Bulletins de sécurité MicrosoftSeptembre 2009

Jérôme LeseinneCSS Security EMEA

Bruno SorcelleTechnical Account Manager

Bienvenue !

Présentation des bulletins de septembreNouveaux Bulletins de sécuritéBulletin rééditéMises à jour non relatives à la sécurité

Informations connexes :Microsoft® Windows® Malicious Software* Removal ToolAutres informations

Ressources

Questions - Réponses : Envoyez dès maintenant !

* Malicious software (logiciel malveillant)

Questions - Réponses

À tout moment pendant la présentation, posez vos

questions :1. Ouvrez l’interface Questions-réponses en cliquant sur le menu Q&R :

2. Précisez le numéro du Bulletin, entrez votre question et cliquez sur « Poser une question » :

Indices de gravité cumulée et Indices d'exploitabilité

MS09-045 : Introduction et indices de gravité

Numéro Titre Indice de gravité

maximalProduits affectés

MS09-045

Une vulnérabilité dans le moteur de script JScript pourrait permettre l'exécution de code à distance (971961)

Critique

• JScript 5.6 on Windows 2000, Windows XP, JScript 5.6 on Windows 2000, Windows XP, & Windows Server 2003 & Windows Server 2003 (all supported versions)(all supported versions)

• JScript 5.7 on Windows XP, Windows Server JScript 5.7 on Windows XP, Windows Server 2003, Windows Vista, & Windows Server 2003, Windows Vista, & Windows Server 2008 (all supported versions)2008 (all supported versions)

• JScript 5.8 on Windows XP, Windows Server JScript 5.8 on Windows XP, Windows Server 2003, Windows Vista, & Windows Server 2003, Windows Vista, & Windows Server 2008 (all supported versions)2008 (all supported versions)

MS09-045 : Une vulnérabilité dans le moteur de script JScript pourrait permettre l'exécution de code à distance (971961) - CritiqueVulnérabilité • Une vulnérabilités d'exécution de code à distance.

Vecteurs d'attaque possibles

• Ouverture d'un fichier spécialement conçu ou visite d  un site Web spécialement conçu et invoquant un script mal formé.

• Le contenu pourrait être envoyé par messagerie ou être hébergé sur un site Web.

Impact • Un attaquant pourrait obtenir les mêmes droits que l'utilisateur connecté.

Facteurs atténuants

• Par défaut, Internet Explorer sur Windows Server 2003 et Windows Server 2008 s'exécute selon un mode restreint

• Par défaut, dans toutes les versions de Microsoft Outlook en cours de support et dans Microsoft Outlook Express, les messages au format HTML sont ouverts dans la zone Sites sensibles.

• Un attaquant n'aurait aucun moyen d'obliger les utilisateurs à visiter un site Web malveillant.

• Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur.

Contournement • Définissez les paramètres des zones Intranet local et Internet sur la valeur « Élevé » afin d'afficher un message de confirmation avant d'exécuter les contrôles ActiveX et Active Scripting dans ces zones

Informations complémentaires

• Ces vulnérabilités ont été signalées de manière responsable.• À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou

de code d'exploitation.

MS09-046 : Introduction et indices de gravité

Numéro Titre Indice de gravité

maximalProduits affectés

MS09-046

Une vulnérabilité dans le contrôle ActiveX du composant d'édition DHTML pourrait permettre l'exécution de code à distance (956844)

Critique

• Windows 2000 (All Supported Versions)Windows 2000 (All Supported Versions)• Windows XP (All Supported Versions)Windows XP (All Supported Versions)• Windows Server 2003 (All Supported Windows Server 2003 (All Supported

Versions)Versions)

MS09-046 : Une vulnérabilité dans le contrôle ActiveX du composant d'édition DHTML pourrait permettre l'exécution de code à distance (956844) - Critique

Vulnérabilité • Une vulnérabilité d'exécution de code à distance.

Vecteurs d'attaque possibles

• Cette vulnérabilité pourrait permettre l'exécution de code à distance si l'utilisateur consultait une page Web spécialement conçue à l'aide d'Internet Explorer, tentant ainsi d'instancier le contrôle ActiveX. Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté.

Impact • Un attaquant pourrait obtenir les mêmes droits que l'utilisateur connecté.

Facteurs atténuants

• Un attaquant n'aurait aucun moyen d'obliger les utilisateurs à visiter un site Web malveillant.

• Par défaut, Internet Explorer sur Windows Server 2003 et Windows Server 2008 s'exécute selon un mode restreint

• Par défaut, dans toutes les versions de Microsoft Outlook en cours de support et dans Microsoft Outlook Express, les messages au format HTML sont ouverts dans la zone Sites sensibles.

• Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur.

Contournement • Définissez les paramètres des zones Intranet local et Internet sur la valeur « Élevé » afin d'afficher un message de confirmation avant d'exécuter les contrôles ActiveX et Active Scripting dans ces zones

Informations complémentaires

• Ces vulnérabilités ont été signalées de manière responsable.• À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou

de code d'exploitation.

MS09-047 : Introduction et indices de gravité

Numéro Titre Indice de gravité

maximalProduits affectés

MS09-047

Des vulnérabilités dans le format Windows Media pourraient permettre l’exécution de code à distance (973812)

Critique

• Windows Media Format Runtime 9.0 Windows Media Format Runtime 9.0 on Windows 2000 & Windows XP on Windows 2000 & Windows XP (all supported versions)(all supported versions)

• Windows Media Format Runtime 9.5 Windows Media Format Runtime 9.5 on Windows XP & Windows Server on Windows XP & Windows Server 2003 2003 (all supported versions)(all supported versions)

• Windows Media Format Runtime 9.5 Windows Media Format Runtime 9.5 x64 Edition on Windows XP x64 Edition x64 Edition on Windows XP x64 Edition SP2 & Windows Server 2003 x64 SP2 & Windows Server 2003 x64 Edition SP2Edition SP2

• Windows Media Format Runtime 11 Windows Media Format Runtime 11 on Windows XP, Windows Server 2003, on Windows XP, Windows Server 2003, Windows Vista, and Windows Server Windows Vista, and Windows Server 2008 (all supported versions)2008 (all supported versions)

• Windows Media Services 9.1 on Windows Media Services 9.1 on Windows Server 2003 (all supported Windows Server 2003 (all supported versions)versions)

• Windows Media Services 2008 Windows Media Services 2008 Windows Server 2008 (all supported Windows Server 2008 (all supported versions)versions)

MS09-047 : Des vulnérabilités dans le format Windows Media pourraient permettre l’exécution de code à distance (973812) - CritiqueVulnérabilité • Deux vulnérabilités d'exécution de code à distance.

Vecteurs d'attaque possibles

• Fichier ASF spécialement conçu• Fichier MP3 spécialement conçu• Site web compromis• Par courrier électronique avec en pièce jointe un fichier compromis

Impact • Un attaquant pourrait obtenir les mêmes droits que l'utilisateur connecté.

Facteurs atténuants

• Un attaquant n'aurait aucun moyen d'obliger les utilisateurs à visiter un site Web malveillant.

• Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur.

• Cette vulnérabilité ne peut être exploitée automatiquement par messagerie électronique car l utilisateur doit ouvrir la pièce jointe.

• Par défaut, Internet Explorer sur Windows Server 2003 et Windows Server 2008 s'exécute selon un mode restreint

Contournement • Limiter l'accès à wmvcore.dll et mf.dll

Informations complémentaires

• Cette vulnérabilité a été signalée de manière responsable.• À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou

de code d'exploitation.

