Bulletins de Sécurité MicrosoftNovembre 2010

Jean Gautier, Ramin BarretoCSS Security EMEA

Bruno Sorcelle, Valéry KremerTechnical Account Manager

Bienvenue !Présentation des bulletins de Novembre 2010

3 Nouveaux bulletins de SécuritéMises à jour non relatives à la sécurité

Informations connexes :Microsoft® Windows® Malicious Software* Removal ToolAutres informations

RessourcesQuestions - Réponses : Envoyez dès maintenant !

* Malicious software (logiciel malveillant)

Questions - RéponsesÀ tout moment pendant la présentation, posez vos

questions :1. Ouvrez l’interface Questions-réponses en cliquant sur le menu Q&R :

2. Précisez le numéro du Bulletin, entrez votre question et cliquez sur « Poser une question » :

Bulletins de Sécurité de Novembre 2010

Bulletin N°Article Indice de gravité

maximal

Composants Logiciels Affectés

MS10-087 2423930 Critique Office Microsoft Office

MS10-088 2293386 Important PowerPoint Microsoft Office

MS10-089 2316074 Important UAG Microsoft Forefront Unified Access Gateway

MS10-087 : Introduction et indices de gravité

Numéro Titre Indice de gravité maximal Produits affectés

MS10-087

Des vulnérabilités dans Microsoft Office pourraient permettre l'exécution de code à distance (2423930)

Critique

• Microsoft Office XP Service Pack 3• Microsoft Office 2003 Service Pack

3• Microsoft Office 2007 Service Pack

2• Microsoft Office 2010 (éditions 32

bits)• Microsoft Office 2010 (éditions 64

bits)• Microsoft Office 2004 pour Mac [1]

• Microsoft Office 2008 pour Mac [1]

• Microsoft Office 2011 pour Mac• Convertisseur de formats de fichier

Open XML pour Mac [1]

[1] Les mises à jour de sécurité pour Microsoft Office 2004 pour Mac, Microsoft Office 2008 pour Mac et le Convertisseur de formats de fichier Open XML pour Mac sont indisponibles pour le moment.

MS10-087 : Des vulnérabilités dans Microsoft Office pourraient permettre l‘exécution de code à distance (2423930) - Critique

Vulnérabilité • Vulnérabilités d’exécution de code à distance

Vecteurs d'attaque possibles

• Un fichier Office spécialement conçu • Une DLL spécialement conçu• Mécanismes habituel : une page Web spécialement conçue, une pièce jointe, un message

instantané, un partage de fichiers peer-to-peer, un partage réseau, ou une clé USB

Impact • L’attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté.

Facteurs atténuants • Dans le cas d'une attaque Web, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter un site Web malveillant , un système de fichier distant ou un partage WebDAV distant non fiable.

• La vulnérabilité ne peut pas être exploitée automatiquement par le biais des messages électroniques.

• Le protocole SMB est habituellement désactivé sur les pare-feu périmétrique.• Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que

l'utilisateur.

Contournement • Lecture des messages électroniques au format texte brut• Adopter la stratégie de blocage des fichiers Microsoft Office pour bloquer l'ouverture des

documents au format RTF et format Office 2003 provenant d'une source inconnue ou non fiable• Utiliser l'Environnement isolé de conversion Microsoft Office (Microsoft Office Isolated

Conversion Environment - MOICE) pour ouvrir des fichiers provenant d'une source inconnue ou non fiable.

• Désactiver le service client WebClient• Désactiver le chargement de bibliothèques à partir de partages réseau WebDAV et distants• Bloquer les ports TCP 139 et 445 au niveau du pare-feu

Informations complémentaires

• Ces vulnérabilités n’ont pas été signalées publiquement avant la publication de ce bulletin hormis la CV-2010-3337 qui est décrite dans l’avis de sécurité 2269637

• À la publication de ce bulletin, nous n'avons pas connaissance d'attaques ou de code d'exploitation.

MS10-088 : Introduction et indices de gravité

Numéro Titre Indice de gravité maximal Produits affectés

MS10-088

Des vulnérabilités dans Microsoft PowerPoint pourraient permettre l'exécution de code à distance (2293386)

Important

• Microsoft PowerPoint 2002 Service Pack 3

• Microsoft PowerPoint 2003 Service Pack 3

• Microsoft Office 2004 pour Mac [1]

• Microsoft PowerPoint Viewer Service Pack 2

[1] La mise à jour de sécurité pour Microsoft Office 2004 pour Mac n'est pas disponible pour le moment.

MS10-088 : Des vulnérabilités dans Microsoft PowerPoint pourraient permettre l'exécution de code à distance (2293386) - Important

Vulnérabilité • Vulnérabilités d’exécution de code à distance

Vecteurs d'attaque possibles

• Un fichier PowerPoint spécialement conçu • Mécanismes habituel : une page Web spécialement conçue, une pièce jointe, un message

instantané, un partage de fichiers peer-to-peer, un partage réseau, ou une clé USB

Impact • L’attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté.

Facteurs atténuants • Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur.

• Dans le cas d'une attaque Web, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter un site Web malveillant.

• La vulnérabilité ne peut pas être exploitée automatiquement par le biais des messages électroniques. Pour qu'une attaque aboutisse, il faut que l'utilisateur ouvre la pièce jointe du message électronique

• Par défaut, l'ouverture de fichiers PowerPoint 95 est bloquée dans Microsoft PowerPoint 2003 Service Pack 3.

Contournement • Limitez l'accès à pp7x32.dll pour les utilisateurs de Microsoft PowerPoint 2002• N'ouvrez pas de documents PowerPoint provenant de sources non fiables• Adoptez la stratégie de blocage des fichiers Microsoft Office pour bloquer l'ouverture des

documents provenant d'une source inconnue ou non fiable.• Utiliser l'Environnement isolé de conversion Microsoft Office (Microsoft Office Isolated

Conversion Environment - MOICE) pour ouvrir des fichiers provenant d'une source inconnue ou non fiable.

Informations complémentaires

• Ces vulnérabilités n’ont pas été signalées publiquement avant la publication de ce bulletin• À la publication de ce bulletin, nous n'avons pas connaissance d'attaques ou de code

d'exploitation.

MS10-089 : Introduction et indices de gravité

Numéro Titre Indice de gravité maximal Produits affectés

MS10-089

Des vulnérabilités dans Forefront Unified Access Gateway (UAG) pourraient permettre une élévation de privilèges (2316074)

Important

• Forefront Unified Access Gateway 2010 [1]

• Forefront Unified Access Gateway 2010, Update 1 [1]

• Forefront Unified Access Gateway 2010, Update 2 [1]

[1] Cette mise à jour est uniquement disponible à partir du Centre de téléchargement Microsoft.

MS10-089 : Des vulnérabilités dans Forefront Unified Access Gateway (UAG) pourraient permettre une élévation de privilèges (2316074) - Important

Vulnérabilité • Vulnérabilités d’élévation de privilèges

Vecteurs d'attaque possibles

• Une URL spécialement conçue• Un utilisateur doit cliquer sur un lien dans un message électronique, un message

instantané ou par d’autre moyen qui le mène à un site malveillant.

Impact • Si un attaquant réussissait à exploiter cette vulnérabilité, il pourrait se faire passer pour une interface Web d'UAG légitime et ainsi pouvoir récupérer des informations privées.

Facteurs atténuants • Dans le cas d'une attaque Web, l'attaquant devrait héberger un site Web qui contiendrait une page Web spécialement conçue pour exploiter cette vulnérabilité. L'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web.

Contournement • Aucune solution de contournement n’a été identifiée

Informations complémentaires

• Ces vulnérabilités n’ont pas été signalées publiquement avant la publication de ce bulletin• À la publication de ce bulletin, nous n'avons pas connaissance d'attaques ou de code

d'exploitation.

Bulletin Windows Update

Microsoft Update

MBSA 2.1 WSUS 3.0 SMS avec Feature Pack

SUS

SMS avec Outil d'inventaire des

mises à jour

SCCM 2007

MS10-087 Non 2 / 3 Oui 3 Oui 3 Oui 3 Non 1/3 Oui 3 Oui 3

MS10-088 Non 2 / 3 Oui 3 Oui 3 Oui 3 Non 1/3 Oui Oui 3

MS10-089 Non 4 Non 4 Non 4 Non 4 Non 4 Non 4 Non 4

1 - SMS SUSFP ne prend pas en charge Internet Explorer 7, Internet Explorer 8, Exchange 2007, Windows Media Player 11 , toutes versions ou composant s d'Office ou Works, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, toutes versions de Windows x64 et les systèmes Windows ia64

2 – Windows Update fournit seulement les mises à jour pour les composants Windows et ne supporte pas Office ou Exchange. Les utilisateurs auront besoin de s’orienter vers Microsoft Update afin de recevoir les mises à jour de sécurité pour notre gamme complète de produits et services

3 – Microsoft ne fournit aucun outil de détection et de déploiement d’entreprise pour ses produits qui s'exécutent sur les systèmes d'exploitation Macintosh

4 – Forefront Unified Access Gateway 2010 n’est pas actuellement pris en charge par aucun des services et outils de détection et de déploiement Microsoft

Détection et déploiement

Informations de mise à jourBulletin Redémarrage requis Désinstallation Remplace

MS10-087 Possible Oui MS10-003MS10-036

MS10-088 Possible OuiMS09-017MS10-004MS10-036

MS10-089 Possible Oui Aucun

Novembre 2010 - Mises à jour non relatives à la sécurité

Article Title DistributionKB905866 Update for Windows Mail Junk E-mail Filter Catalog, AU,

WSUS

KB890830 Windows Malicious Software Removal Tool Catalog, AU, WSUS

Windows Malicious Software Removal Tool

Ajoute la possibilité de supprimer :Win32/FakePAV

A prevalent rogue AV family

Win32/Sality.AT Sality.AT is another variant on the Original LNK Sality family

Disponible en tant que mise à jour prioritaire sous Windows Update et Microsoft UpdateDisponible par WSUS 3.0

Disponible en téléchargement à l'adresse suivante : http://www.microsoft.com/france/securite/malwareremove

Lifecycle Support Information

Après le 11 janvier 2011 les produits ou Service Pack suivants ne sont plus supportés : Exchange Server 2000 SQL Server 7.0 SCCM 2007 SP1 SCCM 2007 R2

Après le 12 avril 2011 les produits ou Service Pack suivants ne sont plus supportés : ISA Server 2000 MOM 2000 SMS 2.0 .Net Framework 3.0 .Net Framework 3.5 RTM

Pour rappel…

RessourcesSynthèse des Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletin/ms10-nov.mspx

Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletin

Webcast des Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletin/webcasts.mspx

Avis de sécuritéhttp://www.microsoft.com/france/technet/security/advisory

Abonnez-vous à la synthèse des Bulletins de sécurité (en français)http://www.microsoft.com/france/securite/newsletters.mspx

Blog du MSRC (Microsoft Security Response Center)http://blogs.technet.com/msrc

Microsoft France sécurité http://www.microsoft.com/france/securite

TechNet sécuritéhttp://www.microsoft.com/france/technet/security

Informations légales

L’OBJET DU PRESENT DOCUMENT EST DE VOUS FOURNIR L’INFORMATION QUE VOUS AVEZ DEMANDEE CONCERNANT LA SECURITE. GENERALEMENT, L’INFORMATION PROVOQUE UNE PRISE DE CONSCIENCE AUTOUR DE LA SECURITE ET IDENTIFIE LE PERSONNEL, LES PROCEDES, RESSOURCES ET TECHNonLOGIES QUI SONT DESTINES A PROMOUVOIR DE BONNES REGLES DE SECURITE DANS VOTRE ORGANISATION. LES VIRUS ET AUTRES TECHNonLOGIES NUISIBLES DESTINES A ATTAQUER VOTRE ENVIRONNEMENT INFORMATIQUE CHANGENT CONTINUELLEMENT AFIN DE CONTOURNER LES MESURES DE SECURITE EXISTANTES. DES LORS, MAINTENIR UN ENVIRONNEMENT INFORMATIQUE FIABLE EST UN PROCESSUS CONTINU QUI EXIGE QUE VOUS MAINTENIEZ UN PERSONNEL, DES PROCEDES, RESSOURCES ET TECHNonLOGIES ADEQUATS AFIN DE VOUS PROTEGER CONTRE TOUTE ATTEINTE A LA SECURITE. AUCUNE DISPOSITION CONTENUE DANS LES PRESENTES NE DOIT ETRE INTERPRETEE OU CONSIDEREE COMME UNE CERTIFICATION, UNE GARANTIE OU TOUTE AUTRE FORME DE VALIDATION QUE VOTRE ENVIRONNEMENT INFORMATIQUE EST ET DEMEURERA PROTEGE CONTRE DES ATTEINTES A LA SECURITE ET NonUS N’ASSUMONS AUCUNE RESPONSABILITE POUR TOUTE ATTEINTE A LA SECURITE OU TOUT DOMMAGE OU PERTE SUBSEQUENT. TOUTES COMMUNICATIONS OU TRANSMISSIONS D’INFORMATION QUI VOUS SONT ADRESSEES AU SUJET DE MICROSOFT ET CONCERNANT LA SECURITE INCLUANT NonTAMMENT TOUTES SUGGESTIONS, ANALYSES, OU COMMENTAIRES QUI VOUS SONT FOURNIS DURANT UNE ANALYSE RELATIVE A LA SECURITE OU TOUTE AUTRE INFORMATION PASSEE, PRESENTE OU FUTURE RELATIVE NonTAMMENT AUX TESTS DE SECURITE, EVALUATIONS, DISPONIBILITES, HORAIRES OU OBJECTIFS (CI-APRES COLLECTIVEMENT DENonMMES « INFORMATIONS SUR LA SECURITE »), SONT FOURNIS CONFORMEMENT AUX CONDITIONS DU CONTRAT DE SERVICE EXISTANT ENTRE VOUS ET MICROSOFT ET UNIQUEMENT AFIN DE VOUS PERMETTRE DE VOUS ORGANISER FACE A D’EVENTUELS PROBLEMES DE SECURITE. TOUTES LES INFORMATIONS SUR LA SECURITE CONTIENNENT TOUTES LES DONNEES QUI NonUS SONT ACTUELLEMENT ACCESSIBLES MAIS QUI SONT SUSCEPTIBLES DE CHANGER EN RAISON DU CHANGEMENT CONSTANT DE CES DONNEES SANS QUE MICROSOFT VOUS AIT PREALABLEMENT INFORME DE CES CHANGEMENTS. NonUS VOUS RECOMMANDONS DONC DE VERIFIER REGULIEREMENT AUPRES DE NonUS ET SUR LE SITE INTERNET DE SECURITE SITUE A L’ADRESSE SUIVANTE WWW.MICROSOFT.COM/SECURITY SI LES INFORMATIONS QUE NonUS VOUS AVONS FOURNIES FONT L’OBJET DE MISES A JOUR. VEUILLEZ NonUS CONTACTER SI VOUS AVEZ D’AUTRES QUESTIONS CONCERNANT DES PROBLEMES DE SECURITE OU SI VOUS AVEZ BESOIN D’UNE MISE A JOUR DES INFORMATIONS QUE NonUS VOUS AVONS FOURNIES.