Vulnérabilité de jour zéro dans Oracle Java

Numéro : AL13-006
Date : 6 novembre 2013

Objet

La présente alerte a pour but d'attirer l'attention sur une vulnérabilité signalée dans le composant Microsoft Graphics.

Évaluation

On a informé le CCRIC d'une vulnérabilité d'exécution de code à distance dans certains produits Microsoft, qui a une incidence sur la façon dont les composantes traitent les images TIFF spécialement conçues.

Un attaquant peut exploiter cette vulnérabilité en persuadant un utilisateur de prévisualiser ou d'ouvrir un courriel, un fichier, ou encore de consulter du contenu Web spécialement conçu. Le cas échéant, l'attaquant peut alors obtenir les mêmes droits utilisateurs que ceux du compte de la victime. La gravité de cette situation varie, selon les droits associés au compte auquel l'attaquant accède (droits de base ou administratifs complets).

Dans le cas d'une attaque Web, un attaquant peut héberger un site Web spécialement conçu pour exploiter cette vulnérabilité. Puisqu'il ne peut pas forcer l'utilisateur à visiter ce site, il doit le persuader en ce sens, en l'incitant à cliquer sur un lien dans un courriel ou dans un message de messagerie instantanée, ou encore d'ouvrir une pièce jointe.

Avec l'aide de ses partenaires du Microsoft Active Protections Program (MAPP), Microsoft s'efforce activement de relayer l'information qui permet d'élargir la protection fournie à ses clients.

Une fois l'enquête à ce sujet terminée, Microsoft prendra les mesures nécessaires pour aider ses clients, ce qui peut comprendre la publication d'une mise à jour de sécurité dans le cadre de son processus de diffusion mensuel, ou d'une mise à jour de sécurité hors cycle, selon les besoins des clients.

Produits touchés
Systèmes d'exploitation Microsoft Windows :

Windows Vista SP 2 (et les versions similaires);
Windows Server 2008 pour systèmes 32-bits SP2 (et les versions similaires).

Produits des suites Microsoft Office :

Microsoft Office 2003 SP3;
Microsoft Office 2007 SP3;
Microsoft Office 2010 (toutes les versions, avec le Service Pack 2 ou une version antérieure de celui-ci);
Pack de compatibilité Microsoft Office avec SP3.

Logiciels et plateformes de communication Microsoft :

Microsoft Lync 2010 (et les versions similaires);
Microsoft Lync 2013 (et les versions similaires);

Avis de sécurité de Microsoft : 2896666
Article de la Base de connaissances de Microsoft : CVE-2013-3906

Mesure recommandées

Le CCRIC recommande aux administrateurs système d'examiner l'avis de sécurité 2896666 de Microsoft pour consulter un survol de la situation, les détails sur les composants touchés, les mesures suggérées, la foire aux questions (FAQ) et les liens vers des ressources additionnelles.

Références

Note aux lecteurs

En appui à la mission de Sécurité publique Canada de bâtir un Canada sécuritaire et résilient, le mandat du CCRIC est d'aider à assurer la sécurité et la résilience des cybersystèmes essentiels non gouvernementaux à la base de la sécurité nationale, de la sécurité publique et de la prospérité économique du pays. À titre d'équipe d'intervention en cas d'incident lié à la sécurité informatique du Canada, le CCRIC agit comme centre national de coordination pour la prévention, l'atténuation, l'intervention et le rétablissement liés aux incidents cybernétiques commis contre des systèmes non fédéraux. Pour ce faire, il formule des conseils éclairés, offre du soutien et coordonne l'échange de renseignements ainsi que l'intervention.

S'il vous plaît noter que la clé PGP du CCRIC a récemment été mise à jour.
http://www.securitepublique.gc.ca/cnt/ntnl-scrt/cbr-scrt/_fl/CCIRCPublicPGPKey.txt

Pour obtenir des renseignements de nature générale, veuillez communiquer avec la division des Affaires publiques de l'organisme :

Téléphone : 613-944-4875 ou 1-800-830-3118  
Télécopieur : 613-998-9589 
Courriel : ps.communications-communications.sp@canada.ca

Date de modification :