bulletins de sécurité microsoft mai 2007 9 mai 2007 france direction technique et sécurité
TRANSCRIPT
Bulletins de Sécurité Microsoftmai 2007
9 mai 2007
France Direction Technique et Sécurité
Bienvenue !
• Présentation des bulletins de mai> Nouveaux bulletins de sécurité
• Information concernant MS07-029
> Mise à jour non relatives à la sécurité
• Informations connexes> Windows Malicious Software Removal Tool
> Cycle de support produits - fin de support sécurité
> Informations importantes complémentaires
• Ressources
• Questions - Réponses
Bulletins de Sécurité - mai 2007Résumé
• Nouveaux bulletins de sécurité> Critique : 7
Questions - Réponses
Vous pouvez poser vos questions à tout moment en indiquant le numéro du bulletin concerné et en utilisant le bouton « Poser une question »
Bulletins de Sécurité - mai 2007 Présentation
Numéro Titre Indice de gravité maximal
Produits affectés
MS07-023 Des vulnérabilités dans Microsoft Excel pourraient permettre l’exécution de code à distance (934233)
Critique Toutes versions d'Excel en cours de support
MS07-024 Des vulnérabilités dans Microsoft Word pourraient permettre l'exécution de code à distance (934232)
Critique Microsoft Word 2000, 2002, 2003
MS07-025 Une vulnérabilité dans Microsoft Office pourrait permettre l'exécution de code à distance (934873)
Critique Toutes versions d'Office en cours de support
MS07-026 Des vulnérabilités dans Microsoft Exchange pourraient permettre l’exécution de code à distance (931832)
Critique Toutes versions d'Exchange en cours de support
MS07-027 Mise à jour de sécurité cumulative pour Internet Explorer (931768)
Critique Toutes versions d'Internet Explorer sur toutes les versions de Windows en cours de support
MS07-028 Une vulnérabilité dans CAPICOM pourrait permettre l'exécution de code à distance (931906)
Critique CAPICOM, BizTalk Server
MS07-029 Une vulnérabilité dans l'interface RPC du serveur DNS Windows pourrait permettre l'exécution de code à distance (935966)
Critique Windows 2000 Server, Windows Server 2003
Bulletins de Sécurité - mai 2007Résumé des niveaux de criticité
Numéro Microsoft Excel 2000
Microsoft Excel 2002
Microsoft Excel 2003
Excel 2007
MS07-023 Critique Important Important Important
Microsoft Word 2000
Microsoft Word 2002
Microsoft Word 2003
Microsoft Word 2007
Microsoft Word 2004 pour Mac
MS07-024 Critique Important Important Non concerné Important
Microsoft Office 2000
Microsoft Office XP
Microsoft Office 2003
Microsoft Office 2007
Microsoft Office 2004 pour Mac
MS07-025 Critique Important Important Important Important
Bulletins de Sécurité - mai 2007Résumé des niveaux de criticité (2)
Numéro Internet Explorer 5.01 SP 4
Internet Explorer 6 SP 1
Internet Explorer 6 et 7 pour Windows Server 2003 SP1 ou SP2
IE 6.0 pour Windows XP SP 2
IE 7.0 pour Windows XP SP2
IE 7.0 pour Windows Vista
MS07-027 Critique Critique Modéré Critique Critique Critique
Microsoft Exchange 2000 Server
Microsoft Exchange Server 2003 SP1 et SP2
Microsoft Exchange Server 2007
MS06-026 Critique Critique Critique
CAPICOM BizTalk Server 2004
MS07-028 Critique Critique
Windows 2000 SP4
Windows Server 2003 SP1 et SP2
MS07-029 Critique Critique
MS07-023 – Des vulnérabilités dans Microsoft Excel pourraient permettre l’exécution de code à distance (934233) – Critique
Vulnérabilités Trois vulnérabilités d'exécution de code dans Excel liées à la gestion d'éléments de données malformés.
Vecteurs d'attaque possibles
• L'attaquant crée un document Excel spécifique
• L'attaquant poste le document sur un site Web ou l'envoie par email
• L'attaquant persuade l'utilisateur de consulter le site Web ou d'ouvrir la pièce jointe
Impact Exécution de code dans le contexte de l'utilisateur
Facteurs atténuants • Limitations en vigueur sur le compte de l'utilisateur
• Excel 2002, Excel 2003 et Excel 2007 : Ne peut pas être exploitée automatiquement par le biais des messages électroniques. L'utilisateur doit ouvrir la pièce jointe à un email.
• Excel 2002, Excel 2003 et Excel 2007 : Ne peut pas être exploitée automatiquement par le biais d'une page Web. L'utilisateur doit accepter les risques présentés par la boîte de dialogue d'avertissement.
> La boîte de dialogue ne s'affiche pas sous Office 2000.
> La boîte de dialogue peut être ajoutée à Office 2000 en installant l'Outil de confirmation à l'ouverture pour Office.
• L'utilisateur doit visiter un site malveillant manuellement ou en cliquant sur un lien dans un email ou dans un message instantané. L'accès aux sites ne peut être automatisé.
•Excel 2007 : problème affectant le traitement du format de fichier Excel précédent. Le blocage des fichiers peut aider à protéger
• http://technet2.microsoft.com/Office/en-us/library/fe3f431c-8d7a-45c8-954f-1268f3b533161033.mspx?mfr=true
MS07-024 – Des vulnérabilités dans Microsoft Word pourraient permettre l’exécution de code à distance (934232) – Critique
Vulnérabilités Trois vulnérabilités d'exécution de code dans Word liées à la gestion d'éléments de données malformés.
Vecteurs d'attaque possibles
• L'attaquant crée un document Word spécifique
• L'attaquant poste le document sur un site Web ou l'envoie par email
• L'attaquant persuade l'utilisateur de consulter le site Web ou d'ouvrir la pièce jointe
Impact Exécution de code dans le contexte de l'utilisateur
Facteurs atténuants • Limitations en vigueur sur le compte de l'utilisateur
• Word 2002 ou Word 2003 : Ne peut pas être exploitée automatiquement par le biais des messages électroniques. L'utilisateur doit ouvrir la pièce jointe à un email.
• Word 2002 ou Word 2003 : Ne peut pas être exploitée automatiquement par le biais d'une page Web. L'utilisateur doit accepter les risques présentés par la boîte de dialogue d'avertissement.
> La boîte de dialogue ne s'affiche pas sous Office 2000.
> La boîte de dialogue peut être ajoutée à Office 2000 en installant l'Outil de confirmation à l'ouverture pour Office.
• L'utilisateur doit visiter un site malveillant manuellement ou en cliquant sur un lien dans un email ou dans un message instantané. L'accès aux sites ne peut être automatisé.
Informations connexes
•Résout le problème décrit dans l'Avis de sécurité Microsoft 933052.
MS07-025 – Une vulnérabilité dans Microsoft Office pourrait permettre l'exécution de code à distance (934873) – Critique
Vulnérabilité Une vulnérabilité d'exécution de code existe dans la manière dont Microsoft Office traite un objet dessin spécialement conçu.
Vecteurs d'attaque possibles
• L'attaquant crée un document Office spécifique
• L'attaquant poste le document sur un site Web ou l'envoie par email
• L'attaquant persuade l'utilisateur de consulter le site Web ou d'ouvrir la pièce jointe
Impact Exécution de code dans le contexte de l'utilisateur
Facteurs atténuants • Limitations en vigueur sur le compte de l'utilisateur
• Office XP ou Office 2003 : Ne peut pas être exploitée automatiquement par le biais des messages électroniques. L'utilisateur doit ouvrir la pièce jointe à un email.
• Office XP ou Office 2003 : Ne peut pas être exploitée automatiquement par le biais d'une page Web. L'utilisateur doit accepter les risques présentés par la boîte de dialogue d'avertissement.
> La boîte de dialogue ne s'affiche pas sous Office 2000.
> La boîte de dialogue peut être ajoutée à Office 2000 en installant l'Outil de confirmation à l'ouverture pour Office.
• L'utilisateur doit visiter un site malveillant manuellement ou en cliquant sur un lien dans un email ou dans un message instantané. L'accès aux sites ne peut être automatisé
Informations connexes
•Vulnérabilité présente uniquement dans Excel, Publisher, FrontPage/SharePoint Designer
•Tous les utilisateurs d'Office devraient appliquer la mise à jour.
MS07-026 – Des vulnérabilités dans Microsoft Exchange pourraient permettre l’exécution de code à distance (931832) – Critique
Vulnérabilités Une vulnérabilité d'exécution de code à distance, une vulnérabilité de divulgation d'informations et deux vulnérabilités de déni de service.
Vecteurs d'attaque possibles
• L'attaquant crée un email spécifique
• L'attaquant envoie l'email à un serveur Exchange
Impact Exécution de code dans le contexte de "LocalSystem"
Facteurs atténuants Aucun.
MS07-027 – Mise à jour de sécurité cumulative pour Internet Explorer (931768) – Critique
Vulnérabilités Cinq vulnérabilités d'exécution de code
Vecteurs d'attaque possibles
• L'attaquant crée une page Web malveillante.
• L'attaquant poste la page sur un site Web ou l'envoie par email au format HTML
• L'attaquant persuade l'utilisateur de consulter le site Web ou d'ouvrir l'email
Impact Exécution de code dans le contexte de l'utilisateur
Facteurs atténuants • Limitations en vigueur sur le compte de l'utilisateur
• La vulnérabilité ne peut être exploitée automatiquement. L'utilisateur doit visiter un site malveillant manuellement ou en cliquant sur un lien dans un email ou dans un message instantané.
•Par défaut, dans toutes les versions de Microsoft Outlook et d'Outlook Express prises en charge, les messages au format HTML sont ouverts dans la zone Sites sensibles.
• Sur Windows Server 2003, la Configuration de sécurité améliorée d'Internet Explorer aide à réduire ce risque en modifiant de nombreux paramètres liés à la sécurité.
Informations connexes
• Définit le killbit pour le contrôle ActiveX LaunchApp fourni par Acer Incorporated
• Consultez http://global.acer.com/support/patch20070101.htm pour plus d'informations
• Définit le killbit pour un contrôle ActiveX développé par Research In Motion (RIM)
• Consultez http://na.blackberry.com/eng/ataglance/security/news.jsp pour plus d'informations
MS07-028 – Une vulnérabilité dans CAPICOM pourrait permettre l'exécution de code à distance (931906) – Critique
Vulnérabilité Une vulnérabilité d'exécution de code dans CAPICOM (Cryptographic API Component Object Model) liée au traitement des entrées dans le contrôle ActiveX
Vecteurs d'attaque possibles
• L'attaquant crée une page Web malveillante.
• L'attaquant poste la page sur un site Web ou l'envoie par email au format HTML
• L'attaquant persuade l'utilisateur de consulter le site Web ou d'ouvrir l'email
Impact Exécution de code dans le contexte de l'utilisateur
Facteurs atténuants • Limitations en vigueur sur le compte de l'utilisateur
• La vulnérabilité ne peut être exploitée automatiquement. L'utilisateur doit visiter un site malveillant manuellement ou en cliquant sur un lien dans un email ou dans un message instantané.
•Par défaut, dans toutes les versions de Microsoft Outlook et d'Outlook Express prises en charge, les messages au format HTML sont ouverts dans la zone Sites sensibles.
• Sur Windows Server 2003, la Configuration de sécurité améliorée d'Internet Explorer aide à réduire ce risque en modifiant de nombreux paramètres liés à la sécurité.
•Le contrôle n'est pas dans la liste « ActiveX Opt-in » d'Internet Explorer 7 : l'utilisateur doit accepter de manière explicite la première exécution du contrôle
MS07-029 – Une vulnérabilité dans l'interface RPC du serveur DNS Windows pourrait permettre l'exécution de code à distance (935966) – Critical
Vulnérabilité Vulnérabilité d'exécution de code dans l'interface RPC de gestion du serveur DNS
Vecteurs d'attaque possibles
• L'attaquant crée un paquet réseau spécifique
• L'attaquant envoie le paquet à un système vulnérable
Impact Exécution de code dans le contexte du compte Système local
Informations connexes
• Résout le problème décrit dans l'Avis de sécurité Microsoft 935964
• La mise à jour de sécurité ne rétablit aucune des solutions de contournement qui ont pu être mises en place : elles doivent être rétablies manuellement
Information concernant MS07-029
• Informations partielles sur des attaques limitées reçues le 6 avril 2007
• Enquête permettant la découverte d'informations terminée le 11 avril 2007
• Solutions de contournement identifiées et Avis de sécurité 935964 publié le 12 avril 2007
• Informations transmises aux partenaires de la Microsoft Security Alliance (MSRA) afin de permettre la mise en place de protections au sens large
• Surveillance en continu ayant permis de déterminer que les attaques restaient limitées
Détection et déploiement
WinUpdate, SUS, AutoUpdates
Office Update et Outil d'inventaire des mises à jour d'Office pour SMS
MBSA 1.2 et Outil d'inventaire des mises à jour de sécurité pour SMS (SUIT)
Outil d'analyse des mises à jour pour entreprise (EST) et Outils d'analyse des mises à jour de sécurité SMS
MSUpdate/WSUS/AutoUpdatesOutil d'inventaire SMS 2003 et MBSA 2.0
MS07-023 - Oui (sauf 2007) Oui (local sauf 2007) Non Oui (sauf 2000)
MS07-024 - Oui Oui (local) Non Oui (sauf 2000)
MS07-025 - Oui (sauf 2007) Oui (local sauf 2007) Non Oui (sauf 2000)
MS07-026 - - Oui (sauf 2007) Non Oui
MS07-027 Oui - Oui (sauf Vista) Non Oui
MS07-028 Oui - Non Oui Oui
MS07-029 Oui - Oui Non Oui
Informations de mise à jour (suite)
BulletinRédémarrage requis
HotPatching Désinstallation Remplace
MS07-023 Non - Oui (sauf 2000) MS07-002
MS07-024 Non - Oui (sauf 2000) MS07-014
MS07-025 Non - Oui (sauf 2000) MS07-015
MS07-026 Non - Oui MS06-019, MS06-029
MS07-027 Oui - Oui MS07-016
MS07-028 Non - Oui -
MS07-029 Oui Non Oui -
Mai 2007 - Mises à jour non relatives à la sécurité
Numéro Titre Distribution
930916 Mise à jour pour Windows XP (KB930916) WinUpdate, MSUpdate
934708 Mise à jour du filtre de courrier indésirable Outlook 2003 (KB934708) MSUpdate
934655 Mise à jour du filtre de courrier indésirable Outlook 2007 (KB934655) MSUpdate
933669 Mise à jour pour PowerPoint 2003 (KB933669) MSUpdate
934173 Mise à jour pour Word 2007 (KB934173) MSUpdate
934393 Mise à jour pour Office 2007 (KB934393) MSUpdate
Windows Malicious Software Removal Tool
• Ajoute la possibilité de supprimer :> Win32/Renos
• Disponible en tant que mise à jour prioritaire sous Windows Update et Microsoft Update pour les utilisateurs de Windows XP et Windows Vista.
> Disponible par WSUS. Non disponible par SUS 1.0.
• Également disponible en téléchargement à http://www.microsoft.com/france/securite/malwareremove/default.mspx
Cycle de support produits - fin de support sécurité
• Windows Server 2003 RTM (SP0) a expiré avec la publication d'avril 2007> Windows Server 2003 SP1 et SP2 pris en charge
• 10 juillet 2007 > Software Update Services 1.0
• WSUS 2.0 et 3.0 pris en charge
> SQL Server 2000 Service Pack 3a
• SQL Server 2000 Service Pack 4 pris en charge
> SQL Server 2005 RTM (SP0)
• SQL Server 2005 SP1 pris en charge
Informations importantes complémentaires
• Windows Server Update Services (WSUS) 3.0 disponible> Informations disponibles sur :
http://www.microsoft.com/france/technet/produits/win2003/WSUS.mspx
• Windows Server 2003 SP2 sera disponible par les Mises à jour automatiques à partir du 12 juin 2007
> Informations disponibles sur :http://www.microsoft.com/france/technet/Produits/Win2003/sp2.mspx
Ressources
• Webcast des bulletins de sécurité de juin 2007
• Résumé des bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletin/ms07-may.mspx
• Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletin
• Programme de conseils sécurité Microsoft : Glossairehttp://www.microsoft.com/france/technet/security/bulletin/glossary.mspx
• Avis de sécuritéhttp://www.microsoft.com/france/technet/security/advisory
• Blog du MSRC (Microsoft Security Response Center)http://blogs.technet.com/msrc
• Notificationshttp://www.microsoft.com/france/securite/newsletters.mspx
• TechNet Radio (en anglais)http://www.microsoft.com/tnradio
• Microsoft France sécurité http://www.microsoft.com/france/securite
• Lettre d'information mensuellehttp://www.microsoft.com/france/securite/newsletters.mspx
• TechNet sécuritéhttp://www.microsoft.com/france/technet/security
Informations légales
L’OBJET DU PRESENT DOCUMENT EST DE VOUS FOURNIR L’INFORMATION QUE VOUS AVEZ DEMANDEE CONCERNANT LA SECURITE. GENERALEMENT, L’INFORMATION PROVOQUE UNE PRISE DE CONSCIENCE AUTOUR DE LA SECURITE ET IDENTIFIE LE PERSONNEL, LES PROCEDES, RESSOURCES ET TECHNOLOGIES QUI SONT DESTINES A PROMOUVOIR DE BONNES REGLES DE SECURITE DANS VOTRE ORGANISATION. LES VIRUS ET AUTRES TECHNOLOGIES NUISIBLES DESTINES A ATTAQUER VOTRE ENVIRONNEMENT INFORMATIQUE CHANGENT CONTINUELLEMENT AFIN DE CONTOURNER LES MESURES DE SECURITE EXISTANTES. DES LORS, MAINTENIR UN ENVIRONNEMENT INFORMATIQUE FIABLE EST UN PROCESSUS CONTINU QUI EXIGE QUE VOUS MAINTENIEZ UN PERSONNEL, DES PROCEDES, RESSOURCES ET TECHNOLOGIES ADEQUATS AFIN DE VOUS PROTEGER CONTRE TOUTE ATTEINTE A LA SECURITE. AUCUNE DISPOSITION CONTENUE DANS LES PRESENTES NE DOIT ETRE INTERPRETEE OU CONSIDEREE COMME UNE CERTIFICATION, UNE GARANTIE OU TOUTE AUTRE FORME DE VALIDATION QUE VOTRE ENVIRONNEMENT INFORMATIQUE EST ET DEMEURERA PROTEGE CONTRE DES ATTEINTES A LA SECURITE ET NOUS N’ASSUMONS AUCUNE RESPONSABILITE POUR TOUTE ATTEINTE A LA SECURITE OU TOUT DOMMAGE OU PERTE SUBSEQUENT. TOUTES COMMUNICATIONS OU TRANSMISSIONS D’INFORMATION QUI VOUS SONT ADRESSEES AU SUJET DE MICROSOFT ET CONCERNANT LA SECURITE INCLUANT NOTAMMENT TOUTES SUGGESTIONS, ANALYSES, OU COMMENTAIRES QUI VOUS SONT FOURNIS DURANT UNE ANALYSE RELATIVE A LA SECURITE OU TOUTE AUTRE INFORMATION PASSEE, PRESENTE OU FUTURE RELATIVE NOTAMMENT AUX TESTS DE SECURITE, EVALUATIONS, DISPONIBILITES, HORAIRES OU OBJECTIFS (CI-APRES COLLECTIVEMENT DENOMMES « INFORMATIONS SUR LA SECURITE »), SONT FOURNIS CONFORMEMENT AUX CONDITIONS DU CONTRAT DE SERVICE EXISTANT ENTRE VOUS ET MICROSOFT ET UNIQUEMENT AFIN DE VOUS PERMETTRE DE VOUS ORGANISER FACE A D’EVENTUELS PROBLEMES DE SECURITE. TOUTES LES INFORMATIONS SUR LA SECURITE CONTIENNENT TOUTES LES DONNEES QUI NOUS SONT ACTUELLEMENT ACCESSIBLES MAIS QUI SONT SUSCEPTIBLES DE CHANGER EN RAISON DU CHANGEMENT CONSTANT DE CES DONNEES SANS QUE MICROSOFT VOUS AIT PREALABLEMENT INFORME DE CES CHANGEMENTS. NOUS VOUS RECOMMANDONS DONC DE VERIFIER REGULIEREMENT AUPRES DE NOUS ET SUR LE SITE INTERNET DE SECURITE SITUE A L’ADRESSE SUIVANTE WWW.MICROSOFT.COM/SECURITY SI LES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES FONT L’OBJET DE MISES A JOUR. VEUILLEZ NOUS CONTACTER SI VOUS AVEZ D’AUTRES QUESTIONS CONCERNANT DES PROBLEMES DE SECURITE OU SI VOUS AVEZ BESOIN D’UNE MISE A JOUR DES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES.