Bulletins de sécurité MicrosoftNovembre 2008

Jean GautierCSS Security EMEA IR TeamJérôme LeseinneCSS Security EMEA IR Team

Mathieu MalaiseDirection technique et sécurité

Bruno SorcellePremier Services

Bienvenue !

Présentation des Bulletins de novembreNouveaux Bulletins de sécuritéMise à jour non relatives à la sécurité

Informations connexes :Microsoft® Windows® Malicious Software* Removal ToolRapport Microsoft sur les données de sécurité volume 5

Ressources

* Malicious software (logiciel malveillant)

Bulletins de sécurité - novembre 2008Résumé

Nouveaux Bulletins de sécurité :Critique : 1Important : 1

Questions - Réponses

Vous pouvez poser vos questions à tout

moment

en indiquant le numéro du Bulletin concerné

et en utilisant le bouton “Poser une

question”

Indices de gravité cumulée et Indices d'exploitabilité

BulletinIndice de

gravité maximal

Indice d'exploitabilité

maximum

MS08-069 Critique1 - Possibilité de code

d’exploitation fonctionnel

MS08-068 Important1 - Possibilité de code

d’exploitation fonctionnel

* Tri par indice de gravité et indice d'exploitabilité* Indice de gravité dans chaque Bulletin* Indice d'exploitabilité dans la Synthèse

MS08-068 : Introduction

Numéro Titre Indice de gravité

maximalProduits affectés

MS08-068

Une vulnérabilité dans SMB pourrait permettre l’exécution de code à distance (957097)

Important

Windows 2000 SP4, Windows XP SP2 et SP3, Windows XP Professional Édition x64 et SP2, Windows Server 2003 SP1 et SP2, Windows Server 2003 Édition x64 et Windows Server 2003 Édition x64 SP2, Windows Server 2003 avec SP1 et avec SP2 pour systèmes Itanium, Windows Vista et Windows Vista SP1, Windows Vista Édition x64 et Windows Vista Édition x64 SP1, Windows Server 2008 pour systèmes 32 bits*, Windows Server 2008 pour systèmes x64*, Windows Server 2008 pour systèmes Itanium

MS08-068 : Indices de gravité

NuméroWindows 2000

SP4

Windows XP

SP2 et SP3, Windows XP Édition x64 et

Édition x64 SP2

Windows Server 2003 x64 et x64 SP2, Windows Server 2003 SP1 et SP2

Windows Server 2003 pour systèmes

Itanium et pour systèmes

Itanium SP2

Windows Vista et

Windows Vista SP1, Windows

Vista Édition x64 et Édition

x64 SP1

Windows Server 2008 pour

systèmes 32 bits, Windows Server

2008 pour systèmes x64 et Windows Server

2008 pour systèmes Itanium

MS08-068 Important Important Important Modéré Modéré

MS08-068 : Une vulnérabilité dans SMB pourrait permettre l’exécution de code à distance (957097)- Important

Vulnérabilité • Une vulnérabilité d'exécution de code à distance lors du traitement des informations d'identification NTLM pourrait permettre à un attaquant de réutiliser les informations d’identification et d'exécuter du code dans le contexte de l'utilisateur connecté.

Vecteurs d'attaque possibles

• L'attaquant met en place un serveur malveillant• L'attaquant persuade l'utilisateur de se connecter au serveur

malveillant• L'attaquant réutilise les informations d’identification sur le système

local de l'utilisateur• Le code de l'attaquant s'exécute sur le système local

Impact • Exécution de code dans le contexte de l'utilisateur connecté

Facteurs atténuants

• Utiliser un compte standard (sans privilège) peut limiter la portée du code de l'attaquant.

• Les meilleures pratiques en matière de pare-feu contribuent à protéger en bloquant le trafic SMB (ports TCP 139 et 445)

MS08-069 : Introduction et indices de gravité

Numéro Titre Indice de gravité

maximalProduits affectés

MS08-069

Des vulnérabilités dans Microsoft XML Core Services pourraient permettre l'exécution de code à distance (955218)

CritiqueToutes versions de Windows et de Windows Server prises en charge

Important Office 2003 et Office 2007

MS08-069 : Des vulnérabilités dans Microsoft XML Core Services pourraient permettre l'exécution de code à distance (955218)- Critique

Vulnérabilité • Une vulnérabilité d'exécution de code concernant MSXML 3.0• Vulnérabilités de divulgation d'informations concernant MSXML 4.0,

MSXML 5.0 et MSXML 6.0

Vecteurs d'attaque possibles

• L'attaquant crée une page HTML spécifique• L'attaquant poste la page sur un site Web ou l'envoie par email au

format HTML• L'attaquant persuade l'utilisateur de consulter le site Web ou d'ouvrir

l'email

Impact • Exécution de code dans le contexte de l'utilisateur et divulgation d'informations

Facteurs atténuants

• Limitations en vigueur sur le compte de l'utilisateur• La vulnérabilité ne peut être exploitée automatiquement.

L'utilisateur doit visiter un site malveillant manuellement ou en cliquant sur un lien dans un email ou dans un message instantané.

Bulletin Windows Update

Microsoft Update

MBSA 2.1 WSUS 2.0 / WSUS 3.0

SMS avec Feature

Pack SUS

SMS avec Outil

d'inventaire des

mises à jour

SCCM 2007

MS08-068 Oui Oui Oui Oui Non 1 Oui Oui

MS08-069 Oui Oui Oui Oui Non 2 Oui Oui

1. SMS 2.0 et SMS avec Feature Pack SUS prennent uniquement en charge Windows 2000 SP4, Windows XP SP2 et SP3, Windows Server 2003 SP1 et SP2 pour ce Bulletin.

2. SMS 2.0 et SMS avec Feature Pack SUS prennent uniquement en charge Windows 2000 SP4, Windows XP SP2 et SP3, Windows Server 2003 SP1 et SP2, Office 2003 SP3, Word Viewer 2003 SP3, XML Core Services 4.0 et XML Core Services 6.0 pour ce Bulletin.

Détection et déploiement

Informations de mise à jour (suite)

BulletinRedémarrage

requisHotPatching

Désinstallation Remplace

MS08-068 OuiNon

applicableOui MS06-030

MS08-069 ÉventuellementNon

applicableOui MS07-042

Novembre 2008 – Mises à jour non relatives à la sécurité

Article de la Base de connaissan

ces

Titre Distribution

KB905866Mise à jour du filtre de courrier indésirable Windows Mail Publication de novembre 2008 pour le filtre de courrier indésirable Windows Mail

Catalogue, AutoUpdates, WSUS

KB890830Windows Malicious Software Removal ToolPublication de novembre 2008 pour le Windows Malicious Software Removal Tool

Catalogue, AutoUpdates, WSUS

Windows Malicious Software Removal ToolAjoute la possibilité de supprimer :

Win32/FakeSecSenWin32/Gimmiv

Disponible en tant que mise à jour prioritaire sous Windows Update et Microsoft Update :

Disponible par WSUS 2.0 et WSUS 3.0

Disponible en téléchargement à l'adresse suivante : http://www.microsoft.com/france/securite/malwareremove

Rapport Microsoft sur les données de sécurité volume 5

Janvier à juin 2008 Point de vue détaillé sur le contexte versatile des menaces• Divulgation et exploitation

des vulnérabilités• Logiciels malveillants et

logiciels potentiellement indésirables

• Protection de la vie privée et notifications de violation de la sécurité

Disponible en téléchargement à l'adresse suivante : http://www.microsoft.com/france/sir

RessourcesSynthèse des Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletin/ms08-nov.mspx

Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletinWebcast des Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletin/webcasts.mspx

Avis de sécuritéhttp://www.microsoft.com/france/technet/security/advisory

Abonnez-vous à la synthèse des Bulletins de sécurité (en français)http://www.microsoft.com/france/securite/newsletters.mspx

Blog du MSRC (Microsoft Security Response Center)http://blogs.technet.com/msrc

Microsoft France sécurité http://www.microsoft.com/france/securite TechNet sécuritéhttp://www.microsoft.com/france/technet/security

Informations légales

L’OBJET DU PRESENT DOCUMENT EST DE VOUS FOURNIR L’INFORMATION QUE VOUS AVEZ DEMANDEE CONCERNANT LA SECURITE. GENERALEMENT, L’INFORMATION PROVOQUE UNE PRISE DE CONSCIENCE AUTOUR DE LA SECURITE ET IDENTIFIE LE PERSONNEL, LES PROCEDES, RESSOURCES ET TECHNOLOGIES QUI SONT DESTINES A PROMOUVOIR DE BONNES REGLES DE SECURITE DANS VOTRE ORGANISATION. LES VIRUS ET AUTRES TECHNOLOGIES NUISIBLES DESTINES A ATTAQUER VOTRE ENVIRONNEMENT INFORMATIQUE CHANGENT CONTINUELLEMENT AFIN DE CONTOURNER LES MESURES DE SECURITE EXISTANTES. DES LORS, MAINTENIR UN ENVIRONNEMENT INFORMATIQUE FIABLE EST UN PROCESSUS CONTINU QUI EXIGE QUE VOUS MAINTENIEZ UN PERSONNEL, DES PROCEDES, RESSOURCES ET TECHNOLOGIES ADEQUATS AFIN DE VOUS PROTEGER CONTRE TOUTE ATTEINTE A LA SECURITE. AUCUNE DISPOSITION CONTENUE DANS LES PRESENTES NE DOIT ETRE INTERPRETEE OU CONSIDEREE COMME UNE CERTIFICATION, UNE GARANTIE OU TOUTE AUTRE FORME DE VALIDATION QUE VOTRE ENVIRONNEMENT INFORMATIQUE EST ET DEMEURERA PROTEGE CONTRE DES ATTEINTES A LA SECURITE ET NOUS N’ASSUMONS AUCUNE RESPONSABILITE POUR TOUTE ATTEINTE A LA SECURITE OU TOUT DOMMAGE OU PERTE SUBSEQUENT. TOUTES COMMUNICATIONS OU TRANSMISSIONS D’INFORMATION QUI VOUS SONT ADRESSEES AU SUJET DE MICROSOFT ET CONCERNANT LA SECURITE INCLUANT NOTAMMENT TOUTES SUGGESTIONS, ANALYSES, OU COMMENTAIRES QUI VOUS SONT FOURNIS DURANT UNE ANALYSE RELATIVE A LA SECURITE OU TOUTE AUTRE INFORMATION PASSEE, PRESENTE OU FUTURE RELATIVE NOTAMMENT AUX TESTS DE SECURITE, EVALUATIONS, DISPONIBILITES, HORAIRES OU OBJECTIFS (CI-APRES COLLECTIVEMENT DENOMMES « INFORMATIONS SUR LA SECURITE »), SONT FOURNIS CONFORMEMENT AUX CONDITIONS DU CONTRAT DE SERVICE EXISTANT ENTRE VOUS ET MICROSOFT ET UNIQUEMENT AFIN DE VOUS PERMETTRE DE VOUS ORGANISER FACE A D’EVENTUELS PROBLEMES DE SECURITE. TOUTES LES INFORMATIONS SUR LA SECURITE CONTIENNENT TOUTES LES DONNEES QUI NOUS SONT ACTUELLEMENT ACCESSIBLES MAIS QUI SONT SUSCEPTIBLES DE CHANGER EN RAISON DU CHANGEMENT CONSTANT DE CES DONNEES SANS QUE MICROSOFT VOUS AIT PREALABLEMENT INFORME DE CES CHANGEMENTS. NOUS VOUS RECOMMANDONS DONC DE VERIFIER REGULIEREMENT AUPRES DE NOUS ET SUR LE SITE INTERNET DE SECURITE SITUE A L’ADRESSE SUIVANTE WWW.MICROSOFT.COM/SECURITY SI LES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES FONT L’OBJET DE MISES A JOUR. VEUILLEZ NOUS CONTACTER SI VOUS AVEZ D’AUTRES QUESTIONS CONCERNANT DES PROBLEMES DE SECURITE OU SI VOUS AVEZ BESOIN D’UNE MISE A JOUR DES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES.