Bulletin de sécurité de Microsoft pour le mois de décembre

Numéro : AV09-050  
Date :  8 décembre 2009

Objet

Cet avis a pour objet d'attirer votre attention sur les vulnérabilités ci-dessous (dont trois vulnérabilités critiques) décelées dans certains produits Microsoft.

Évalutation

Microsoft a publié les bulletins de sécurité suivants :

MS09-071- Critique: Des vulnérabilités dans le service d'authentification Internet pourraient permettre l'exécution de code à distance (974318)

Détails: Cette mise à jour de sécurité corrige deux vulnérabilités signalées dans Microsoft Windows.

Ces vulnérabilités pourraient permettre l'exécution de code à distance si des messages reçus par le serveur du service d'authentification Internet sont copiés de façon incorrecte dans la mémoire lors du traitement des tentatives d'authentification PEAP. Un attaquant qui parviendrait à exploiter l'une de ces vulnérabilités pourrait prendre le contrôle intégral d'un système affecté. Les serveurs utilisant le service d'authentification Internet sont uniquement concernés lors de l'utilisation de l'authentification PEAP avec MS-CHAP v2. Cette mise à jour de sécurité corrige ces vulnérabilités en modifiant la façon dont le service d'authentification Internet valide les requêtes d'authentification émises par des clients PEAP.

Impact de la vulnérabilité: Exécution de code à distance
Indice de gravité: Maximale
Critique Indice d'exploitabilité maximal : 2 - Possibilité de code d'exploitation peu fonctionnel
Produits touchés : Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista et Windows

Server 2008
Références CVE : CVE-2009-2505 et CVE-2009-3677
http://www.microsoft.com/technet/security/bulletin/MS09-071.mspx

MS09-074 - Critique : Une vulnérabilité dans Microsoft Office Project pourrait permettre l'exécution de code à distance (967183)

Détails: Cette mise à jour de sécurité corrige une vulnérabilité signalée dans Microsoft Office Project. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un utilisateur ouvre un fichier Project spécialement conçu. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Cette mise à jour supprime la vulnérabilité en modifiant la façon dont Microsoft Office Project valide les allocations de mémoire lors de l'ouverture de fichiers Project à partir du disque.

Impact de la vulnérabilité: Exécution de code à distance
Indice de gravité: Maximale
Critique Indice d'exploitabilité maximal: 2 - Possibilité de code d'exploitation peu fonctionnel
Produits touchés: Microsoft Project 2000, Microsoft Project 2002 et Microsoft Project 2003
Référence CVE: CVE-2009-0102
http://www.microsoft.com/technet/security/Bulletin/MS09-074.mspx

MS09-072 - Critique – Mise à jour de sécurité cumulative pour Internet Explorer (976325)

Détails: Cette mise à jour de sécurité corrige de multiples vulnérabilités d’Internet Explorer qui pourraient permettre l'exécution de code à distance si un utilisateur affichait une page Web spécialement conçue à l'aide d'Internet Explorer. Un contrôle ActiveX conçu à l’aide d’en-têtes de Microsoft Active Template Library (ATL) pourrait également autoriser l’exécution de code à distance. Cette mise à jour élimine les vulnérabilités susmentionnées en corrigeant le contrôle et en modifiant la façon dont Internet Explorer traite les objets en mémoire.

Impact de la vulnérabilité: Exécution de code à distance
Indice de gravité: Maximal
Critique Indice d'exploitabilité maximal: 1 — Possibilité de code d’exploitation fonctionnel
Produits touchés: Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 et Internet Explorer 8.
Référence CVE: CVE-2009-2493, CVE-2009-3671, CVE-2009-3672, CVE-2009-3673 et CVE-2009-3674
http://www.microsoft.com/technet/security/Bulletin/MS09-072.mspx

MS09-069 - Important - Vulnérabilité du service de sous-système LSA (Local Security Authority) pouvant entraîner un déni de service (974392)

Détail: Cette mise à jour de sécurité corrige une vulnérabilité de Microsoft Windows qui pourrait entraîner un déni de service si un pirate authentifié, connecté à distance, transmettait au service LSASS (service de sous-système LSA) un message ISAKMP spécialement créé, pendant une communication IPsec avec un ordinateur touché. La mise à jour élimine la vulnérabilité en changeant la façon dont le service LSASS traite les demandes spéciales.

Type de vulnérabilité: Déni de service
Indice de gravité maximal: Important
Indice d’exploitabilité maximal: 3 - Faible possibilité de code d’exploitation fonctionnel
Produits touchés  Microsoft Windows 2000, Windows Server 2003, Windows Vista et Windows Server 2008
Référence CVE : CVE-2009-3675
http://www.microsoft.com/technet/security/Bulletin/MS09-069.mspx

MS09-070 - Important – Vulnérabilités des services de fédération Active Directory pouvant autoriser l’exécution de code à distance (971726)

Détails: Cette mise à jour de sécurité corrige des vulnérabilités de Microsoft Windows, dont la plus grave pourrait permettre l’exécution de code à distance si un pirate transmettait une requête HTTP spécialement créée à un serveur Web doté d’ADFS. Le pirate aurait toutefois besoin d’être un utilisateur authentifié pour pouvoir exploiter l’une de ces vulnérabilités. La mise à jour de sécurité élimine les vulnérabilités en corrigeant la validation que les serveurs Web dotés d’ADFS font subir aux en-têtes des requêtes transmises par un client Web.

Impact de la vulnérabilité: Exécution de code à distance
Indice de gravité: Maximal  
Important Indice d'exploitabilité maximal : 1 — Possibilité de code d’exploitation fonctionnel
Produits touchés: Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 et Windows 7.
Référence CVE : CVE-2009-2508 et CVE-2009-2509
http://www.microsoft.com/technet/security/Bulletin/MS09-070.mspx

MS09-073 - Important – Une vulnérabilité dans WordPad et dans les convertisseurs de texte Office pourrait permettre l’exécution de code à distance (975539)

Détails: Cette mise à jour de sécurité corrige une vulnérabilité dans Microsoft WordPad et dans les convertisseurs de texte Microsoft Office. La vulnérabilité pourrait permettre l’exécution de code à distance si un fichier Word 97 spécialement conçu est ouvert dans WordPad ou dans Microsoft Office Word. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les mêmes privilèges que l’utilisateur. La mise à jour de sécurité répare la vulnérabilité en corrigeant la façon dont WordPad et les convertisseurs de texte Office analysent les documents Word 97.

Impact de la vulnérabilité: Exécution de code à distance
Indice de gravité: Maximal
Important Indice d’exploitabilité maximal: 2 - Possibilité de code d’exploitation peu fonctionnel
Produits touchés: Microsoft Windows 2000, Windows XP et Windows Server 2003
Référence CVE:
CVE-2009-2506
http://www.microsoft.com/technet/security/bulletin/MS09-073.mspx\

Mesure suggérée

Le CCRIC recommande aux administrateurs de tester et de déployer les mises à jour à la première occasion. Microsoft a publié une matrice de risque pour aider les organisations à évaluer le déploiement de ces mises à jour de sécurité et à les classer par ordre de priorité. Cette matrice est accessible à l’adresse URL suivante :
http://blogs.technet.com/msrc/archive/2009/12/08/december-2009-security-bulletin-release.aspx

Références :
http://www.microsoft.com/technet/security/bulletin/ms09-dec.mspx

Note aux lecteurs

En appui à la mission de Sécurité publique Canada de bâtir un Canada sécuritaire et résilient, le mandat du CCRIC est d'aider à assurer la sécurité et la résilience des cybersystèmes essentiels non gouvernementaux à la base de la sécurité nationale, de la sécurité publique et de la prospérité économique du pays. À titre d'équipe d'intervention en cas d'incident lié à la sécurité informatique du Canada, le CCRIC agit comme centre national de coordination pour la prévention, l'atténuation, l'intervention et le rétablissement liés aux incidents cybernétiques commis contre des systèmes non fédéraux. Pour ce faire, il formule des conseils éclairés, offre du soutien et coordonne l'échange de renseignements ainsi que l'intervention.

S'il vous plaît noter que la clé PGP du CCRIC a récemment été mise à jour.
http://www.securitepublique.gc.ca/cnt/ntnl-scrt/cbr-scrt/_fl/CCIRCPublicPGPKey.txt

Pour obtenir des renseignements de nature générale, veuillez communiquer avec la division des Affaires publiques de l'organisme :

Téléphone : 613-944-4875 ou 1-800-830-3118  
Télécopieur : 613-998-9589 
Courriel : ps.communications-communications.sp@canada.ca

Date de modification :