MS09-048 : Introduction et indices de gravité

Numéro Titre Indice de

gravité maximalProduits affectés

MS09-048

Des vulnérabilités dans Windows

TCP/IP pourraient permettre

l'exécution de code à distance

(967723)

Critique

• Microsoft Windows 2000 Service Pack 4*Microsoft Windows 2000 Service Pack 4*• Windows Server 2003 (All Supported Versions)Windows Server 2003 (All Supported Versions)• Windows Vista (All Supported Versions)Windows Vista (All Supported Versions)• Windows Server 2008 (All Supported Versions)Windows Server 2008 (All Supported Versions)

MS09-048 : Des vulnérabilités dans Windows TCP/IP pourraient permettre l'exécution de code à distance (967723) - CritiqueVulnérabilité • Deux vulnérabilités de déni de service et une vulnérabilité d'exécution de code à distance.

Vecteurs d'attaque possibles

• Des paquets TCP/IP spécialement conçus vers un ordinateur avec un service d'écoute sur le réseau.

Impact • Pour la vulnérabilité de déni de service. Un attaquant qui réussirait à exploiter cette vulnérabilité pourrait empêcher le système affecté de répondre.

• Pour la vulnérabilité d'exécution de code à distance. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire avec des privilèges élevés sur les systèmes vulnérables.

Facteurs atténuants • Les meilleures pratiques en matière de pare-feu, ainsi que les configurations par défaut des pare-feu, contribuent à protéger les réseaux contre les attaques lancées depuis l’extérieur de l’entreprise. Les meilleures pratiques recommandent que les systèmes connectés à Internet aient le moins possible de ports exposés.

• Dans Windows Vista, si le profil de réseau est défini sur « Public », le système n'est pas affecté par cette vulnérabilité étant donné que, par défaut, les paquets réseau entrants non sollicités sont bloqués.

Contournement • Pour protéger votre ordinateur des tentatives d'exploitation de cette vulnérabilité sur le réseau, activez le filtrage TCP/IP avancé sur les systèmes qui prennent en charge cette fonctionnalité.

• Pour protéger votre ordinateur des tentatives d'exploitation de cette vulnérabilité sur le réseau, utilisez un pare-feu personnel, tel que le Pare-feu de connexion Internet.

Informations complémentaires

• Ces vulnérabilités ont été signalées de manière responsable.• À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou de code

d'exploitation.

MS09-049 : Introduction

Numéro Titre Indice de

gravité maximalProduits affectés

MS09-049

Une vulnérabilité dans le service de configuration automatique de réseau local sans fil pourrait permettre l'exécution de code à distance (970710)

Critique

• Windows Vista (All Supported Versions)Windows Vista (All Supported Versions)• Windows Server 2008 for 32-bit SystemsWindows Server 2008 for 32-bit Systems• Windows Server 2008 for x64-based Windows Server 2008 for x64-based

SystemsSystems

MS09-049 : Une vulnérabilité dans le service de configuration automatique de réseau local sans fil pourrait permettre l'exécution de code à distance (970710) - Critique

Vulnérabilité • Une vulnérabilité d'exécution de code à distance.

Vecteurs d'attaque possibles

• Cette vulnérabilité pourrait permettre l'exécution de code à distance si un client ou un serveur avec une interface réseau sans fil active recevait des trames sans fil spécialement conçues.

Impact • Un attaquant pourrait obtenir les mêmes droits que l'utilisateur connecté.

Facteurs atténuants

• Les systèmes qui ne disposent pas d'une carte sans fil activée ne sont pas exposés à cette vulnérabilité.

Contournement • Désinscription de Wlansvc

Informations complémentaires

• Cette vulnérabilité a été signalée de manière responsable.• À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou

de code d'exploitation.

Bulletin Windows Update

Microsoft Update

MBSA 2.1 WSUS 3.0 SMS avec Feature

Pack SUS

SMS avec Outil

d'inventaire des mises

à jour

SCCM 2007

MS09-045 Oui Oui Oui Oui Oui* Oui Oui

MS09-046 Oui Oui Oui Oui Oui* Oui Oui

MS09-047 Oui Oui Oui Oui Oui* Oui Oui

MS09-048 Oui Oui Oui Oui Oui* Oui Oui

MS09-049 Oui Oui Oui Oui Non* Oui Oui

* SMS SUSFP ne prend pas en charge Internet Explorer 7, Internet Explorer 8, Office System 2007, Works 8.5 & 9.0, ISA 2006. Virtual PC et Virtual Server, Windows Vista, Windows Server 2008, toutes versions de Windows x64 et les systèmes Windows ia64

Détection et déploiement

Bulletin de Sécurité Réédité

Titre & numéro Titre & numéro d’Article :d’Article :

Bulletin de Sécurité Microsoft MS09-037 - CritiqueBulletin de Sécurité Microsoft MS09-037 - CritiqueDes vulnérabilités dans Microsoft ATL (Active Template Library) pourraient Des vulnérabilités dans Microsoft ATL (Active Template Library) pourraient permettre l'exécution de code à distance (973908)permettre l'exécution de code à distance (973908)

Information:: • Bulletin réédité afin de proposer de nouvelles mises à jour pour le contrôle Bulletin réédité afin de proposer de nouvelles mises à jour pour le contrôle ActiveX de l'objet HtmlInput sur Windows XP Édition Media Center 2005 et ActiveX de l'objet HtmlInput sur Windows XP Édition Media Center 2005 et toutes les éditions en cours de support de Windows Vista. toutes les éditions en cours de support de Windows Vista.

Avis de sécurité Microsoft (975497) - Des vulnérabilités dans SMB pourraient permettre l'exécution de code à distance• Consultez l'Article 975497 de la Base de connaissances pour obtenir

plus d'explication.• Concerne Windows Vista toutes versions et Windows Server 2008

toutes versions. • Ce problème ne concerne pas Windows 2000, Windows XP, Windows

Server 2003, Windows 7 et Windows Server 2008 R2.

• Contournement• Désactiver SMBv2 (impact : L'hôte ne pourra pas communiquer à

l'aide de SMB2)• Bloquer les ports 139 et 445 (Impact : Plusieurs services Windows

utilisent ces ports. Bloquer ces ports peut entraîner un dysfonctionnement de certaines applications ou services)

Informations de mise à jour (suite)

Bulletin Redémarrage requis Désinstallation Remplace

MS09-045 Éventuellement Oui MS08-033

MS09-011

MS09-046 Oui Oui MS06-002

MS09-047 Éventuellement Oui MS08-027

MS09-048 Oui Oui (Aucun)

MS09-049 Éventuellement Oui MS08-032

Septembre 2009 - Mises à jour non relatives à la sécurité

Windows Malicious Software Removal Tool

Ajoute la possibilité de supprimer :Win32/BredolabWin32/Daurso Disponible en tant que mise à jour prioritaire sous Windows Update et Microsoft UpdateDisponible par WSUS 3.0

Disponible en téléchargement à l'adresse suivante : http://www.microsoft.com/france/securite/malwareremove

RessourcesSynthèse des Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletin/ms09-sep.mspx

Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletin Webcast des Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletin/webcasts.mspx

Avis de sécuritéhttp://www.microsoft.com/france/technet/security/advisory

Abonnez-vous à la synthèse des Bulletins de sécurité (en français)http://www.microsoft.com/france/securite/newsletters.mspx

Blog du MSRC (Microsoft Security Response Center)http://blogs.technet.com/msrc

Microsoft France sécurité http://www.microsoft.com/france/securite TechNet sécuritéhttp://www.microsoft.com/france/technet/security

Informations légales

L’OBJET DU PRESENT DOCUMENT EST DE VOUS FOURNIR L’INFORMATION QUE VOUS AVEZ DEMANDEE CONCERNANT LA SECURITE. GENERALEMENT, L’INFORMATION PROVOQUE UNE PRISE DE CONSCIENCE AUTOUR DE LA SECURITE ET IDENTIFIE LE PERSONNEL, LES PROCEDES, RESSOURCES ET TECHNOLOGIES QUI SONT DESTINES A PROMOUVOIR DE BONNES REGLES DE SECURITE DANS VOTRE ORGANISATION. LES VIRUS ET AUTRES TECHNOLOGIES NUISIBLES DESTINES A ATTAQUER VOTRE ENVIRONNEMENT INFORMATIQUE CHANGENT CONTINUELLEMENT AFIN DE CONTOURNER LES MESURES DE SECURITE EXISTANTES. DES LORS, MAINTENIR UN ENVIRONNEMENT INFORMATIQUE FIABLE EST UN PROCESSUS CONTINU QUI EXIGE QUE VOUS MAINTENIEZ UN PERSONNEL, DES PROCEDES, RESSOURCES ET TECHNOLOGIES ADEQUATS AFIN DE VOUS PROTEGER CONTRE TOUTE ATTEINTE A LA SECURITE. AUCUNE DISPOSITION CONTENUE DANS LES PRESENTES NE DOIT ETRE INTERPRETEE OU CONSIDEREE COMME UNE CERTIFICATION, UNE GARANTIE OU TOUTE AUTRE FORME DE VALIDATION QUE VOTRE ENVIRONNEMENT INFORMATIQUE EST ET DEMEURERA PROTEGE CONTRE DES ATTEINTES A LA SECURITE ET NOUS N’ASSUMONS AUCUNE RESPONSABILITE POUR TOUTE ATTEINTE A LA SECURITE OU TOUT DOMMAGE OU PERTE SUBSEQUENT. TOUTES COMMUNICATIONS OU TRANSMISSIONS D’INFORMATION QUI VOUS SONT ADRESSEES AU SUJET DE MICROSOFT ET CONCERNANT LA SECURITE INCLUANT NOTAMMENT TOUTES SUGGESTIONS, ANALYSES, OU COMMENTAIRES QUI VOUS SONT FOURNIS DURANT UNE ANALYSE RELATIVE A LA SECURITE OU TOUTE AUTRE INFORMATION PASSEE, PRESENTE OU FUTURE RELATIVE NOTAMMENT AUX TESTS DE SECURITE, EVALUATIONS, DISPONIBILITES, HORAIRES OU OBJECTIFS (CI-APRES COLLECTIVEMENT DENOMMES « INFORMATIONS SUR LA SECURITE »), SONT FOURNIS CONFORMEMENT AUX CONDITIONS DU CONTRAT DE SERVICE EXISTANT ENTRE VOUS ET MICROSOFT ET UNIQUEMENT AFIN DE VOUS PERMETTRE DE VOUS ORGANISER FACE A D’EVENTUELS PROBLEMES DE SECURITE. TOUTES LES INFORMATIONS SUR LA SECURITE CONTIENNENT TOUTES LES DONNEES QUI NOUS SONT ACTUELLEMENT ACCESSIBLES MAIS QUI SONT SUSCEPTIBLES DE CHANGER EN RAISON DU CHANGEMENT CONSTANT DE CES DONNEES SANS QUE MICROSOFT VOUS AIT PREALABLEMENT INFORME DE CES CHANGEMENTS. NOUS VOUS RECOMMANDONS DONC DE VERIFIER REGULIEREMENT AUPRES DE NOUS ET SUR LE SITE INTERNET DE SECURITE SITUE A L’ADRESSE SUIVANTE WWW.MICROSOFT.COM/SECURITY SI LES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES FONT L’OBJET DE MISES A JOUR. VEUILLEZ NOUS CONTACTER SI VOUS AVEZ D’AUTRES QUESTIONS CONCERNANT DES PROBLEMES DE SECURITE OU SI VOUS AVEZ BESOIN D’UNE MISE A JOUR DES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES.