Bulletins de sécurité Microsoft Novembre 2008 Jean Gautier CSS Security EMEA IR Team Jérôme...
-
Upload
mirabelle-blanc -
Category
Documents
-
view
110 -
download
0
Transcript of Bulletins de sécurité Microsoft Novembre 2008 Jean Gautier CSS Security EMEA IR Team Jérôme...
Bulletins de sécurité MicrosoftNovembre 2008
Jean GautierCSS Security EMEA IR TeamJérôme LeseinneCSS Security EMEA IR Team
Mathieu MalaiseDirection technique et sécurité
Bruno SorcellePremier Services
Bienvenue !
Présentation des Bulletins de novembreNouveaux Bulletins de sécuritéMise à jour non relatives à la sécurité
Informations connexes :Microsoft® Windows® Malicious Software* Removal ToolRapport Microsoft sur les données de sécurité volume 5
Ressources
* Malicious software (logiciel malveillant)
Bulletins de sécurité - novembre 2008Résumé
Nouveaux Bulletins de sécurité :Critique : 1Important : 1
Questions - Réponses
Vous pouvez poser vos questions à tout
moment
en indiquant le numéro du Bulletin concerné
et en utilisant le bouton “Poser une
question”
Indices de gravité cumulée et Indices d'exploitabilité
BulletinIndice de
gravité maximal
Indice d'exploitabilité
maximum
MS08-069 Critique1 - Possibilité de code
d’exploitation fonctionnel
MS08-068 Important1 - Possibilité de code
d’exploitation fonctionnel
* Tri par indice de gravité et indice d'exploitabilité* Indice de gravité dans chaque Bulletin* Indice d'exploitabilité dans la Synthèse
MS08-068 : Introduction
Numéro Titre Indice de gravité
maximalProduits affectés
MS08-068
Une vulnérabilité dans SMB pourrait permettre l’exécution de code à distance (957097)
Important
Windows 2000 SP4, Windows XP SP2 et SP3, Windows XP Professional Édition x64 et SP2, Windows Server 2003 SP1 et SP2, Windows Server 2003 Édition x64 et Windows Server 2003 Édition x64 SP2, Windows Server 2003 avec SP1 et avec SP2 pour systèmes Itanium, Windows Vista et Windows Vista SP1, Windows Vista Édition x64 et Windows Vista Édition x64 SP1, Windows Server 2008 pour systèmes 32 bits*, Windows Server 2008 pour systèmes x64*, Windows Server 2008 pour systèmes Itanium
MS08-068 : Indices de gravité
NuméroWindows 2000
SP4
Windows XP
SP2 et SP3, Windows XP Édition x64 et
Édition x64 SP2
Windows Server 2003 x64 et x64 SP2, Windows Server 2003 SP1 et SP2
Windows Server 2003 pour systèmes
Itanium et pour systèmes
Itanium SP2
Windows Vista et
Windows Vista SP1, Windows
Vista Édition x64 et Édition
x64 SP1
Windows Server 2008 pour
systèmes 32 bits, Windows Server
2008 pour systèmes x64 et Windows Server
2008 pour systèmes Itanium
MS08-068 Important Important Important Modéré Modéré
MS08-068 : Une vulnérabilité dans SMB pourrait permettre l’exécution de code à distance (957097)- Important
Vulnérabilité • Une vulnérabilité d'exécution de code à distance lors du traitement des informations d'identification NTLM pourrait permettre à un attaquant de réutiliser les informations d’identification et d'exécuter du code dans le contexte de l'utilisateur connecté.
Vecteurs d'attaque possibles
• L'attaquant met en place un serveur malveillant• L'attaquant persuade l'utilisateur de se connecter au serveur
malveillant• L'attaquant réutilise les informations d’identification sur le système
local de l'utilisateur• Le code de l'attaquant s'exécute sur le système local
Impact • Exécution de code dans le contexte de l'utilisateur connecté
Facteurs atténuants
• Utiliser un compte standard (sans privilège) peut limiter la portée du code de l'attaquant.
• Les meilleures pratiques en matière de pare-feu contribuent à protéger en bloquant le trafic SMB (ports TCP 139 et 445)
MS08-069 : Introduction et indices de gravité
Numéro Titre Indice de gravité
maximalProduits affectés
MS08-069
Des vulnérabilités dans Microsoft XML Core Services pourraient permettre l'exécution de code à distance (955218)
CritiqueToutes versions de Windows et de Windows Server prises en charge
Important Office 2003 et Office 2007
MS08-069 : Des vulnérabilités dans Microsoft XML Core Services pourraient permettre l'exécution de code à distance (955218)- Critique
Vulnérabilité • Une vulnérabilité d'exécution de code concernant MSXML 3.0• Vulnérabilités de divulgation d'informations concernant MSXML 4.0,
MSXML 5.0 et MSXML 6.0
Vecteurs d'attaque possibles
• L'attaquant crée une page HTML spécifique• L'attaquant poste la page sur un site Web ou l'envoie par email au
format HTML• L'attaquant persuade l'utilisateur de consulter le site Web ou d'ouvrir
l'email
Impact • Exécution de code dans le contexte de l'utilisateur et divulgation d'informations
Facteurs atténuants
• Limitations en vigueur sur le compte de l'utilisateur• La vulnérabilité ne peut être exploitée automatiquement.
L'utilisateur doit visiter un site malveillant manuellement ou en cliquant sur un lien dans un email ou dans un message instantané.
Bulletin Windows Update
Microsoft Update
MBSA 2.1 WSUS 2.0 / WSUS 3.0
SMS avec Feature
Pack SUS
SMS avec Outil
d'inventaire des
mises à jour
SCCM 2007
MS08-068 Oui Oui Oui Oui Non 1 Oui Oui
MS08-069 Oui Oui Oui Oui Non 2 Oui Oui
1. SMS 2.0 et SMS avec Feature Pack SUS prennent uniquement en charge Windows 2000 SP4, Windows XP SP2 et SP3, Windows Server 2003 SP1 et SP2 pour ce Bulletin.
2. SMS 2.0 et SMS avec Feature Pack SUS prennent uniquement en charge Windows 2000 SP4, Windows XP SP2 et SP3, Windows Server 2003 SP1 et SP2, Office 2003 SP3, Word Viewer 2003 SP3, XML Core Services 4.0 et XML Core Services 6.0 pour ce Bulletin.
Détection et déploiement
Informations de mise à jour (suite)
BulletinRedémarrage
requisHotPatching
Désinstallation Remplace
MS08-068 OuiNon
applicableOui MS06-030
MS08-069 ÉventuellementNon
applicableOui MS07-042
Novembre 2008 – Mises à jour non relatives à la sécurité
Article de la Base de connaissan
ces
Titre Distribution
KB905866Mise à jour du filtre de courrier indésirable Windows Mail Publication de novembre 2008 pour le filtre de courrier indésirable Windows Mail
Catalogue, AutoUpdates, WSUS
KB890830Windows Malicious Software Removal ToolPublication de novembre 2008 pour le Windows Malicious Software Removal Tool
Catalogue, AutoUpdates, WSUS
Windows Malicious Software Removal ToolAjoute la possibilité de supprimer :
Win32/FakeSecSenWin32/Gimmiv
Disponible en tant que mise à jour prioritaire sous Windows Update et Microsoft Update :
Disponible par WSUS 2.0 et WSUS 3.0
Disponible en téléchargement à l'adresse suivante : http://www.microsoft.com/france/securite/malwareremove
Rapport Microsoft sur les données de sécurité volume 5
Janvier à juin 2008 Point de vue détaillé sur le contexte versatile des menaces• Divulgation et exploitation
des vulnérabilités• Logiciels malveillants et
logiciels potentiellement indésirables
• Protection de la vie privée et notifications de violation de la sécurité
Disponible en téléchargement à l'adresse suivante : http://www.microsoft.com/france/sir
RessourcesSynthèse des Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletin/ms08-nov.mspx
Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletinWebcast des Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletin/webcasts.mspx
Avis de sécuritéhttp://www.microsoft.com/france/technet/security/advisory
Abonnez-vous à la synthèse des Bulletins de sécurité (en français)http://www.microsoft.com/france/securite/newsletters.mspx
Blog du MSRC (Microsoft Security Response Center)http://blogs.technet.com/msrc
Microsoft France sécurité http://www.microsoft.com/france/securite TechNet sécuritéhttp://www.microsoft.com/france/technet/security
Informations légales
L’OBJET DU PRESENT DOCUMENT EST DE VOUS FOURNIR L’INFORMATION QUE VOUS AVEZ DEMANDEE CONCERNANT LA SECURITE. GENERALEMENT, L’INFORMATION PROVOQUE UNE PRISE DE CONSCIENCE AUTOUR DE LA SECURITE ET IDENTIFIE LE PERSONNEL, LES PROCEDES, RESSOURCES ET TECHNOLOGIES QUI SONT DESTINES A PROMOUVOIR DE BONNES REGLES DE SECURITE DANS VOTRE ORGANISATION. LES VIRUS ET AUTRES TECHNOLOGIES NUISIBLES DESTINES A ATTAQUER VOTRE ENVIRONNEMENT INFORMATIQUE CHANGENT CONTINUELLEMENT AFIN DE CONTOURNER LES MESURES DE SECURITE EXISTANTES. DES LORS, MAINTENIR UN ENVIRONNEMENT INFORMATIQUE FIABLE EST UN PROCESSUS CONTINU QUI EXIGE QUE VOUS MAINTENIEZ UN PERSONNEL, DES PROCEDES, RESSOURCES ET TECHNOLOGIES ADEQUATS AFIN DE VOUS PROTEGER CONTRE TOUTE ATTEINTE A LA SECURITE. AUCUNE DISPOSITION CONTENUE DANS LES PRESENTES NE DOIT ETRE INTERPRETEE OU CONSIDEREE COMME UNE CERTIFICATION, UNE GARANTIE OU TOUTE AUTRE FORME DE VALIDATION QUE VOTRE ENVIRONNEMENT INFORMATIQUE EST ET DEMEURERA PROTEGE CONTRE DES ATTEINTES A LA SECURITE ET NOUS N’ASSUMONS AUCUNE RESPONSABILITE POUR TOUTE ATTEINTE A LA SECURITE OU TOUT DOMMAGE OU PERTE SUBSEQUENT. TOUTES COMMUNICATIONS OU TRANSMISSIONS D’INFORMATION QUI VOUS SONT ADRESSEES AU SUJET DE MICROSOFT ET CONCERNANT LA SECURITE INCLUANT NOTAMMENT TOUTES SUGGESTIONS, ANALYSES, OU COMMENTAIRES QUI VOUS SONT FOURNIS DURANT UNE ANALYSE RELATIVE A LA SECURITE OU TOUTE AUTRE INFORMATION PASSEE, PRESENTE OU FUTURE RELATIVE NOTAMMENT AUX TESTS DE SECURITE, EVALUATIONS, DISPONIBILITES, HORAIRES OU OBJECTIFS (CI-APRES COLLECTIVEMENT DENOMMES « INFORMATIONS SUR LA SECURITE »), SONT FOURNIS CONFORMEMENT AUX CONDITIONS DU CONTRAT DE SERVICE EXISTANT ENTRE VOUS ET MICROSOFT ET UNIQUEMENT AFIN DE VOUS PERMETTRE DE VOUS ORGANISER FACE A D’EVENTUELS PROBLEMES DE SECURITE. TOUTES LES INFORMATIONS SUR LA SECURITE CONTIENNENT TOUTES LES DONNEES QUI NOUS SONT ACTUELLEMENT ACCESSIBLES MAIS QUI SONT SUSCEPTIBLES DE CHANGER EN RAISON DU CHANGEMENT CONSTANT DE CES DONNEES SANS QUE MICROSOFT VOUS AIT PREALABLEMENT INFORME DE CES CHANGEMENTS. NOUS VOUS RECOMMANDONS DONC DE VERIFIER REGULIEREMENT AUPRES DE NOUS ET SUR LE SITE INTERNET DE SECURITE SITUE A L’ADRESSE SUIVANTE WWW.MICROSOFT.COM/SECURITY SI LES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES FONT L’OBJET DE MISES A JOUR. VEUILLEZ NOUS CONTACTER SI VOUS AVEZ D’AUTRES QUESTIONS CONCERNANT DES PROBLEMES DE SECURITE OU SI VOUS AVEZ BESOIN D’UNE MISE A JOUR DES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES.