SQL.

MS09-005 : Introduction et indices de gravité

Numéro Titre Indice de gravité

maximalProduits affectés

MS09-005

Des vulnérabilités dans Microsoft Office Visio pourraient permettre l'exécution de code à distance (957634)

Important Toutes versions de Visio en cours de support (Viewer n'est pas concerné).

MS09-005 : Des vulnérabilités dans Microsoft Office Visio pourraient permettre l'exécution de code à distance (957634) - Important

Vulnérabilité • Trois vulnérabilités d'exécution de code dans Microsoft Visio liées au traitement d'éléments de données malformés

Vecteurs d'attaque possibles

• L'attaquant crée un document Visio spécifique• L'attaquant poste le document Visio sur un site Web ou l'envoie par email• L'attaquant persuade l'utilisateur de consulter le site Web ou d'ouvrir la pièce

jointe

Impact • Exécution de code dans le contexte de l'utilisateur

Facteurs atténuants

• Les limites du compte de l'utilisateur limitent les possibilités du code de l'attaquant

• Ne peut pas être exploité de façon automatique par message électronique. L'utilisateur doit ouvrir une pièce jointe dans un message électronique

• L'utilisateur doit accéder au site malveillant manuellement ou en cliquant sur un lien dans un email ou dans un message instantané. L'accès aux sites ne peut être automatisé

• Ne peut pas être exploité de façon automatique sur une page Web. L'utilisateur doit accepter le message d'une boîte de dialogue

Détection et déploiement

Bulletin Windows Update

Microsoft Update

MBSA 2.1

WSUS 2.0 /

WSUS 3.0

SMS avec

Feature Pack SUS

SMS avec Outil

d'inventaire des mises à

jour

SCCM 2007

MS09-002 Oui Oui Oui Oui Non Oui Oui

MS09-003 Oui Oui Oui Oui Oui1 Oui Oui

MS09-004 Oui Oui Oui Oui Non Oui Oui

MS09-005 Oui Oui Oui Oui Oui1 Oui Oui

1. SMS avec le Feature Pack SUS (SUSFP) ne prend pas en charge Exchange Server 2007 Internet Explorer 7.0, Office System 2007, Host Integration Server, Windows Vista, Windows Server 2008 et les éditions x64 ou pour les systèmes Itanium de Windows.

Informations de mise à jour (suite)

BulletinRedémarrage requis

HotPatching

Désinstallation Remplace

MS09-002 Oui Non applicable

Oui MS08-073

MS09-003 Éventuellement Non applicable

Oui MS08-039

MS09-004 Éventuellement Non applicable

Oui MS08-040

MS08-052

MS09-005 Éventuellement Non applicable

Oui MS08-019

Avis de sécurité Microsoft - Mise à jour de sécurité cumulative pour les kill bits ActiveX (960715)

Définit les kill bits pour les logiciels tiers suivants :Akamai Download ManagerResearch in Motion (RIM) AxLoader

Consultez les sites web des éditeurs concernés pour plus d'informations sur ces mises à jour.

Pour en savoir plus sur l'installation de cette mise à jour, consultez l'Article 960715 de la Base de connaissances Microsoft.

Février 2009 - Mises à jour non relatives à la sécurité

Windows Malicious Software Removal Tool

Ajoute la possibilité de supprimer :Win32/SrizbiDisponible en tant que mise à jour prioritaire sous Windows Update et Microsoft Update :Disponible par WSUS 2.0 et WSUS 3.0

Disponible en téléchargement à l'adresse suivante : http://microsoft.com/france/securite/malwareremove

RessourcesSynthèse des Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletin/ms09-feb.mspx

Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletinWebcast des Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletin/webcasts.mspx

Avis de sécuritéhttp://www.microsoft.com/france/technet/security/advisory

Abonnez-vous à la synthèse des Bulletins de sécurité (en français)http://www.microsoft.com/france/securite/newsletters.mspx

Blog du MSRC (Microsoft Security Response Center)http://blogs.technet.com/msrc

Microsoft France sécurité http://www.microsoft.com/france/securite TechNet sécuritéhttp://www.microsoft.com/france/technet/security

Informations légales

L’OBJET DU PRESENT DOCUMENT EST DE VOUS FOURNIR L’INFORMATION QUE VOUS AVEZ DEMANDEE CONCERNANT LA SECURITE. GENERALEMENT, L’INFORMATION PROVOQUE UNE PRISE DE CONSCIENCE AUTOUR DE LA SECURITE ET IDENTIFIE LE PERSONNEL, LES PROCEDES, RESSOURCES ET TECHNOLOGIES QUI SONT DESTINES A PROMOUVOIR DE BONNES REGLES DE SECURITE DANS VOTRE ORGANISATION. LES VIRUS ET AUTRES TECHNOLOGIES NUISIBLES DESTINES A ATTAQUER VOTRE ENVIRONNEMENT INFORMATIQUE CHANGENT CONTINUELLEMENT AFIN DE CONTOURNER LES MESURES DE SECURITE EXISTANTES. DES LORS, MAINTENIR UN ENVIRONNEMENT INFORMATIQUE FIABLE EST UN PROCESSUS CONTINU QUI EXIGE QUE VOUS MAINTENIEZ UN PERSONNEL, DES PROCEDES, RESSOURCES ET TECHNOLOGIES ADEQUATS AFIN DE VOUS PROTEGER CONTRE TOUTE ATTEINTE A LA SECURITE. AUCUNE DISPOSITION CONTENUE DANS LES PRESENTES NE DOIT ETRE INTERPRETEE OU CONSIDEREE COMME UNE CERTIFICATION, UNE GARANTIE OU TOUTE AUTRE FORME DE VALIDATION QUE VOTRE ENVIRONNEMENT INFORMATIQUE EST ET DEMEURERA PROTEGE CONTRE DES ATTEINTES A LA SECURITE ET NOUS N’ASSUMONS AUCUNE RESPONSABILITE POUR TOUTE ATTEINTE A LA SECURITE OU TOUT DOMMAGE OU PERTE SUBSEQUENT. TOUTES COMMUNICATIONS OU TRANSMISSIONS D’INFORMATION QUI VOUS SONT ADRESSEES AU SUJET DE MICROSOFT ET CONCERNANT LA SECURITE INCLUANT NOTAMMENT TOUTES SUGGESTIONS, ANALYSES, OU COMMENTAIRES QUI VOUS SONT FOURNIS DURANT UNE ANALYSE RELATIVE A LA SECURITE OU TOUTE AUTRE INFORMATION PASSEE, PRESENTE OU FUTURE RELATIVE NOTAMMENT AUX TESTS DE SECURITE, EVALUATIONS, DISPONIBILITES, HORAIRES OU OBJECTIFS (CI-APRES COLLECTIVEMENT DENOMMES « INFORMATIONS SUR LA SECURITE »), SONT FOURNIS CONFORMEMENT AUX CONDITIONS DU CONTRAT DE SERVICE EXISTANT ENTRE VOUS ET MICROSOFT ET UNIQUEMENT AFIN DE VOUS PERMETTRE DE VOUS ORGANISER FACE A D’EVENTUELS PROBLEMES DE SECURITE. TOUTES LES INFORMATIONS SUR LA SECURITE CONTIENNENT TOUTES LES DONNEES QUI NOUS SONT ACTUELLEMENT ACCESSIBLES MAIS QUI SONT SUSCEPTIBLES DE CHANGER EN RAISON DU CHANGEMENT CONSTANT DE CES DONNEES SANS QUE MICROSOFT VOUS AIT PREALABLEMENT INFORME DE CES CHANGEMENTS. NOUS VOUS RECOMMANDONS DONC DE VERIFIER REGULIEREMENT AUPRES DE NOUS ET SUR LE SITE INTERNET DE SECURITE SITUE A L’ADRESSE SUIVANTE WWW.MICROSOFT.COM/SECURITY SI LES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES FONT L’OBJET DE MISES A JOUR. VEUILLEZ NOUS CONTACTER SI VOUS AVEZ D’AUTRES QUESTIONS CONCERNANT DES PROBLEMES DE SECURITE OU SI VOUS AVEZ BESOIN D’UNE MISE A JOUR DES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES.