bulletins de sécurité microsoft septembre 2009 jérôme leseinne css security emea bruno sorcelle...
TRANSCRIPT
Bulletins de sécurité MicrosoftSeptembre 2009
Jérôme LeseinneCSS Security EMEA
Bruno SorcelleTechnical Account Manager
Bienvenue !
Présentation des bulletins de septembreNouveaux Bulletins de sécuritéBulletin rééditéMises à jour non relatives à la sécurité
Informations connexes :Microsoft® Windows® Malicious Software* Removal ToolAutres informations
Ressources
Questions - Réponses : Envoyez dès maintenant !
* Malicious software (logiciel malveillant)
Questions - Réponses
À tout moment pendant la présentation, posez vos
questions :1. Ouvrez l’interface Questions-réponses en cliquant sur le menu Q&R :
2. Précisez le numéro du Bulletin, entrez votre question et cliquez sur « Poser une question » :
Indices de gravité cumulée et Indices d'exploitabilité
MS09-045 : Introduction et indices de gravité
Numéro Titre Indice de gravité
maximalProduits affectés
MS09-045
Une vulnérabilité dans le moteur de script JScript pourrait permettre l'exécution de code à distance (971961)
Critique
• JScript 5.6 on Windows 2000, Windows XP, JScript 5.6 on Windows 2000, Windows XP, & Windows Server 2003 & Windows Server 2003 (all supported versions)(all supported versions)
• JScript 5.7 on Windows XP, Windows Server JScript 5.7 on Windows XP, Windows Server 2003, Windows Vista, & Windows Server 2003, Windows Vista, & Windows Server 2008 (all supported versions)2008 (all supported versions)
• JScript 5.8 on Windows XP, Windows Server JScript 5.8 on Windows XP, Windows Server 2003, Windows Vista, & Windows Server 2003, Windows Vista, & Windows Server 2008 (all supported versions)2008 (all supported versions)
MS09-045 : Une vulnérabilité dans le moteur de script JScript pourrait permettre l'exécution de code à distance (971961) - CritiqueVulnérabilité • Une vulnérabilités d'exécution de code à distance.
Vecteurs d'attaque possibles
• Ouverture d'un fichier spécialement conçu ou visite d un site Web spécialement conçu et invoquant un script mal formé.
• Le contenu pourrait être envoyé par messagerie ou être hébergé sur un site Web.
Impact • Un attaquant pourrait obtenir les mêmes droits que l'utilisateur connecté.
Facteurs atténuants
• Par défaut, Internet Explorer sur Windows Server 2003 et Windows Server 2008 s'exécute selon un mode restreint
• Par défaut, dans toutes les versions de Microsoft Outlook en cours de support et dans Microsoft Outlook Express, les messages au format HTML sont ouverts dans la zone Sites sensibles.
• Un attaquant n'aurait aucun moyen d'obliger les utilisateurs à visiter un site Web malveillant.
• Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur.
Contournement • Définissez les paramètres des zones Intranet local et Internet sur la valeur « Élevé » afin d'afficher un message de confirmation avant d'exécuter les contrôles ActiveX et Active Scripting dans ces zones
Informations complémentaires
• Ces vulnérabilités ont été signalées de manière responsable.• À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou
de code d'exploitation.
MS09-046 : Introduction et indices de gravité
Numéro Titre Indice de gravité
maximalProduits affectés
MS09-046
Une vulnérabilité dans le contrôle ActiveX du composant d'édition DHTML pourrait permettre l'exécution de code à distance (956844)
Critique
• Windows 2000 (All Supported Versions)Windows 2000 (All Supported Versions)• Windows XP (All Supported Versions)Windows XP (All Supported Versions)• Windows Server 2003 (All Supported Windows Server 2003 (All Supported
Versions)Versions)
MS09-046 : Une vulnérabilité dans le contrôle ActiveX du composant d'édition DHTML pourrait permettre l'exécution de code à distance (956844) - Critique
Vulnérabilité • Une vulnérabilité d'exécution de code à distance.
Vecteurs d'attaque possibles
• Cette vulnérabilité pourrait permettre l'exécution de code à distance si l'utilisateur consultait une page Web spécialement conçue à l'aide d'Internet Explorer, tentant ainsi d'instancier le contrôle ActiveX. Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté.
Impact • Un attaquant pourrait obtenir les mêmes droits que l'utilisateur connecté.
Facteurs atténuants
• Un attaquant n'aurait aucun moyen d'obliger les utilisateurs à visiter un site Web malveillant.
• Par défaut, Internet Explorer sur Windows Server 2003 et Windows Server 2008 s'exécute selon un mode restreint
• Par défaut, dans toutes les versions de Microsoft Outlook en cours de support et dans Microsoft Outlook Express, les messages au format HTML sont ouverts dans la zone Sites sensibles.
• Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur.
Contournement • Définissez les paramètres des zones Intranet local et Internet sur la valeur « Élevé » afin d'afficher un message de confirmation avant d'exécuter les contrôles ActiveX et Active Scripting dans ces zones
Informations complémentaires
• Ces vulnérabilités ont été signalées de manière responsable.• À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou
de code d'exploitation.
MS09-047 : Introduction et indices de gravité
Numéro Titre Indice de gravité
maximalProduits affectés
MS09-047
Des vulnérabilités dans le format Windows Media pourraient permettre l’exécution de code à distance (973812)
Critique
• Windows Media Format Runtime 9.0 Windows Media Format Runtime 9.0 on Windows 2000 & Windows XP on Windows 2000 & Windows XP (all supported versions)(all supported versions)
• Windows Media Format Runtime 9.5 Windows Media Format Runtime 9.5 on Windows XP & Windows Server on Windows XP & Windows Server 2003 2003 (all supported versions)(all supported versions)
• Windows Media Format Runtime 9.5 Windows Media Format Runtime 9.5 x64 Edition on Windows XP x64 Edition x64 Edition on Windows XP x64 Edition SP2 & Windows Server 2003 x64 SP2 & Windows Server 2003 x64 Edition SP2Edition SP2
• Windows Media Format Runtime 11 Windows Media Format Runtime 11 on Windows XP, Windows Server 2003, on Windows XP, Windows Server 2003, Windows Vista, and Windows Server Windows Vista, and Windows Server 2008 (all supported versions)2008 (all supported versions)
• Windows Media Services 9.1 on Windows Media Services 9.1 on Windows Server 2003 (all supported Windows Server 2003 (all supported versions)versions)
• Windows Media Services 2008 Windows Media Services 2008 Windows Server 2008 (all supported Windows Server 2008 (all supported versions)versions)
MS09-047 : Des vulnérabilités dans le format Windows Media pourraient permettre l’exécution de code à distance (973812) - CritiqueVulnérabilité • Deux vulnérabilités d'exécution de code à distance.
Vecteurs d'attaque possibles
• Fichier ASF spécialement conçu• Fichier MP3 spécialement conçu• Site web compromis• Par courrier électronique avec en pièce jointe un fichier compromis
Impact • Un attaquant pourrait obtenir les mêmes droits que l'utilisateur connecté.
Facteurs atténuants
• Un attaquant n'aurait aucun moyen d'obliger les utilisateurs à visiter un site Web malveillant.
• Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur.
• Cette vulnérabilité ne peut être exploitée automatiquement par messagerie électronique car l utilisateur doit ouvrir la pièce jointe.
• Par défaut, Internet Explorer sur Windows Server 2003 et Windows Server 2008 s'exécute selon un mode restreint
Contournement • Limiter l'accès à wmvcore.dll et mf.dll
Informations complémentaires
• Cette vulnérabilité a été signalée de manière responsable.• À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou
de code d'exploitation.
MS09-048 : Introduction et indices de gravité
Numéro Titre Indice de
gravité maximalProduits affectés
MS09-048
Des vulnérabilités dans Windows
TCP/IP pourraient permettre
l'exécution de code à distance
(967723)
Critique
• Microsoft Windows 2000 Service Pack 4*Microsoft Windows 2000 Service Pack 4*• Windows Server 2003 (All Supported Versions)Windows Server 2003 (All Supported Versions)• Windows Vista (All Supported Versions)Windows Vista (All Supported Versions)• Windows Server 2008 (All Supported Versions)Windows Server 2008 (All Supported Versions)
MS09-048 : Des vulnérabilités dans Windows TCP/IP pourraient permettre l'exécution de code à distance (967723) - CritiqueVulnérabilité • Deux vulnérabilités de déni de service et une vulnérabilité d'exécution de code à distance.
Vecteurs d'attaque possibles
• Des paquets TCP/IP spécialement conçus vers un ordinateur avec un service d'écoute sur le réseau.
Impact • Pour la vulnérabilité de déni de service. Un attaquant qui réussirait à exploiter cette vulnérabilité pourrait empêcher le système affecté de répondre.
• Pour la vulnérabilité d'exécution de code à distance. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire avec des privilèges élevés sur les systèmes vulnérables.
Facteurs atténuants • Les meilleures pratiques en matière de pare-feu, ainsi que les configurations par défaut des pare-feu, contribuent à protéger les réseaux contre les attaques lancées depuis l’extérieur de l’entreprise. Les meilleures pratiques recommandent que les systèmes connectés à Internet aient le moins possible de ports exposés.
• Dans Windows Vista, si le profil de réseau est défini sur « Public », le système n'est pas affecté par cette vulnérabilité étant donné que, par défaut, les paquets réseau entrants non sollicités sont bloqués.
Contournement • Pour protéger votre ordinateur des tentatives d'exploitation de cette vulnérabilité sur le réseau, activez le filtrage TCP/IP avancé sur les systèmes qui prennent en charge cette fonctionnalité.
• Pour protéger votre ordinateur des tentatives d'exploitation de cette vulnérabilité sur le réseau, utilisez un pare-feu personnel, tel que le Pare-feu de connexion Internet.
Informations complémentaires
• Ces vulnérabilités ont été signalées de manière responsable.• À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou de code
d'exploitation.
MS09-049 : Introduction
Numéro Titre Indice de
gravité maximalProduits affectés
MS09-049
Une vulnérabilité dans le service de configuration automatique de réseau local sans fil pourrait permettre l'exécution de code à distance (970710)
Critique
• Windows Vista (All Supported Versions)Windows Vista (All Supported Versions)• Windows Server 2008 for 32-bit SystemsWindows Server 2008 for 32-bit Systems• Windows Server 2008 for x64-based Windows Server 2008 for x64-based
SystemsSystems
MS09-049 : Une vulnérabilité dans le service de configuration automatique de réseau local sans fil pourrait permettre l'exécution de code à distance (970710) - Critique
Vulnérabilité • Une vulnérabilité d'exécution de code à distance.
Vecteurs d'attaque possibles
• Cette vulnérabilité pourrait permettre l'exécution de code à distance si un client ou un serveur avec une interface réseau sans fil active recevait des trames sans fil spécialement conçues.
Impact • Un attaquant pourrait obtenir les mêmes droits que l'utilisateur connecté.
Facteurs atténuants
• Les systèmes qui ne disposent pas d'une carte sans fil activée ne sont pas exposés à cette vulnérabilité.
Contournement • Désinscription de Wlansvc
Informations complémentaires
• Cette vulnérabilité a été signalée de manière responsable.• À la publication de ce Bulletin, nous n'avons pas connaissance d'attaques ou
de code d'exploitation.
Bulletin Windows Update
Microsoft Update
MBSA 2.1 WSUS 3.0 SMS avec Feature
Pack SUS
SMS avec Outil
d'inventaire des mises
à jour
SCCM 2007
MS09-045 Oui Oui Oui Oui Oui* Oui Oui
MS09-046 Oui Oui Oui Oui Oui* Oui Oui
MS09-047 Oui Oui Oui Oui Oui* Oui Oui
MS09-048 Oui Oui Oui Oui Oui* Oui Oui
MS09-049 Oui Oui Oui Oui Non* Oui Oui
* SMS SUSFP ne prend pas en charge Internet Explorer 7, Internet Explorer 8, Office System 2007, Works 8.5 & 9.0, ISA 2006. Virtual PC et Virtual Server, Windows Vista, Windows Server 2008, toutes versions de Windows x64 et les systèmes Windows ia64
Détection et déploiement
Bulletin de Sécurité Réédité
Titre & numéro Titre & numéro d’Article :d’Article :
Bulletin de Sécurité Microsoft MS09-037 - CritiqueBulletin de Sécurité Microsoft MS09-037 - CritiqueDes vulnérabilités dans Microsoft ATL (Active Template Library) pourraient Des vulnérabilités dans Microsoft ATL (Active Template Library) pourraient permettre l'exécution de code à distance (973908)permettre l'exécution de code à distance (973908)
Information:: • Bulletin réédité afin de proposer de nouvelles mises à jour pour le contrôle Bulletin réédité afin de proposer de nouvelles mises à jour pour le contrôle ActiveX de l'objet HtmlInput sur Windows XP Édition Media Center 2005 et ActiveX de l'objet HtmlInput sur Windows XP Édition Media Center 2005 et toutes les éditions en cours de support de Windows Vista. toutes les éditions en cours de support de Windows Vista.
Avis de sécurité Microsoft (975497) - Des vulnérabilités dans SMB pourraient permettre l'exécution de code à distance• Consultez l'Article 975497 de la Base de connaissances pour obtenir
plus d'explication.• Concerne Windows Vista toutes versions et Windows Server 2008
toutes versions. • Ce problème ne concerne pas Windows 2000, Windows XP, Windows
Server 2003, Windows 7 et Windows Server 2008 R2.
• Contournement• Désactiver SMBv2 (impact : L'hôte ne pourra pas communiquer à
l'aide de SMB2)• Bloquer les ports 139 et 445 (Impact : Plusieurs services Windows
utilisent ces ports. Bloquer ces ports peut entraîner un dysfonctionnement de certaines applications ou services)
Informations de mise à jour (suite)
Bulletin Redémarrage requis Désinstallation Remplace
MS09-045 Éventuellement Oui MS08-033
MS09-011
MS09-046 Oui Oui MS06-002
MS09-047 Éventuellement Oui MS08-027
MS09-048 Oui Oui (Aucun)
MS09-049 Éventuellement Oui MS08-032
Septembre 2009 - Mises à jour non relatives à la sécurité
Windows Malicious Software Removal Tool
Ajoute la possibilité de supprimer :Win32/BredolabWin32/Daurso Disponible en tant que mise à jour prioritaire sous Windows Update et Microsoft UpdateDisponible par WSUS 3.0
Disponible en téléchargement à l'adresse suivante : http://www.microsoft.com/france/securite/malwareremove
RessourcesSynthèse des Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletin/ms09-sep.mspx
Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletin Webcast des Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletin/webcasts.mspx
Avis de sécuritéhttp://www.microsoft.com/france/technet/security/advisory
Abonnez-vous à la synthèse des Bulletins de sécurité (en français)http://www.microsoft.com/france/securite/newsletters.mspx
Blog du MSRC (Microsoft Security Response Center)http://blogs.technet.com/msrc
Microsoft France sécurité http://www.microsoft.com/france/securite TechNet sécuritéhttp://www.microsoft.com/france/technet/security
Informations légales
L’OBJET DU PRESENT DOCUMENT EST DE VOUS FOURNIR L’INFORMATION QUE VOUS AVEZ DEMANDEE CONCERNANT LA SECURITE. GENERALEMENT, L’INFORMATION PROVOQUE UNE PRISE DE CONSCIENCE AUTOUR DE LA SECURITE ET IDENTIFIE LE PERSONNEL, LES PROCEDES, RESSOURCES ET TECHNOLOGIES QUI SONT DESTINES A PROMOUVOIR DE BONNES REGLES DE SECURITE DANS VOTRE ORGANISATION. LES VIRUS ET AUTRES TECHNOLOGIES NUISIBLES DESTINES A ATTAQUER VOTRE ENVIRONNEMENT INFORMATIQUE CHANGENT CONTINUELLEMENT AFIN DE CONTOURNER LES MESURES DE SECURITE EXISTANTES. DES LORS, MAINTENIR UN ENVIRONNEMENT INFORMATIQUE FIABLE EST UN PROCESSUS CONTINU QUI EXIGE QUE VOUS MAINTENIEZ UN PERSONNEL, DES PROCEDES, RESSOURCES ET TECHNOLOGIES ADEQUATS AFIN DE VOUS PROTEGER CONTRE TOUTE ATTEINTE A LA SECURITE. AUCUNE DISPOSITION CONTENUE DANS LES PRESENTES NE DOIT ETRE INTERPRETEE OU CONSIDEREE COMME UNE CERTIFICATION, UNE GARANTIE OU TOUTE AUTRE FORME DE VALIDATION QUE VOTRE ENVIRONNEMENT INFORMATIQUE EST ET DEMEURERA PROTEGE CONTRE DES ATTEINTES A LA SECURITE ET NOUS N’ASSUMONS AUCUNE RESPONSABILITE POUR TOUTE ATTEINTE A LA SECURITE OU TOUT DOMMAGE OU PERTE SUBSEQUENT. TOUTES COMMUNICATIONS OU TRANSMISSIONS D’INFORMATION QUI VOUS SONT ADRESSEES AU SUJET DE MICROSOFT ET CONCERNANT LA SECURITE INCLUANT NOTAMMENT TOUTES SUGGESTIONS, ANALYSES, OU COMMENTAIRES QUI VOUS SONT FOURNIS DURANT UNE ANALYSE RELATIVE A LA SECURITE OU TOUTE AUTRE INFORMATION PASSEE, PRESENTE OU FUTURE RELATIVE NOTAMMENT AUX TESTS DE SECURITE, EVALUATIONS, DISPONIBILITES, HORAIRES OU OBJECTIFS (CI-APRES COLLECTIVEMENT DENOMMES « INFORMATIONS SUR LA SECURITE »), SONT FOURNIS CONFORMEMENT AUX CONDITIONS DU CONTRAT DE SERVICE EXISTANT ENTRE VOUS ET MICROSOFT ET UNIQUEMENT AFIN DE VOUS PERMETTRE DE VOUS ORGANISER FACE A D’EVENTUELS PROBLEMES DE SECURITE. TOUTES LES INFORMATIONS SUR LA SECURITE CONTIENNENT TOUTES LES DONNEES QUI NOUS SONT ACTUELLEMENT ACCESSIBLES MAIS QUI SONT SUSCEPTIBLES DE CHANGER EN RAISON DU CHANGEMENT CONSTANT DE CES DONNEES SANS QUE MICROSOFT VOUS AIT PREALABLEMENT INFORME DE CES CHANGEMENTS. NOUS VOUS RECOMMANDONS DONC DE VERIFIER REGULIEREMENT AUPRES DE NOUS ET SUR LE SITE INTERNET DE SECURITE SITUE A L’ADRESSE SUIVANTE WWW.MICROSOFT.COM/SECURITY SI LES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES FONT L’OBJET DE MISES A JOUR. VEUILLEZ NOUS CONTACTER SI VOUS AVEZ D’AUTRES QUESTIONS CONCERNANT DES PROBLEMES DE SECURITE OU SI VOUS AVEZ BESOIN D’UNE MISE A JOUR DES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES.