Bulletins de sécurité Microsoft pour le mois d'août

Numéro : AV09-029
Date : 11 août 2009

Objet

Cet avis a pour objet d'attirer votre attention sur de multiples vulnérabilités (dont 5 critiques) décelées dans certains produits Microsoft.

Évaluation

MS09-043 - Critique - Des vulnérabilités dans Microsoft Office Web Components pourraient permettre l'exécution de code à distance (957638)

Détails : Cette mise à jour de sécurité corrige plusieurs vulnérabilités signalées confidentiellement dans Microsoft Office Web Components, qui pourraient permettre l'exécution de code à distance si un utilisateur ouvrait une page Web spécialement conçue. Cette mise à jour de sécurité corrige les vulnérabilités en traitant correctement l'allocation de mémoire lorsque le contrôle ActiveX est utilisé dans Internet Explorer, en corrigeant la logique de validation pour les méthodes de contrôle ActiveX d'Office Web Components et en effectuant une validation supplémentaire de paramètres.

Impact de la vulnérabilité : Exécution de code à distance

Indice de gravité maximal : Critique

Indice d'exploitabilité : 1 - Possibilité de code d'exploitation fonctionnel

Produits touchés : Microsoft Office, Microsoft Visual Studio, Microsoft ISA Server et Microsoft BizTalk Server

Références CVE : CVE-2009-0562, CVE-2009-2496, CVE-2009-1136 et CVE-2009-1534

http://www.microsoft.com/france/technet/security/Bulletin/MS09-043.mspx

MS09-044 - Critique - Des vulnérabilités dans la Connexion Bureau à distance pourraient permettre l'exécution de code à distance (970927)

Détails : Cette mise à jour de sécurité corrige deux vulnérabilités dans la Connexion Bureau à distance Microsoft. Ces vulnérabilités pourraient permettre l'exécution de code à distance si un attaquant parvenait à persuader un utilisateur des Services de terminaux (Terminal Services) de se connecter à un serveur RDP malveillant ou si un utilisateur visitait un site Web spécialement conçu pour exploiter cette vulnérabilité. Cette mise à jour de sécurité corrige ces vulnérabilités en modifiant la façon dont la Connexion Bureau à distance gère les paramètres inattendus envoyés par le serveur RDP et en procédant à une validation correcte des paramètres transmis aux méthodes de contrôle ActiveX de la Connexion Bureau à distance.

Impact de la vulnérabilité : Exécution de code à distance

Indice de gravité maximal : Critique

Indice d'exploitabilité : 1 - Possibilité de code d'exploitation fonctionnel

Produits touchés : Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 et Remote Desktop Connection Client pour Mac

Références CVE : CVE-2009-1133 et CVE-2009-1929

http://www.microsoft.com/france/technet/security/Bulletin/MS09-044.mspx

MS09-039 - Critique - Des vulnérabilités dans WINS pourraient permettre l'exécution de code à distance (969883)

Détails : Cette mise à jour de sécurité corrige deux vulnérabilités dans WINS (Windows Internet Name Service). Chacune de ces vulnérabilités pourrait permettre l'exécution de code à distance si un utilisateur recevait un paquet de réplication WINS spécialement conçu sur un système affecté exécutant le service WINS.
Note : Par défaut, WINS n'est installé sur aucune des versions du système d'exploitation affecté. Seules les organisations ayant installé manuellement ce composant sont concernées par ce problème.

Impact de la vulnérabilité : Exécution de code à distance

Indice de gravité maximal : Critique

Indice d'exploitabilité : 1 - Possibilité de code d'exploitation fonctionnel

Produits touchés : Microsoft Windows 2000 Server et Windows Server 2003

Références CVE : CVE-2009-1923 et CVE-2009-1924

http://www.microsoft.com/france/technet/security/Bulletin/MS09-039.mspx

 
MS09-038 - Critique - Des vulnérabilités dans le traitement de fichiers Windows Media pourraient permettre l'exécution de code à distance (971557)

Détails : Cette mise à jour de sécurité corrige deux vulnérabilités dans le traitement de fichiers Windows Media. Chacune de ces vulnérabilités pourrait permettre l'exécution de code à distance si un utilisateur ouvrait un fichier AVI spécialement conçu. Cette mise à jour de sécurité corrige les vulnérabilités en rectifiant la manière selon laquelle les en-têtes AVI sont traités et en rectifiant la manière selon laquelle les données AVI sont validées.

Impact de la vulnérabilité : Exécution de code à distance

Indice de gravité maximal : Critique

Indice d'exploitabilité maximal : 2 - Possibilité de code d'exploitation peu fonctionnel

Produits touchés : Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista et Windows Server 2008.

Références CVE : CVE-2009-1545 et CVE-2009-1546

http://www.microsoft.com/france/technet/security/Bulletin/MS09-038.mspx

MS09-037 - Critique - Des vulnérabilités dans Microsoft ATL (Active Template Library) pourraient permettre l'exécution de code à distance (973908)

Détails : Cette mise à jour de sécurité corrige plusieurs vulnérabilités dans Microsoft ATL (Active Template Library). Ces vulnérabilités pourraient permettre l'exécution de code à distance si un utilisateur a chargé un composant ou un contrôle spécialement conçu, hébergé sur un site Web malveillant. La mise à jour de sécurité corrige les vulnérabilités en modifiant les en-têtes ATL pour que les composants et les contrôles construits à l'aide de ces en-têtes puissent s'initialiser en toute sécurité depuis un flux de données.

Impact de la vulnérabilité : Exécution de code à distance

Indice de gravité maximal : Critique

Indice d'exploitabilité : 1 - Possibilité de code d'exploitation fonctionnel

Produits touchés : Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista et Windows Server 2008. 

Références CVE : CVE-2008-0015, CVE-2008-0020, CVE-2009-0901, CVE-2009-2493 et CVE-2009-2494

http://www.microsoft.com/france/technet/security/Bulletin/MS09-037.mspx

MS09-041 - Important - Une vulnérabilité dans le service Station de travail pourrait permettre une élévation de privilèges (971657)

Détails : Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans le service Station de travail de Windows. Cette vulnérabilité pourrait permettre une élévation de privilèges si un attaquant créait un message RPC spécialement conçu et l'envoyait à un système affecté. Un attaquant qui a réussi à exploiter cette vulnérabilité pourrait exécuter du code arbitraire et prendre le contrôle intégral du système affecté. Cette mise à jour de sécurité corrige la vulnérabilité en rectifiant la façon dont le service Station de travail alloue et libère la mémoire.

Note : Cette vulnérabilité ne peut pas être exploitée par des utilisateurs anonymes. Un attaquant doit s'authentifier pour exploiter cette vulnérabilité.

Impact de sécurité maximal : Élévation de privilèges

Indice de gravité cumulée : Important

Indice d'exploitabilité : 1 - Possibilité de code d'exploitation fonctionnel

Produits touchés : Microsoft Windows XP, Windows Server 2003, Windows Vista et Windows Server 2008

Référence CVE : CVE-2009-1544

http://www.microsoft.com/france/technet/security/Bulletin/MS09-041.mspx

 
MS09-040 - Important - Une vulnérabilité dans le Serveur de mise en file d'attente (MSMQ) pourrait permettre une élévation de privilèges (971032)

Détails : Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans le Serveur de mise en file d'attente (MSMQ). Cette vulnérabilité pourrait permettre une élévation de privilèges si l'utilisateur recevait une requête spécialement conçue au niveau d'un service MSMQ concerné. Par défaut, le composant Message Queuing n'est pas installé sur les éditions concernées du système d'exploitation et ne peut être activé que par un utilisateur doté de privilèges d'administration. Seules les organisations qui ont installé le composant Message Queuing peuvent être concernées par ce problème. Cette mise à jour de sécurité corrige la vulnérabilité en modifiant la façon dont le Serveur de mise en file d'attente (MSMQ) valide les données en entrée avant de les transmettre au tampon alloué.

Impact de sécurité maximal : Élévation de privilèges

Indice de gravité cumulée : Important

Indice d'exploitabilité : 1 - Possibilité de code d'exploitation fonctionnel

Produits touchés : Microsoft Windows 2000, Windows XP, Windows Server 2003 et Windows Vista.

Référence CVE : CVE-2009-1922

http://www.microsoft.com/france/technet/security/Bulletin/MS09-040.mspx

MS09-036 - Important - Une vulnérabilité dans ASP.NET sous Microsoft Windows pourrait permettre un déni de service (970957)

Détails : Cette mise à jour de sécurité corrige une vulnérabilité de déni de service dans le composant Microsoft .NET Framework de Microsoft Windows. Cette vulnérabilité ne peut être seulement exploitée que si Internet Information Services 7.0 (IIS) est installé et si ASP.NET est configuré pour utiliser le mode intégré sur les versions affectées de Microsoft Windows. Un attaquant pourrait créer des requêtes HTTP anonymes spécialement conçues, susceptibles d'empêcher le serveur Web concerné de répondre jusqu'à ce que le pool d'applications associé soit redémarré.

Note : Les organisations qui exécutent des pools d'applications IIS 7.0 de façon classique ne sont pas concernées par cette vulnérabilité.

Type de vulnérabilité : Déni de service

Indice de gravité cumulée : Important

Indice d'exploitabilité maximal : 3 - Faible possibilité de code d'exploitation fonctionnel

Produits touchés : Microsoft .NET Framework sous Windows Vista et Windows Server 2008

Référence CVE : CVE-2009-1536

http://www.microsoft.com/france/technet/security/Bulletin/MS09-036.mspx

MS09-042 - Important - Une vulnérabilité dans Telnet pourrait permettre l'exécution de code à distance (960859)

Détails : Cette mise à jour de sécurité corrige une vulnérabilité dans Microsoft Telnet. Cette vulnérabilité pourrait permettre à un attaquant d'obtenir des informations d'identification et de les utiliser pour s'identifier auprès de systèmes affectés. Cette mise à jour de sécurité corrige la vulnérabilité en modifiant la façon dont le service Telnet valide les réponses d'authentification pour empêcher le relai d'informations d'identification.

Impact de la vulnérabilité : Exécution de code à distance

Indice de gravité cumulée : Important

Indice d'exploitabilité : 1 - Possibilité de code d'exploitation fonctionnel

Produits touchés : Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista et Windows Server 2008.

Référence CVE : CVE-2009-1930

http://www.microsoft.com/france/technet/security/Bulletin/MS09-042.mspx

Mesure suggérée

Microsoft s'attend à ce que du code d'exploitation uniforme et fiable doit disponible pour tirer profit d'une bonne partie de ces vulnérabilités d'ici un mois. Le CCRIC recommande aux administrateurs de traiter ces mises à jour en priorité, de les tester et de les déployer à la première occasion.

Références :
http://www.microsoft.com/france/technet/security/Bulletin/MS09-aug.mspx

Note aux lecteurs

En appui à la mission de Sécurité publique Canada de bâtir un Canada sécuritaire et résilient, le mandat du CCRIC est d'aider à assurer la sécurité et la résilience des cybersystèmes essentiels non gouvernementaux à la base de la sécurité nationale, de la sécurité publique et de la prospérité économique du pays. À titre d'équipe d'intervention en cas d'incident lié à la sécurité informatique du Canada, le CCRIC agit comme centre national de coordination pour la prévention, l'atténuation, l'intervention et le rétablissement liés aux incidents cybernétiques commis contre des systèmes non fédéraux. Pour ce faire, il formule des conseils éclairés, offre du soutien et coordonne l'échange de renseignements ainsi que l'intervention.

S'il vous plaît noter que la clé PGP du CCRIC a récemment été mise à jour.
http://www.securitepublique.gc.ca/cnt/ntnl-scrt/cbr-scrt/_fl/CCIRCPublicPGPKey.txt

Pour obtenir des renseignements de nature générale, veuillez communiquer avec la division des Affaires publiques de l'organisme :

Téléphone : 613-944-4875 ou 1-800-830-3118  
Télécopieur : 613-998-9589 
Courriel : ps.communications-communications.sp@canada.ca

Date de modification :