Jean Gautier CSS Security EMEA IR Team Jérôme Leseinne CSS Security EMEA IR Team Mathieu Malaise...

Bulletins de sécurité Microsoft – Octobre 2008

Jean GautierCSS Security EMEA IR TeamJérôme LeseinneCSS Security EMEA IR TeamMathieu MalaiseDirection technique et sécurité

Bienvenue !

Présentation des bulletins d'octobreNouveaux bulletins de sécuritéMise à jour non relatives à la sécurité

Informations connexes :Microsoft® Windows® Malicious Software* Removal Tool

RessourcesQuestions - Réponses

* Malicious software (logiciel malveillant)

Bulletins de Sécurité - octobre 2008Résumé

Nouveaux bulletins de sécurité :Critique : 4Important : 6Modéré : 1

Questions - Réponses

Vous pouvez poser vos questions à tout momenten indiquant le numéro du Bulletin concernéet en utilisant le bouton “Poser une question”

Indices de gravité cumulée et Indices d'exploitabilité

BulletinIndice de gravité

maximalIndice d'exploitabilité maximum

MS08-058 Critique (connu du public à la publication du Bulletin)

MS08-057 Critique 1 - Possibilité de code d’exploitation fonctionnel



MS08-062 Important 1 - Possibilité de code d’exploitation fonctionnel

MS08-066 Important 1 - Possibilité de code d’exploitation fonctionnel

MS08-063 Important 2 - Possibilité de code d’exploitation peu fonctionnel

MS08-064 Important 2 - Possibilité de code d’exploitation peu fonctionnel

MS08-061 Important 3 - Faible possibilité de code d’exploitation fonctionnel

MS08-065 Important 3 - Faible possibilité de code d’exploitation fonctionnel

MS08-056 Modéré 2 - Possibilité de code d’exploitation peu fonctionnel

* Tri par indice de gravité et indice d'exploitabilité* Indice de gravité dans chaque Bulletin* Indice d'exploitabilité dans la Synthèse

MS08-056 : Introduction et indices de gravité

Numéro Titre Indice de gravité

maximalProduits affectés

MS08-056

Une vulnérabilité dans Microsoft Office pourrait permettre la divulgation d'informations (957699)

Modéré

Microsoft Office XP Service Pack 2

MS08-056 : Une vulnérabilité dans Microsoft Office pourrait permettre la divulgation d'informations (957699) - modéré

Vulnérabilité • Divulgation d'informations si un utilisateur clique sur une URL CDO spécialement conçue.

Vecteurs d'attaque possibles

• Convaincre l'utilisateur de cliquer sur un lien hypertexte

Impact • L'attaquant pourrait usurper du contenu, divulguer des informations ou entreprendre toute action autorisée pour cet utilisateur sur le site Web affecté.

Facteurs atténuants

• Par défaut, Internet Explorer sur Windows Server 2003 et Windows Server 2008 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée.

Informations connexes

• Désactiver le gestionnaire de protocole CDO en tant que solution intérimaire.

MS08-057 : Introduction



MS08-057

Des vulnérabilités dans Microsoft Excel pourraient permettre l'exécution de code à distance (956416)

Critique

Office 2000 Service Pack 3, Office XP Service Pack 3, Office 2003 Service Pack 2, Office 2003 Service Pack 3, Office System 2007, Office System 2007 Service Pack 1, Office Excel Viewer 2003, Office Excel Viewer 2003 Service Pack 3, Office Excel Viewer, Pack de compatibilité Microsoft Office pour les formats de fichier Word, Excel et PowerPoint 2007, Pack de compatibilité Microsoft Office pour les formats de fichier Word, Excel et PowerPoint 2007 Service Pack 1, Office SharePoint Server 2007*, Office SharePoint Server 2007 Service Pack 1*, Office SharePoint Server 2007 Édition x64*, Office SharePoint Server 2007 Édition x64 Service Pack 1*, Office 2004 pour Mac, Office 2008 pour Mac, Convertisseur de format de fichier Open XML pour Mac

MS08-057 : Indices de gravité

Numéro

Excel 2000 Service Pack

3 sur :Microsoft

Office 2000 Service Pack

3

Excel 2002 Service Pack 3 sur :

Microsoft Office XP Service Pack 3


Microsoft Office 2003 Service Pack 2

Office Excel Viewer 2003, Office Excel Viewer 2003

Service Pack 3, Office Excel Viewer, Pack de

compatibilité Microsoft Office pour les formats de

fichier Word, Excel et PowerPoint 2007

Microsoft Office SharePoint Server

2007 Édition x64*,

Microsoft Office SharePoint Server 2007 Édition x64 Service Pack 1*

MS08-057 Critique Important Important Important


Microsoft Office 2003 Service Pack 3

Excel 2007 sur :Microsoft Office System

2007Excel 2007 Service

Pack 1 sur :Microsoft Office

System 2007 Service Pack 1

Pack de compatibilité Microsoft Office pour les formats de fichier Word,

Excel et PowerPoint 2007 Service Pack 1, Office

SharePoint Server 2007*, Office SharePoint Server

2007 Service Pack 1*

Microsoft Office 2004 pour Mac, Office 2008 pour

Mac, Convertisseur de format de fichier Open XML pour

Mac

MS08-057 : Des vulnérabilités dans Microsoft Excel pourraient permettre l'exécution de code à distance (956416) - critique

Vulnérabilité • Excel traite de manière inappropriée le chargement du cache de performances VBA avec les contrôles ActiveX.


• L'utilisateur ouvre un fichier Excel malformé reçu par email.• L'utilisateur clique sur un lien qui le dirige vers le site Web d'un attaquant.

Impact • Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Un attaquant pourrait installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges.


• Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

MS08-058 : Introduction



MS08-058Mise à jour de sécurité cumulative pour Internet Explorer (956390)

Critique

Microsoft Windows 2000 Service Pack 4, Windows XP Service Pack 2 et Service Pack 3, Windows XP Professional Édition x64 et Service Pack 2, Windows Server 2003 Service Pack 1 et Service Pack 2, Windows Server 2003 Édition x64 et Windows Server 2003 Édition x64 Service Pack 2, Windows Server 2003 avec SP1 et avec SP2 pour les systèmes Itanium, Windows Vista et Windows Vista Service Pack 1, Windows Vista Édition x64 et Windows Vista Édition x64 Service Pack 1, Windows Server 2008 pour systèmes 32 bits*, Windows Server 2008 systèmes x64*, Windows Server 2008 pour les systèmes Itanium

*Installation Server Core de Windows Server 2008 non concernée.

Numéro

Windows 2000 SP4 avec Internet

Explorer 5.01 SP4 et Internet Explorer

6 SP1

Internet Explorer 7 sur :

Windows Vista et Windows Vista SP1,

Windows Vista Édition x64 et Édition

x64 SP1

Internet Explorer 6 sur : Windows

Server 2003 x64 et x64 SP2,

Windows Server 2003 SP1 et SP2

Internet Explorer 7 sur :Windows Server 2003 SP1 et SP2, Windows

Server 2003 x64 et x64 SP2, Windows Server

2003 pour les systèmes Itanium et SP2 pour les

systèmes Itanium.

MS08-058 Critique Important Modéré Faible

Internet Explorer 6 sur : Windows XP

SP2 et SP3, Windows XP

Édition x64 et Édition x64 SP2


Windows XP SP2 et SP3, Windows XP x64 et x64 SP2


Windows Server 2003 pour les

systèmes Itanium et pour les

systèmes Itanium SP2

Internet Explorer 7 sur :Windows Server 2008 pour systèmes 32 bits, Windows Server 2008 pour systèmes x64 et Windows Server 2008 pour systèmes Itanium

*Installation Server Core de Windows Server 2008 non concernée.

MS08-058 : Indices de gravité

MS08-058 : Mise à jour de sécurité cumulative pour Internet Explorer (956390) - Critique

Vulnérabilité • Six vulnérabilités dans Internet Explorer


• Un attaquant pourrait héberger un site Web malveillant conçu pour exploiter cette vulnérabilité d'Internet Explorer puis inciter un utilisateur à consulter ce site Web.



• Par défaut, Internet Explorer sur Windows Server 2003 et Windows Server 2008 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée.

• Windows Internet Explorer 7 n'est pas concerné par certaines de ces vulnérabilités.




MS08-059

Une vulnérabilité dans le service RPC de Host Integration Server pourrait permettre l'exécution de code à distance (956695)

Critique

Microsoft Host Integration Server 2000 Service Pack 2 (serveur), Host Integration Server 2000 Administrator (client), Host Integration Server 2004 (serveur), Host Integration Server 2004 Service Pack 1 (serveur), Host Integration Server 2004 (client), Host Integration Server 2004 Service Pack 1 (client), Host Integration Server 2006 pour systèmes 32 bits, Host Integration Server 2006 pour systèmes x64

MS08-059 : Une vulnérabilité dans le service RPC de Host Integration Server pourrait permettre l'exécution de code à distance (956695) - critique

Vulnérabilité • Le service RPC SNA procède à une validation incorrecte des requêtes RPC


• Un attaquant crée un message RPC spécialement conçu et l'envoie à un système concerné sur le port RPC TCP/UDP.



• Les clients qui suivent les méthodes recommandées et configurent le compte de service SNA RPC de sorte qu'il dispose de moins de droits utilisateur sur le système subiraient moins d'impact.




MS08-060

Une vulnérabilité dans Active Directory pourrait permettre l'exécution de code à distance (957280)

Critique

Microsoft Windows 2000 Server Service Pack 4

MS08-060 : Une vulnérabilité dans Active Directory pourrait permettre l'exécution de code à distance (957280) - critique

Vulnérabilité • Active Directory alloue la mémoire de manière incorrecte pour des requêtes LDAP clientes spécialement conçues.


• L'attaquant envoie un paquet LDAP spécialement conçu à un contrôleur de domaine Windows 2000.



• Les meilleures pratiques en matière de pare-feu, ainsi que les configurations par défaut des pare-feu, contribuent à protéger les réseaux contre les attaques lancées depuis l’extérieur de l’entreprise.

• Bloquer les ports TCP 389 et 636 au niveau du pare-feu d'entreprise, à la fois en entrée et en sortie, aide à protéger les systèmes situés derrière ce pare-feu des tentatives d’exploitation de cette vulnérabilité.




MS08-061

Des vulnérabilités dans le noyau Windows pourraient permettre une élévation de privilèges (954211)

Important


*Installation Server Core de Windows Server 2008 concernée.

MS08-061 : Des vulnérabilités dans le noyau Windows pourraient permettre une élévation de privilèges (954211) - important

Vulnérabilité • Trois vulnérabilités dans le noyau Windows


• L'utilisateur ouvre une session locale sur le système cible



• Pour exploiter cette vulnérabilité, un attaquant doit disposer d'informations d'identification valides et doit être en mesure d'ouvrir une session en local sur un système vulnérable. Cette vulnérabilité ne peut pas être exploitée à distance ou par des utilisateurs anonymes.




MS08-062

Une vulnérabilité dans le service d'impression Internet de Windows pourrait permettre l'exécution de code à distance (953155)

Important



MS08-062 : Une vulnérabilité dans le service d'impression Internet de Windows pourrait permettre l'exécution de code à distance (953155) - important

Vulnérabilité • Validation incorrecte des données reçues des ordinateurs distants au sein du service IPP (Internet Printing Protocol).


• Un attaquant pourrait envoyer une requête HTTP POST spécialement conçue à un serveur ISS exécutant le protocole IPP (Internet Printing Protocol).



• Les installations d'IIS sur Windows Server 2003 et Windows Server 2008 ne sont pas vulnérables dans leur configuration par défaut.

• L'exploitation de cette vulnérabilité nécessite que le serveur IIS communique en sortie avec un ordinateur malveillant sur le port 445.




MS08-063

Une vulnérabilité dans SMB pourrait permettre l’exécution de code à distance (957095)

Important



MS08-063 : Une vulnérabilité dans SMB pourrait permettre l’exécution de code à distance (957095) - important

Vulnérabilité • Validation insuffisante des longueurs de noms de fichiers particulières dans SMB.


• Envoi de paquets spécialement conçus à un serveur



• Un attaquant doit disposer de l'adresse IP de l'hôte cible, du nom d'ordinateur NetBIOS et du numéro du port pour envoyer ce trafic malveillant.

• Seuls les utilisateurs authentifiés sont en mesure d’exploiter cette vulnérabilité.




MS08-064

Une vulnérabilité dans la manipulation du descripteur d'adresses virtuelles pourrait permettre une élévation de privilèges (956841)

Important

Microsoft Windows XP Service Pack 2 et Service Pack 3, Windows XP Professional Édition x64 et Service Pack 2, Windows Server 2003 Service Pack 1 et Service Pack 2, Windows Server 2003 Édition x64 et Windows Server 2003 Édition x64 Service Pack 2, Windows Server 2003 avec SP1 et avec SP2 pour les systèmes Itanium, Windows Vista et Windows Vista Service Pack 1, Windows Vista Édition x64 et Windows Vista Édition x64 Service Pack 1, Windows Server 2008 pour systèmes 32 bits*, Windows Server 2008 systèmes x64*, Windows Server 2008 pour les systèmes Itanium


MS08-064 : Une vulnérabilité dans la manipulation du descripteur d'adresses virtuelles pourrait permettre une élévation de privilèges (956841) - important

Vulnérabilité • Validation insuffisante des paramètres de descripteurs d'adresses virtuelles


• Un attaquant pourrait exécuter un programme spécialement conçu qui pourrait provoquer un dépassement d'entier.



• Un attaquant doit être authentifié pour pouvoir exploiter cette vulnérabilité.




MS08-065

Une vulnérabilité dans Message Queuing pourrait permettre l'exécution de code à distance (951071)

ImportantMicrosoft Windows 2000 Service Pack 4

MS08-065 : Une vulnérabilité dans Message Queuing pourrait permettre l'exécution de code à distance (951071) - important

Vulnérabilité • Le service MSMQ effectue une validation insuffisante des paramètres au niveau des API de chaînes invoquées.


• Un attaquant pourrait envoyer une requête RPC spécialement conçue au service MSMQ.



• Par défaut, le composant Message Queuing n'est pas installé sur les éditions concernées du système d'exploitation et ne peut être activé que par un utilisateur doté de privilèges d'administration.




MS08-066

Une vulnérabilité dans le Pilote de fonction connexe Microsoft pourrait permettre une élévation de privilèges (956803)

Important

Windows XP Service Pack 2 et Service Pack 3, Windows XP Professional Édition x64 et Édition x64 Service Pack 2, Windows Server 2003 Service Pack 1 et Service Pack 2, Windows Server 2003 Édition x64 et Édition x64 Service Pack 2, Windows Server 2003 avec SP1 et avec SP2 pour les systèmes Itanium

MS08-066 : Une vulnérabilité dans le Pilote de fonction connexe Microsoft pourrait permettre une élévation de privilèges (956803) - important

Vulnérabilité • Validation insuffisante des entrées transmises au noyau Windows depuis le mode utilisateur par l'intermédiaire du composant AFD.


• Ouverture de session locale sur le système cible



• Pour exploiter cette vulnérabilité, un attaquant doit disposer d'informations d'identification valides et doit être en mesure d'ouvrir une session en local sur un système vulnérable. Cette vulnérabilité ne peut pas être exploitée à distance ou par des utilisateurs anonymes.

Bulletin Windows Update

Microsoft Update

MBSA 2.1 WSUS 2.0 / WSUS 3.0

SMS avec Feature

Pack SUS

SMS avec Outil

d'inventaire des

mises à jour

SCCM 2007

MS08-056 Non Oui Oui Oui Oui 1 Oui Oui

MS08-057 Non Oui 2 Oui 2 Oui 2 Oui 1 Oui 2 Oui 2

MS08-058 Oui Oui Oui Oui Oui 1 Oui Oui

MS08-059 Non Oui Oui Oui Oui 1 Oui Oui

MS08-060 Oui Oui Oui Oui Oui Oui Oui





MS08-065 Oui Oui Oui Oui Oui Oui Oui


1. SMS avec le Feature Pack SUS (SUSFP) ne prend pas en charge Internet Explorer 7.0, Office System 2007, Host Integration Server, Windows Vista, Windows Server 2008 et les éditions x64 ou pour les systèmes Itanium de Windows.

2. Microsoft Update, MBSA 2.1, WSUS, SMS avec l'Outil d'inventaire des mises à jour (ITMU) et SCCM 2007 ne prennent pas en charge Office 2000.

Détection et déploiement

Informations de mise à jour (suite)

Bulletin Redémarrage requis HotPatching Désinstallation Remplace

MS08-056 Non Non applicable

Oui Aucune

MS08-057 Non Non applicable

Oui (sauf Windows 2000) MS08-043

MS08-058 Oui Non applicable

Oui MS08-045

MS08-059 Éventuellement Non applicable

Oui Aucune


Oui MS08-035


Oui MS08-025


Oui MS05-023


Oui MS08-063


Oui MS07-022MS07-066

Avis de sécurité Microsoft 932596


Oui MS07-065


Oui Aucune

Avis de sécurité Microsoft - Mise à jour de sécurité cumulative pour les kill bits ActiveX (956391)

Pour en savoir plus sur l'installation de cette mise à jour, consultez l'Article 956391 de la Base de connaissances Microsoft.

Article de la Base de connaissan

ces

Titre Distribution

KB905866 Mise à jour du filtre de courrier indésirable Windows Mail Publication d'octobre 2008 pour le filtre de courrier indésirable Windows Mail

Catalogue, AutoUpdates, WSUS

KB890830 Windows Malicious Software Removal ToolPublication d'octobre 2008 pour le Windows Malicious Software Removal Tool


KB956147 Mise à jour cumulative concernant Media Center TVPack pour Windows Vista Installez cette mise à jour pour résoudre des problèmes avec Media Center pour Windows Vista. Pour une liste complète des problèmes traités par cette mise à jour cumulative, consultez l'Article 956147 de la Base de connaissances Microsoft.


KB955519 Mise à jour cumulative concernant Media Center pour Windows Vista Installez cette mise à jour pour résoudre des problèmes avec Media Center pour Windows Vista. Pour une liste complète des problèmes traités par cette mise à jour cumulative, consultez l'Article 955519 de la Base de connaissances Microsoft.


KB957000 Mise à jour pour Windows Server 2008 et Windows VistaInstallez cette mise à jour pour améliorer la qualité des informations logicielles envoyés à Microsoft dans le cadre du programme d'amélioration Windows Server 2008 / Windows Vista (CEIP).


Octobre 2008 - Mises à jour non relatives à la sécurité

Windows Malicious Software Removal Tool

Ajoute la possibilité de supprimer :Win32/RustockDisponible en tant que mise à jour prioritaire sous Windows Update et Microsoft Update :Disponible par WSUS 2.0 et WSUS 3.0

Disponible en téléchargement à l'adresse suivante : http://www.microsoft.com/france/securite/malwareremove

RessourcesWebcast des Bulletins de sécurité

Résumé des Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletin/ms08-oct.mspxBulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletinProgramme de conseils sécurité Microsoft : Glossairehttp://www.microsoft.com/france/technet/security/bulletin/glossary.mspxAvis de sécuritéhttp://www.microsoft.com/france/technet/security/advisory

Abonnez-vous à la synthèse des Bulletins de sécurité (en français)http://www.microsoft.com/france/securite/newsletters.mspx

Blog du MSRC (Microsoft Security Response Center)http://blogs.technet.com/msrc

Microsoft France sécurité http://www.microsoft.com/france/securite Lettres d'informationhttp://www.microsoft.com/france/securite/newsletters.mspxTechNet sécuritéhttp://www.microsoft.com/france/technet/security

Informations légales

L’OBJET DU PRESENT DOCUMENT EST DE VOUS FOURNIR L’INFORMATION QUE VOUS AVEZ DEMANDEE CONCERNANT LA SECURITE. GENERALEMENT, L’INFORMATION PROVOQUE UNE PRISE DE CONSCIENCE AUTOUR DE LA SECURITE ET IDENTIFIE LE PERSONNEL, LES PROCEDES, RESSOURCES ET TECHNOLOGIES QUI SONT DESTINES A PROMOUVOIR DE BONNES REGLES DE SECURITE DANS VOTRE ORGANISATION. LES VIRUS ET AUTRES TECHNOLOGIES NUISIBLES DESTINES A ATTAQUER VOTRE ENVIRONNEMENT INFORMATIQUE CHANGENT CONTINUELLEMENT AFIN DE CONTOURNER LES MESURES DE SECURITE EXISTANTES. DES LORS, MAINTENIR UN ENVIRONNEMENT INFORMATIQUE FIABLE EST UN PROCESSUS CONTINU QUI EXIGE QUE VOUS MAINTENIEZ UN PERSONNEL, DES PROCEDES, RESSOURCES ET TECHNOLOGIES ADEQUATS AFIN DE VOUS PROTEGER CONTRE TOUTE ATTEINTE A LA SECURITE. AUCUNE DISPOSITION CONTENUE DANS LES PRESENTES NE DOIT ETRE INTERPRETEE OU CONSIDEREE COMME UNE CERTIFICATION, UNE GARANTIE OU TOUTE AUTRE FORME DE VALIDATION QUE VOTRE ENVIRONNEMENT INFORMATIQUE EST ET DEMEURERA PROTEGE CONTRE DES ATTEINTES A LA SECURITE ET NOUS N’ASSUMONS AUCUNE RESPONSABILITE POUR TOUTE ATTEINTE A LA SECURITE OU TOUT DOMMAGE OU PERTE SUBSEQUENT. TOUTES COMMUNICATIONS OU TRANSMISSIONS D’INFORMATION QUI VOUS SONT ADRESSEES AU SUJET DE MICROSOFT ET CONCERNANT LA SECURITE INCLUANT NOTAMMENT TOUTES SUGGESTIONS, ANALYSES, OU COMMENTAIRES QUI VOUS SONT FOURNIS DURANT UNE ANALYSE RELATIVE A LA SECURITE OU TOUTE AUTRE INFORMATION PASSEE, PRESENTE OU FUTURE RELATIVE NOTAMMENT AUX TESTS DE SECURITE, EVALUATIONS, DISPONIBILITES, HORAIRES OU OBJECTIFS (CI-APRES COLLECTIVEMENT DENOMMES « INFORMATIONS SUR LA SECURITE »), SONT FOURNIS CONFORMEMENT AUX CONDITIONS DU CONTRAT DE SERVICE EXISTANT ENTRE VOUS ET MICROSOFT ET UNIQUEMENT AFIN DE VOUS PERMETTRE DE VOUS ORGANISER FACE A D’EVENTUELS PROBLEMES DE SECURITE. TOUTES LES INFORMATIONS SUR LA SECURITE CONTIENNENT TOUTES LES DONNEES QUI NOUS SONT ACTUELLEMENT ACCESSIBLES MAIS QUI SONT SUSCEPTIBLES DE CHANGER EN RAISON DU CHANGEMENT CONSTANT DE CES DONNEES SANS QUE MICROSOFT VOUS AIT PREALABLEMENT INFORME DE CES CHANGEMENTS. NOUS VOUS RECOMMANDONS DONC DE VERIFIER REGULIEREMENT AUPRES DE NOUS ET SUR LE SITE INTERNET DE SECURITE SITUE A L’ADRESSE SUIVANTE WWW.MICROSOFT.COM/SECURITY SI LES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES FONT L’OBJET DE MISES A JOUR. VEUILLEZ NOUS CONTACTER SI VOUS AVEZ D’AUTRES QUESTIONS CONCERNANT DES PROBLEMES DE SECURITE OU SI VOUS AVEZ BESOIN D’UNE MISE A JOUR DES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES.

Jean Gautier CSS Security EMEA IR Team Jérôme Leseinne CSS Security EMEA IR Team Mathieu Malaise...

Documents

Transcript of Jean Gautier CSS Security EMEA IR Team Jérôme Leseinne CSS Security EMEA IR Team Mathieu Malaise...