Bulletin de sécurité de Microsoft pour le mois d’octobre 2013

Numéro : AV13-036
Date : Le 9 octobre 2013

Objet

Le présent avis a pour objet d’attirer l’attention sur la synthèse des bulletins de sécurité Microsoft d’octobre. Le résumé couvre huit bulletins (quatre critiques et quatre importants) portant sur des vulnérabilités dans certains produits Microsoft.

Évaluation

Microsoft a publié les bulletins de sécurité suivants.

MS12-080 : Mise à jour de sécurité cumulative pour Internet Explorer (2879017)
Détails : Les vulnérabilités les plus graves permettent l’exécution de code à distance si un utilisateur affiche une page Web spécialement conçue à l’aide d’Internet Explorer. Il est possible pour un attaquant d’obtenir les mêmes droits d’accès que l’utilisateur et, possiblement, d’utilisateurs possédant des droits d’administrateur complets.
Cette mise à jour de sécurité corrige une vulnérabilité révélée publiquement et neuf signalées confidentiellement dans Microsoft Internet Explorer.
Répercussion maximale sur la sécurité : exécution de code à distance
Indice de gravité cumulée : critique
Indice d’exploitabilité maximal : 1 – Possibilité de code d’exploitation
Indice d’exploitabilité maximal de déni de service : sans objet
Produit touché : Microsoft Internet Explorer
Références CVE : CVE-2013-3871, CVE-2013-3872, CVE-2013-3873, CVE-2013-3874, CVE-2013-3875, CVE-2013-3882, CVE-2013-3885, CVE-2013-3886, CVE-2013-3893 et CVE-2013-3897
https://technet.microsoft.com/fr-ca/security/bulletin/ms13-080

MS12-081 : Des vulnérabilités dans les pilotes en mode noyau de Windows permettent l’exécution de code à distance (2870008)
Détails : La plus grave de ces vulnérabilités permet l’exécution de code à distance si un utilisateur affiche du contenu partagé qui comprend des fichiers de police TrueType ou OpenType. Un attaquant qui parvient à exploiter celles-ci peut prendre le contrôle intégral du système touché.
Cette mise à jour de sécurité corrige une vulnérabilité révélée publiquement et sept signalées confidentiellement dans Microsoft Windows.
Répercussion maximale sur la sécurité : exécution de code à distance
Indice de gravité cumulée : critique
Indice d’exploitabilité maximal : 1 – Possibilité de code d’exploitation
Indice d’exploitabilité maximal de déni de service : permanent
Produit touché : Microsoft Windows
Références CVE : CVE-2013-3128, CVE-2013-3200, CVE-2013-3879, CVE-2013-3880, CVE-2013-3881, CVE-2013-3888 et CVE-2013-3894
https://technet.microsoft.com/fr-ca/security/bulletin/ms13-081

MS13-082 : Des vulnérabilités dans .NET Framework pourraient permettre l’exécution de code à distance (2878890)
Détails : La plus grave de ces vulnérabilités permet l’exécution de code à distance si un utilisateur visite un site Web qui contient un fichier OpenType (OTF) spécialement conçu à l’aide d’un navigateur capable d’instancier des applications XBAP.
Cette mise à jour de sécurité corrige deux vulnérabilités signalées confidentiellement et une révélée publiquement dans Microsoft .NET Framework.
Répercussion maximale sur la sécurité : exécution de code à distance
Indice de gravité cumulée : critique
Indice d’exploitabilité maximal : 2 – Le code d’exploitation pourrait être difficile à créer
Indice d’exploitabilité maximal de déni de service : permanent
Produit touché : Microsoft .NET Framework
Références CVE : CVE-2013-3128, CVE-2010-3860 et CVE-2011-3861
http://technet.microsoft.com/fr-ca/security/bulletin/ms13-082

MS13-083 : Une vulnérabilité dans la bibliothèque de contrôle commun de Windows permet l’exécution de code à distance (2864058)
Détails : Cette vulnérabilité permet l’exécution de code à distance si un attaquant envoie une requête Web spécialement conçue à une application Web ASP.NET exécutée sur un système touché. Il peut alors exploiter cette vulnérabilité pour exécuter du code arbitraire sans nécessiter d’authentification.
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft Windows.
Répercussion maximale sur la sécurité : exécution de code à distance
Indice de gravité cumulée : critique
Indice d’exploitabilité maximal : 1 – Possibilité de code d’exploitation
Indice d’exploitabilité maximal de déni de service : sans objet
Produit touché : Microsoft Windows
Référence CVE : CVE-2013-3195
https://technet.microsoft.com/fr-ca/security/bulletin/ms13-083

MS13-084 : Des vulnérabilités dans Microsoft SharePoint Server pourraient permettre l’exécution de code à distance (2885089)
Détails : La plus grave de ces vulnérabilités permet l’exécution de code à distance si un utilisateur ouvre un fichier Office spécialement conçu dans une version touchée de Microsoft SharePoint Server, des services Microsoft Office ou de Microsoft Office Web Apps.
Cette mise à jour de sécurité corrige deux vulnérabilités signalées confidentiellement dans les logiciels Microsoft Office Server.
Répercussion maximale sur la sécurité : exécution de code à distance
Indice de gravité : important
Indice d’exploitabilité maximal : 2 – Le code d’exploitation pourrait être difficile à créer
Indice d’exploitabilité maximal de déni de service : sans objet
Produits touchés : Microsoft Office et le logiciel Microsoft Server
Références CVE : CVE-2013-3889 et CVE-2013-3895
https://technet.microsoft.com/fr-ca/security/bulletin/ms13-084

MS13-085 : Plusieurs vulnérabilités dans Microsoft Excel pourraient permettre l’exécution de code à distance (2885080)
Détails : Ces vulnérabilités permettent l’exécution de code à distance si un utilisateur ouvre un fichier Office spécialement conçu avec une version touchée de Microsoft Excel ou d’un autre logiciel Microsoft Office. Un attaquant qui parvient à les exploiter est en mesure d’obtenir les mêmes droits que l’utilisateur actuel. Cette exploitation aurait moins d’incidence dans le cas des utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système que pour ceux qui possèdent des privilèges d’administrateur.
Cette mise à jour de sécurité corrige deux vulnérabilités signalées confidentiellement dans Microsoft Office.
Répercussion sur la sécurité : exécution de code à distance
Indice de gravité : important
Indice d’exploitabilité maximal : 2 – Le code d’exploitation pourrait être difficile à créer
Indice d’exploitabilité maximal de déni de service : sans objet
Produit touché : Microsoft Office
Références CVE : CVE-2013-3889 et CVE-2013-3890
https://technet.microsoft.com/fr-ca/security/bulletin/ms13-085

MS13-086 : Des vulnérabilités dans Microsoft Word pourraient permettre l’exécution de code à distance (2885084)
Détails : Cette mise à jour de sécurité corrige deux vulnérabilités signalées confidentiellement dans Microsoft Office.
Celles-ci permettent l’exécution de code à distance si un fichier spécialement conçu est ouvert dans une version touchée de Microsoft Word ou d’un autre logiciel Microsoft Office. Un attaquant qui parvient à les exploiter est en mesure d’obtenir les mêmes droits que l’utilisateur actuel. Cette exploitation aurait moins d’incidence dans le cas des utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système que pour ceux qui possèdent des privilèges d’administrateur.
Répercussion sur la sécurité : exécution de code à distance
Indice de gravité : important
Indice d’exploitabilité maximal : 1 – Possibilité de code d’exploitation
Indice d’exploitabilité maximal de déni de service : sans objet
Produit touché : Microsoft Office
Références CVE : CVE-2013-3891 et CVE-2013-3892
https://technet.microsoft.com/fr-ca/security/bulletin/ms13-086

MS13-087 : Une vulnérabilité dans Silverlight pourrait permettre la divulgation d’informations (2890788)
Détails : Cette vulnérabilité permet la divulgation d’information si un attaquant héberge un site Web contenant une application Silverlight spécialement conçue pour cette vulnérabilité, puis incite un utilisateur à le consulter. Il peut également exploiter des sites Web compromis et d’autres sites qui acceptent ou hébergent du contenu ou des publicités fournis par les utilisateurs. Ces sites Web peuvent contenir du code spécialement conçu pour exploiter cette vulnérabilité. Cependant, un attaquant n’a aucun moyen de forcer un utilisateur à les visiter. Il doit plutôt y attirer l’utilisateur, généralement en l’incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène au site en question. Il peut également afficher du contenu Web spécialement conçu en imitant des bannières publicitaires ou d’autres moyens de transmettre du contenu Web aux systèmes touchés.
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft Silverlight.
Répercussion sur la sécurité : sans objet
Indice de gravité : important
Indice d’exploitabilité maximal : 3 — Faible possibilité de code d’exploitation
Indice d’exploitabilité maximal de déni de service : sans objet
Produit touché : Microsoft Silverlight
Référence CVE : CVE-2013-3896
https://technet.microsoft.com/fr-ca/security/bulletin/ms13-087

Mesure suggérée

Le CCRIC recommande que les administrateurs de système testent les mises à jour publiées par le fournisseur et qu’ils les appliquent aux applications touchées.

Références :

 

Note aux lecteurs

En appui à la mission de Sécurité publique Canada de bâtir un Canada sécuritaire et résilient, le mandat du CCRIC est d'aider à assurer la sécurité et la résilience des cybersystèmes essentiels non gouvernementaux à la base de la sécurité nationale, de la sécurité publique et de la prospérité économique du pays. À titre d'équipe d'intervention en cas d'incident lié à la sécurité informatique du Canada, le CCRIC agit comme centre national de coordination pour la prévention, l'atténuation, l'intervention et le rétablissement liés aux incidents cybernétiques commis contre des systèmes non fédéraux. Pour ce faire, il formule des conseils éclairés, offre du soutien et coordonne l'échange de renseignements ainsi que l'intervention.

S'il vous plaît noter que la clé PGP du CCRIC a récemment été mise à jour.
http://www.securitepublique.gc.ca/cnt/ntnl-scrt/cbr-scrt/_fl/CCIRCPublicPGPKey.txt

Pour obtenir des renseignements de nature générale, veuillez communiquer avec la division des Affaires publiques de l'organisme :

Téléphone : 613-944-4875 ou 1-800-830-3118  
Télécopieur : 613-998-9589 
Courriel : ps.communications-communications.sp@canada.ca

Date de modification :