Bulletins de sécurité Microsoft pour le mois de juin
Mise à jour de l’avis AV08-052
Date : 20 juin 2008
L’avis AV08-052 attire l’attention sur 7 vulnérabilités (3 critiques) décelées dans certains produits Microsoft.
Le 19 juin 2008, Microsoft a diffusé une mise à jour du Bulletin de sécurité Microsoft MS08-030 - Une vulnérabilité dans la pile Bluetooth pourrait permettre l'exécution de code à distance (951376).
Après avoir effectué d’autres tests de contrôle de la qualité, Microsoft a constaté que les correctifs de sécurité pour Windows XP SP2 et SP3 ne protégeaient peut-être pas complètement les ordinateurs contre les problèmes identifiés dans le bulletin MS08-030. Une version à jour du correctif MS08-030 est maintenant disponible.
CCRIC recommande à ceux qui ont déployé Windows XP SP2 ou SP3 de tester et de redéployer la version à jour du correctif MS08-030 à la première occasion. (Les autres versions de Windows ne sont pas touchées par cette mise à jour.)
Produits touchés :
- Windows XP Service Pack 2 et Windows XP Service Pack 3
Alerte du fournisseur :
http://www.microsoft.com/france/technet/security/bulletin/ms08-030.mspx
Références additionnelles (en anglais) :
http://blogs.technet.com/msrc/archive/2008/06/19/ms08-030-re-released-for-windows-xp-sp2-and-sp3.aspx
Numéro : AV08-052
Date : 10 juin 2008
Objet
Cet avis a pour objet d’attirer votre attention sur les sept vulnérabilités ci-dessous (dont 3 critiques) décelées dans certains produits Microsoft.
Évaluation
Le CCRIC est informé de la disponibilité publique de l’information sur l’exploitation d’une vulnérabilité d’Internet Explorer (MS08-031) et il recommande fortement aux administrateurs d’accorder une priorité élevée à la mise à l’essai et à l’installation de cette mise à jour de sécurité.
Les sept vulnérabilités suivantes ont été identifiées :
MS08-030 Une vulnérabilité dans la pile Bluetooth pourrait permettre l'exécution de code à distance (951376))
--------
Détails : Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans la pile Bluetooth de Windows, qui pourrait permettre l'exécution de code à distance.
Répercussions de la vulnérabilité : Exécution de code à distance
Indice de gravité maximal : Critique
Produits touchés : Microsoft Windows
Référence CVE : CVE-2008-1453
http://www.microsoft.com/technet/security/bulletin/ms08-030.mspx
MS08-031 Mise à jour de sécurité cumulative pour Internet Explorer (950759)
--------
Détails : Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement et une vulnérabilité révélée publiquement. La vulnérabilité signalée confidentiellement pourrait permettre l'exécution de code à distance, alors que la vulnérabilité publicisée pourrait permettre la divulgation d’information si un utilisateur affichait une page Web spécialement conçue à l'aide d'Internet Explorer.
Répercussions de la vulnérabilité : Exécution de code à distance
Indice de gravité maximal : Critique
Produits touchés : Microsoft Windows, Internet Explorer
Référence CVE : CVE-2008-1442, CVE-2008-1544 http://www.microsoft.com/technet/security/bulletin/ms08-031.mspx
MS08-033 Des vulnérabilités dans DirectX pourraient permettre l'exécution de code à distance (951698)
--------
Détails : Cette mise à jour de sécurité corrige deux vulnérabilités de Microsoft DirectX qui ont été signalées confidentiellement et qui pourraient permettre l'exécution de code à distance si un utilisateur ouvrait un fichier multimédia spécialement conçu.
Répercussions de la vulnérabilité : Exécution de code à distance
Indice de gravité maximal : Critique
Produits touchés : Microsoft Windows
Référence CVE : CVE-2008-0011, CVE-2008-1444 http://www.microsoft.com/technet/security/bulletin/ms08-033.mspx
MS08-034 Une vulnérabilité dans WINS pourrait permettre une élévation des privilèges (948745)
--------
Détails : Cette mise à jour de sécurité corrige une vulnérabilité de WINS (Windows Internet Name Service) qui a été signalée confidentiellement et qui pourrait permettre l'élévation de privilèges.
Répercussions de la vulnérabilité : Élévation de privilège
Indice de gravité maximal : Important
Produits touchés : Microsoft Windows
Référence CVE : CVE-2008-1451 http://www.microsoft.com/technet/security/bulletin/ms08-034.mspx
MS08-035 Une vulnérabilité d’Active Directory pourrait permettre un déni de service (953235)
--------
Détails : Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement qui touche des implémentations d'Active Directory sous Microsoft Windows 2000 Server, Windows Server 2003 et Windows Server 2008; des implémentations d'Active Directory en mode application (ADAM) lorsqu'il est installé sous Windows XP Professionnel et Windows Server 2003 et des implémentations du service AD LDS (Active Directory Lightweight Directory Service) lorsqu'il est installé sous Windows Server 2008.
Répercussions de la vulnérabilité : Déni de service.
Indice de gravité maximal : Important
Produits touchés : Microsoft Windows
Référence CVE : CVE-2008-1445 http://www.microsoft.com/technet/security/bulletin/ms08-035.mspx
MS08-036 Des vulnérabilités du protocole de multidiffusion PGM (Pragmatic General Multicast) pourraient permettre un déni de service (950762)
--------
Détails : Cette mise à jour de sécurité corrige deux vulnérabilités signalées confidentiellement qui touchent le protocole de multidiffusion PGM (Pragmatic General Multicast) et qui pourraient permettre un déni de service si des paquets PGM mal formés étaient reçus par un système concerné.
Répercussions de la vulnérabilité : Déni de service
Indice de gravité maximal : Important
Produits touchés : Microsoft Windows
Références CVE : CVE-2008-1440, CVE-2008-1441 http://www.microsoft.com/technet/security/bulletin/ms08-036.mspx
MS08-032 Mise à jour de sécurité cumulative pour les kill bits ActiveX (950760)
--------
Détails : Cette mise à jour de sécurité corrige une vulnérabilité signalée publiquement dans l'API Microsoft Speech. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un utilisateur affichait une page Web spécialement conçue à l'aide d'Internet Explorer tout en ayant activé la fonctionnalité de reconnaissance vocale dans Windows.
Répercussions de la vulnérabilité : Exécution de code à distance
Indice de gravité maximal : Modéré
Produits touchés : Microsoft Windows
Référence CVE : CVE-2007-0675
http://www.microsoft.com/technet/security/bulletin/ms08-032.mspx
Note : Cette vulnérabilité est discutée publiquement. Le CCRIC recommande aux administrateurs d’accorder une priorité supérieure à l’essai et à l’Installation de cette mise à jour de sécurité.
Mesure suggérée
Le CCRIC recommande aux administrateurs de tester et d’installer les mises à jour à la première occasion.
Références :
http://www.microsoft.com/technet/security/bulletin/ms08-Jun.mspx
Note aux lecteurs
Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) constitue le point de convergence au Canada pour les avertissements et l'analyse concernant les menaces et les vulnérabilités cybernétiques, ainsi que pour la coordination de la réponse aux incidents. Le CCRIC est chargé d'assurer la résilience de l'infrastructure essentielle nationale en surveillant les menaces et en coordonnant la réponse du gouvernement fédéral aux incidents de cybersécurité d'intérêt national. Le CCRIC, qui travaille conjointement avec le Centre des opérations du gouvernement (COG) de Sécurité publique Canada, constitue un élément clé de l'approche « tous risques » du gouvernement en regard de la gestion des urgences et de la sécurité nationale.
Pour obtenir des renseignements généraux, veuillez communiquer avec la division des Affaires publiques de Sécurité publique Canada:
Téléphone: 613-944-4875 ou 1-800-830-3118
Télécopieur: 613-998-9589
Courriel: communications@ps-sp.gc.ca