Bulletin de sécurité spécial de Microsoft - Vulnérabilités critiques

Numéro : AV09-026
Date : 28 juillet 2009

But

L'objet de cet avis est d'attirer l'attention sur un Bulletin de sécurité spécial de Microsoft qui fait état de vulnérabilités critiques dans la gamme de produits Microsoft Visual Studio, ainsi que sur des changements de défense en profondeur apportés à Internet Explorer pour atténuer les attaques éventuelles liées au bulletin portant sur la vulnérabilité de Visual Studio. De plus, cette mise à jour de sécurité règle d'autres vulnérabilités critiques qui ne sont pas exploitées actuellement.

Évaluation

Microsoft a publié les bulletins de sécurité suivants :

MS09-035 - Risque modéré - Des vulnérabilités dans l'Active Template Library (ATL) de Visual Studio pourraient permettre l'exécution de code à distance (969706)

Détails : Microsoft est au courant de vulnérabilités de sécurité dans les versions publiques et privées de Microsoft ATL. Microsoft ATL est utilisé par les développeurs de logiciels pour créer des contrôles ou des composants sur plateforme Windows. Ces vulnérabilités pourraient mener à la divulgation d'information ou à l'exécution de code à distance dans les contrôles et les composants développés à l'aide de versions vulnérables d'ATL. Ces composants et contrôles pourraient être vulnérables à cause de la façon dont ATL est utilisé ou en raison des problèmes qui se trouvent dans le programme lui-même. Cette mise à jour de sécurité est destinée aux développeurs de composants et de contrôles. Microsoft recommande fortement que les développeurs qui ont conçu des contrôles ou des composants à l'aide d'ATL prennent des mesures immédiates pour évaluer si leurs contrôles ont été exposés à cette vulnérabilité, et qu'ils suivent les conseils servant à empêcher que les contrôles et les composants à venir soient vulnérables.

Impact de la vulnérabilité : Exécution de code à distance
Indice de gravité maximal : Modéré
Indice d'exploitabilité : 1 - Possibilité de code d'exploitation fonctionnel
Produits touchés : Microsoft Visual Studio .NET 2003, Microsoft Visual Studio 2005, Microsoft Visual Studio 2008, Microsoft Visual C++ 2005 et Microsoft Visual C++ 2008
Références CVE : CVE-2009-0901, CVE-2009-2493 et CVE-2009-2495 http://www.microsoft.com/technet/security/bulletin/ms09-035.mspx

MS09-034 - Critique - Mise à jour de sécurité cumulative pour Internet Explorer (972260)

Détails : Pour mieux protéger les systèmes informatiques en attendant que les développeurs procèdent à la mise à jour des leurs composants et contrôles, Microsoft a mis au point une nouvelle technologie de défense en profondeur. Cette technologie intégrée à Internet Explorer aide à protéger les systèmes contre d'éventuelles attaques qui exploiteraient les vulnérabilités de Microsoft ATL. Pour que la protection offerte par cette nouvelle technologie de défense en profondeur soit activée, Microsoft recommande que la Mise à jour de sécurité cumulative pour Internet Explorer soit déployée immédiatement. Cette mise à jour de sécurité comprend des mesures d'atténuation qui empêchent les composants et contrôles développés avec la version vulnérable de Microsoft ATL d'être exploités dans Internet Explorer. La mise à jour corrige aussi plusieurs autres vulnérabilités qui ne sont pas liées à ATL. La nouvelle protection de défense en profondeur comprend des mises à jour destinées à Internet Explorer 5.01, Internet Explorer 6, Internet Explorer 6 Service Pack 1, Internet Explorer 7 et Internet Explorer 8. Ces mesures de protection par défense en profondeur surveillent et aident à empêcher l'exploitation de toutes les vulnérabilités connues de Microsoft ATL, qu'elles soient publiques ou privées, y compris celles qui pourraient permettre de contourner la fonction de sécurité par bit d'arrêt dans ActiveX. Ces protections sont conçues pour aider à atténuer les attaques provenant du Web.

Impact de la vulnérabilité : Exécution de code à distance
Indice de gravité maximal : Critique
Indice d'exploitabilité : 1 - Possibilité de code d'exploitation fonctionnel
Produits touchés : Internet Explorer sous Windows 2000, Windows XP, Windows Server 2003, Windows Vista et Windows Server 2008 Références
CVE : CVE-2009-1917, CVE-2009-1918 et CVE-2009-1919 http://www.microsoft.com/technet/security/bulletin/MS09-034.mspx

Mesure suggérée

Le CCRIC recommande aux administrateurs d'évaluer, de tester et de déployer ces mises à jour à la première occasion.

Références :

Note aux lecteurs

En appui à la mission de Sécurité publique Canada de bâtir un Canada sécuritaire et résilient, le mandat du CCRIC est d'aider à assurer la sécurité et la résilience des cybersystèmes essentiels non gouvernementaux à la base de la sécurité nationale, de la sécurité publique et de la prospérité économique du pays. À titre d'équipe d'intervention en cas d'incident lié à la sécurité informatique du Canada, le CCRIC agit comme centre national de coordination pour la prévention, l'atténuation, l'intervention et le rétablissement liés aux incidents cybernétiques commis contre des systèmes non fédéraux. Pour ce faire, il formule des conseils éclairés, offre du soutien et coordonne l'échange de renseignements ainsi que l'intervention.

S'il vous plaît noter que la clé PGP du CCRIC a récemment été mise à jour.
http://www.securitepublique.gc.ca/cnt/ntnl-scrt/cbr-scrt/_fl/CCIRCPublicPGPKey.txt

Pour obtenir des renseignements de nature générale, veuillez communiquer avec la division des Affaires publiques de l'organisme :

Téléphone : 613-944-4875 ou 1-800-830-3118  
Télécopieur : 613-998-9589 
Courriel : ps.communications-communications.sp@canada.ca

Date de modification :