Bulletins de sécurité MicrosoftNovembre 2009

Jean Gautier, Jérôme LeseinneCSS Security EMEA

Bruno SorcelleTechnical Account Manager

Bienvenue !

Présentation des bulletins de NovembreNouveaux Bulletins de sécuritéMises à jour non relatives à la sécurité

Informations connexes :Microsoft® Windows® Malicious Software* Removal ToolAutres informations

Ressources

Questions - Réponses : Envoyez dès maintenant !

* Malicious software (logiciel malveillant)

Questions - Réponses

À tout moment pendant la présentation, posez vos

questions :1. Ouvrez l’interface Questions-réponses en cliquant sur le menu Q&R :

2. Précisez le numéro du Bulletin, entrez votre question et cliquez sur « Poser une question » :

Bulletins de Sécurité de Novembre 2009

MS09-063 : Introduction et indices de gravité

Numéro Titre Indice de gravité

maximalProduits affectés

MS09-063

Une vulnérabilité dans WSDAPI (API de services Web pour périphériques) pourrait permettre l'exécution de code à distance (973565)

Critique• Windows Vista (toutes versions)Windows Vista (toutes versions)• Windows Server 2008 (toutes versions)Windows Server 2008 (toutes versions)

MS09-063 : Une vulnérabilité dans WSDAPI (API de services Web pour périphériques) pourrait permettre l'exécution de code à distance (973565) - Critique

Vulnérabilité • Vulnérabilité d'exécution de code à distance

Vecteurs d'attaque possibles

• Il existe une vulnérabilité d'exécution de code à distance dans WSDAPI (API de services Web pour périphériques) sur les systèmes Windows. Cette vulnérabilité est liée à un traitement incorrect par le service d'un message WSDAPI avec un en-tête spécialement conçu. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté.

Impact • Un attaquant pourrait prendre le contrôle intégrale de la machine.

Facteurs atténuants • Les meilleures pratiques en matière de pare-feu, ainsi que les configurations par défaut des pare-feu, contribuent à protéger les réseaux contre les attaques lancées depuis l'extérieur de l'entreprise. Les meilleures pratiques recommandent que les systèmes connectés à Internet aient le moins possible de ports exposés.

• Seuls les attaquants sur le sous-réseau local pourraient exploiter cette vulnérabilité sans interaction. Même sur les réseaux privés, le service vulnérable est uniquement exposé aux connexions entrantes du sous-réseau local dans le pare-feu Windows.

Contournement • Bloquer les ports TCP entrants 5357 et 5358 et le port UDP sortant 3702 au niveau du pare-feu

Informations complémentaires

• Ces vulnérabilités ont été signalées de manière responsable.• À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou de code

d'exploitation.

MS09-064 : Introduction et indices de gravité

Numéro Titre Indice de gravité

maximalProduits affectés

MS09-064

Une vulnérabilité sur le serveur d'enregistrement de licence pourrait permettre l'exécution de code à distance (974783)

Critique • Microsoft Windows 2000 Server SP4Microsoft Windows 2000 Server SP4

MS09-064 : Une vulnérabilité sur le serveur d'enregistrement de licence pourrait permettre l'exécution de code à distance (974783) - Critique

Vulnérabilité • Vulnérabilité d'exécution de code à distance.

Vecteurs d'attaque possibles

• Il existe une vulnérabilité d'exécution de code à distance ne nécessitant aucune authentification, liée à la façon dont le logiciel du serveur d'enregistrement de licence Microsoft traite les paquets RPC spécialement conçus ce qui permettrait à un attaquant qui parviendrait à exploiter cette vulnérabilité de prendre le contrôle intégral du système affecté.

Impact • Un attaquant pourrait prendre le contrôle intégrale de la machine.

Facteurs atténuants

• Les meilleures pratiques en matière de pare-feu, ainsi que les configurations par défaut des pare-feu, contribuent à protéger les réseaux contre les attaques lancées depuis l'extérieur de l'entreprise. Les meilleures pratiques recommandent que les systèmes connectés à Internet aient le moins possible de ports exposés.

Contournement • Désactivation du service d'enregistrement de licence (License Logging)• Bloquer les ports TCP 139 et 445 au niveau du pare-feu

Informations complémentaires

• Ces vulnérabilités ont été signalées de manière responsable.• À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou

de code d'exploitation.

MS09-065 : Introduction et indices de gravité

Numéro Titre Indice de gravité

maximalProduits affectés

MS09-065

Des vulnérabilités dans les pilotes kernel-mode (mode noyau) Windows pourraient permettre l'exécution de code à distance (969947)

Critique

• Windows 2000 (toutes versions)Windows 2000 (toutes versions)• Windows XP (toutes versions)Windows XP (toutes versions)• Windows Server 2003 (toutes versions)Windows Server 2003 (toutes versions)• Windows Vista (toutes versions)Windows Vista (toutes versions)• Windows Server 2008 (toutes versions)Windows Server 2008 (toutes versions)

MS09-065: Des vulnérabilités dans les pilotes kernel-mode (mode noyau) Windows pourraient permettre l'exécution de code à distance (969947) - Critique

Vulnérabilité • Deux vulnérabilités d’élévation de privilège et une vulnérabilité d'exécution de code à distance.

Vecteurs d'attaque possibles

• La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance si un utilisateur affichait une police Embedded OpenType (EOT) spécialement conçue.

Impact • Un attaquant pourrait obtenir les mêmes droits que l'utilisateur connecté.

Facteurs atténuants • Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur.

• La vulnérabilité ne peut pas être exploitée automatiquement par le biais des messages électroniques.

• L'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site.

• Cela n’affecte pas Windows Vista et Windows Server 2008

Contournement • Désactivation de la prise en charge du traitement des polices intégrées dans Internet Explorer

Informations complémentaires

• Une vulnérabilité a été révélée publiquement (CVE-2009-2514).• À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou de code

d'exploitation.

MS09-066 : Introduction et indices de gravité

Numéro Titre Indice de

gravité maximalProduits affectés

MS09-066

Une vulnérabilité dans Active

Directory pourrait permettre un déni

de service (973309)

Important

• Microsoft Windows 2000 Server Service Pack 4Microsoft Windows 2000 Server Service Pack 4• Windows Server 2003 (toutes versions)Windows Server 2003 (toutes versions)• ADAM sur Windows XP Professionnel (toutes ADAM sur Windows XP Professionnel (toutes

versions)versions)• ADAM sur Windows Server 2003 (toutes versions)ADAM sur Windows Server 2003 (toutes versions)• Windows Server 2008 x86Windows Server 2008 x86• Windows Server 2008 x86 (AD LDS)Windows Server 2008 x86 (AD LDS)• Windows Server 2008 for x64Windows Server 2008 for x64• Windows Server 2008 for x64 (AD LDS)Windows Server 2008 for x64 (AD LDS)

MS09-066 : Une vulnérabilité dans Active Directory pourrait permettre un déni de service (973309) - Important

Vulnérabilité • Vulnérabilité de déni de service.

Vecteurs d'attaque possibles

• Il existe une vulnérabilité de déni de service dans les implémentations d'Active Directory sur Windows 2000 Server, Windows Server 2003 et Windows Server 2008. Cette vulnérabilité existe également dans les implémentations d'Active Directory en mode application (ADAM) installé sur Windows XP et Windows Server 2003 et Active Directory Lightweight Directory Service (AD LDS) sur Windows Server 2008. Cette vulnérabilité est due à l'épuisement de l'espace de pile lors de l'exécution de certains types de requêtes LDAP ou LDAPS.

Impact • Un attaquant qui réussirait à exploiter cette vulnérabilité pourrait empêcher le système affecté de répondre

Facteurs atténuants • Les meilleures pratiques en matière de pare-feu, ainsi que les configurations par défaut des pare-feu, contribuent à protéger les réseaux contre les attaques lancées depuis l'extérieur de l'entreprise. Les meilleures pratiques recommandent que les systèmes connectés à Internet aient le moins possible de ports exposés.

Contournement • Blocage des ports TCP 389, 636, 3268 et 3269 au niveau du pare-feu

Informations complémentaires

• Cette vulnérabilité a été signalée de manière responsable.• À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.

MS09-067 : Introduction

Numéro Titre Indice de

gravité maximalProduits affectés

MS09-067

Des vulnérabilités dans Microsoft Office Excel pourraient permettre l'exécution de code à distance (972652)

Important

• Excel 2002 SP3Excel 2002 SP3• Excel 2003 SP3Excel 2003 SP3• Excel 2007 SP1 & SP2Excel 2007 SP1 & SP2• Excel Viewer 2003 SP3Excel Viewer 2003 SP3• Office Excel ViewerOffice Excel Viewer• Office Compatibility Pack SP1 & SP2Office Compatibility Pack SP1 & SP2• Office 2004, Office 2008 , and Open XML Office 2004, Office 2008 , and Open XML

File Format Converter for MacintoshFile Format Converter for Macintosh

MS09-067 : Des vulnérabilités dans Microsoft Office Excel pourraient permettre l'exécution de code à distance (972652) - ImportantVulnérabilité • Vulnérabilités d'exécution de code à distance.

Vecteurs d'attaque possibles

• Quatre vulnérabilités d’exécution de code à distance existent dans la manière dont Excel traite des fichiers Excel spécialement conçus qui permettrait à un attaquant de prendre le contrôle intégral du système.

Impact • Un attaquant pourrait prendre le contrôle intégrale de la machine.

Facteurs atténuants

• Cela ne peut pas être exploitée automatiquement par le biais des messages électroniques. Pour qu'une attaque aboutisse, il faut que l'utilisateur ouvre la pièce jointe du message électronique correspondant.

• Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

• Les utilisateurs d'Office XP et des versions ultérieures d'Office seront invités à Ouvrir, Enregistrer ou Annuler avant d'ouvrir un document.

Contournement • Adoptez la stratégie de blocage des fichiers Microsoft Office pour bloquer l'ouverture des documents au format Office 2003 et d'une version antérieure provenant d'une source inconnue ou non fiable.Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer.

• Utiliser l'Environnement isolé de conversion Microsoft Office (Microsoft Office Isolated Conversion Environment - MOICE) pour ouvrir des fichiers provenant d'une source inconnue ou non fiable.

• N'ouvrez pas de fichiers Excel provenant de sources non fiables ou reçus de sources fiables de manière inattendue. Cette vulnérabilité pourrait être exploitée lorsqu'un utilisateur ouvre un fichier spécialement conçu.

Informations complémentaires

• Ces vulnérabilités ont été signalées de manière responsable.• À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou de code

d'exploitation.

MS09-068 : Introduction

Numéro Titre Indice de

gravité maximalProduits affectés

MS09-068

Une vulnérabilité dans Microsoft Office Word pourrait permettre l'exécution de code à distance (976307)

Important

• Word 2002 SP3Word 2002 SP3• Word 2003 SP3Word 2003 SP3• Word Viewer 2003 SP3Word Viewer 2003 SP3• Office Word ViewerOffice Word Viewer• Office 2004, Office 2008, & Open XML File Office 2004, Office 2008, & Open XML File

Format Converter for MacintoshFormat Converter for Macintosh

MS09-068 : Une vulnérabilité dans Microsoft Office Word pourrait permettre l'exécution de code à distance (976307) - Important

Vulnérabilité • Vulnérabilités d'exécution de code à distance.

Vecteurs d'attaque possibles

• Il existe une vulnérabilité d'exécution de code à distance dans la façon dont Microsoft Office Word traite un fichier Word spécialement conçu contenant un enregistrement mal formé.

Impact • Un attaquant pourrait prendre le contrôle intégrale de la machine.

Facteurs atténuants

• L'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site.

• La vulnérabilité ne peut pas être exploitée automatiquement par le biais des messages électroniques. Pour qu'une attaque aboutisse, il faut que l'utilisateur ouvre la pièce jointe du message électronique correspondant.

• Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur.

• Les utilisateurs d'Office XP et des versions ultérieures d'Office seront invités à Ouvrir, Enregistrer ou Annuler avant d'ouvrir un document.

Contournement • N'ouvrez pas de documents Word provenant de sources non fiables• Utiliser l'Environnement isolé de conversion Microsoft Office (Microsoft Office

Isolated Conversion Environment - MOICE) pour ouvrir des fichiers provenant d'une source inconnue ou non fiable.

Informations complémentaires

• Cette vulnérabilité a été signalée de manière responsable.• À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou de code

d'exploitation.

Bulletin Windows Update

Microsoft Update

MBSA 2.1 WSUS 3.0 SMS avec Feature Pack

SUS

SMS avec Outil d'inventaire des

mises à jour

SCCM 2007

MS09-063 Oui Oui Oui Oui Non Oui Oui

MS09-064 Oui Oui Oui Oui Oui1 Oui Oui

MS09-065 Oui Oui Oui Oui Oui1 Oui Oui

MS09-066 Oui Oui Oui Oui Oui1 Oui Oui

MS09-067 Non Oui Oui2 Oui Non Oui Oui

MS09-068 Non Oui Oui2 Oui Non Oui Oui

1 - SMS SUSFP ne prend pas en charge Internet Explorer 7, Internet Explorer 8, Office System 2007, Works 8.5 & 9.0, ISA 2006. Virtual PC et Virtual Server, Windows Vista, Windows Server 2008, toutes versions de Windows x64 et les systèmes Windows ia642 - Microsoft ne fournis pas d’outils de detection et déploiement pour les applications qui fonctionnent sur Macintosh

Détection et déploiement

Informations de mise à jour (suite)

Bulletin Redémarrage requis Désinstallation Remplace

MS09-063 Oui Oui

MS09-064 Oui Oui

MS09-065 Oui Oui MS09-025

MS09-066 Oui Oui MS08-035

MS09-018

MS09-067 Éventuellement Oui MS09-021

MS09-068 Éventuellement Oui MS09-027

Novembre 2009 - Mises à jour non relatives à la sécurité

Windows Malicious Software Removal Tool

Ajoute la possibilité de supprimer :Win32/FakeVimes Win32/PrivacyCenter. Disponible en tant que mise à jour prioritaire sous Windows Update et Microsoft UpdateDisponible par WSUS 3.0

Disponible en téléchargement à l'adresse suivante : http://www.microsoft.com/france/securite/malwareremove

RessourcesSynthèse des Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletin/ms09-nov.mspx

Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletin Webcast des Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletin/webcasts.mspx

Avis de sécuritéhttp://www.microsoft.com/france/technet/security/advisory

Abonnez-vous à la synthèse des Bulletins de sécurité (en français)http://www.microsoft.com/france/securite/newsletters.mspx

Blog du MSRC (Microsoft Security Response Center)http://blogs.technet.com/msrc

Microsoft France sécurité http://www.microsoft.com/france/securite TechNet sécuritéhttp://www.microsoft.com/france/technet/security

Informations légales

L’OBJET DU PRESENT DOCUMENT EST DE VOUS FOURNIR L’INFORMATION QUE VOUS AVEZ DEMANDEE CONCERNANT LA SECURITE. GENERALEMENT, L’INFORMATION PROVOQUE UNE PRISE DE CONSCIENCE AUTOUR DE LA SECURITE ET IDENTIFIE LE PERSONNEL, LES PROCEDES, RESSOURCES ET TECHNOLOGIES QUI SONT DESTINES A PROMOUVOIR DE BONNES REGLES DE SECURITE DANS VOTRE ORGANISATION. LES VIRUS ET AUTRES TECHNOLOGIES NUISIBLES DESTINES A ATTAQUER VOTRE ENVIRONNEMENT INFORMATIQUE CHANGENT CONTINUELLEMENT AFIN DE CONTOURNER LES MESURES DE SECURITE EXISTANTES. DES LORS, MAINTENIR UN ENVIRONNEMENT INFORMATIQUE FIABLE EST UN PROCESSUS CONTINU QUI EXIGE QUE VOUS MAINTENIEZ UN PERSONNEL, DES PROCEDES, RESSOURCES ET TECHNOLOGIES ADEQUATS AFIN DE VOUS PROTEGER CONTRE TOUTE ATTEINTE A LA SECURITE. AUCUNE DISPOSITION CONTENUE DANS LES PRESENTES NE DOIT ETRE INTERPRETEE OU CONSIDEREE COMME UNE CERTIFICATION, UNE GARANTIE OU TOUTE AUTRE FORME DE VALIDATION QUE VOTRE ENVIRONNEMENT INFORMATIQUE EST ET DEMEURERA PROTEGE CONTRE DES ATTEINTES A LA SECURITE ET NOUS N’ASSUMONS AUCUNE RESPONSABILITE POUR TOUTE ATTEINTE A LA SECURITE OU TOUT DOMMAGE OU PERTE SUBSEQUENT. TOUTES COMMUNICATIONS OU TRANSMISSIONS D’INFORMATION QUI VOUS SONT ADRESSEES AU SUJET DE MICROSOFT ET CONCERNANT LA SECURITE INCLUANT NOTAMMENT TOUTES SUGGESTIONS, ANALYSES, OU COMMENTAIRES QUI VOUS SONT FOURNIS DURANT UNE ANALYSE RELATIVE A LA SECURITE OU TOUTE AUTRE INFORMATION PASSEE, PRESENTE OU FUTURE RELATIVE NOTAMMENT AUX TESTS DE SECURITE, EVALUATIONS, DISPONIBILITES, HORAIRES OU OBJECTIFS (CI-APRES COLLECTIVEMENT DENOMMES « INFORMATIONS SUR LA SECURITE »), SONT FOURNIS CONFORMEMENT AUX CONDITIONS DU CONTRAT DE SERVICE EXISTANT ENTRE VOUS ET MICROSOFT ET UNIQUEMENT AFIN DE VOUS PERMETTRE DE VOUS ORGANISER FACE A D’EVENTUELS PROBLEMES DE SECURITE. TOUTES LES INFORMATIONS SUR LA SECURITE CONTIENNENT TOUTES LES DONNEES QUI NOUS SONT ACTUELLEMENT ACCESSIBLES MAIS QUI SONT SUSCEPTIBLES DE CHANGER EN RAISON DU CHANGEMENT CONSTANT DE CES DONNEES SANS QUE MICROSOFT VOUS AIT PREALABLEMENT INFORME DE CES CHANGEMENTS. NOUS VOUS RECOMMANDONS DONC DE VERIFIER REGULIEREMENT AUPRES DE NOUS ET SUR LE SITE INTERNET DE SECURITE SITUE A L’ADRESSE SUIVANTE WWW.MICROSOFT.COM/SECURITY SI LES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES FONT L’OBJET DE MISES A JOUR. VEUILLEZ NOUS CONTACTER SI VOUS AVEZ D’AUTRES QUESTIONS CONCERNANT DES PROBLEMES DE SECURITE OU SI VOUS AVEZ BESOIN D’UNE MISE A JOUR DES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES.