Avis de sécurité Microsoft : Page d'accueil

Avis de sécurité Microsoft (953818)

Menace multi-facteur (blended threat) liée à une attaque combinée dans Apple Safari sur la plate-forme Windows

Paru le 30 mai 2008 | Dernière mise à jour le 14 avril 2009

Version : 2.0

Microsoft a étudié des rapports publics faisant état d'une menace multi-facteur (blended threat) qui pourrait permettre l'exécution de code à distance sur toutes les versions en cours de support de Windows XP et de Windows Vista sur lesquelles Apple Safari a été installé. Safari n'est pas installé par défaut sur Windows XP ou sur Windows Vista. Il est installé de manière indépendante ou par l'intermédiaire de l'application de mise à jour logicielle Apple. Les clients utilisant Safari sur Windows sont priés de consulter cet Avis.

Nous avons publié les Bulletins MS09-014 – Mise à jour de sécurité cumulative pour Internet Explorer (963027) – et MS09-015 – Une vulnérabilité liée à une menace multifacteur dans SearchPath pourrait permettre une élévation de privilèges (959426) – pour résoudre ce problème. Pour plus d'informations à ce sujet, notamment en ce qui concerne les liens vers le téléchargement d'une mise à jour de sécurité, veuillez consulter les Bulletin de sécurité MS09-014 et MS09-015.

Le support d'Apple a publié un avis de sécurité qui concerne la vulnérabilité dans Apple Safari 3.1.2 pour Windows. Veuillez consulter l'avis de sécurité Apple Au sujet de la sécurité dans Safari 3.1.2 pour Windows (en anglais) pour plus d'informations.

Facteurs atténuants :

Les clients qui ont modifié l'emplacement par défaut sur le disque local des téléchargements effectués par Safari ne sont pas concernés par cette menace multi-facteur.

Informations générales

Présentation

But de cet Avis : Informer les clients et fournir des informations complémentaires concernant l'impact sur les plates-formes Windows concernées.

État de l'avis : Avis publié.

Recommandation : Consultez et exécutez, le cas échéant, les actions suggérées.

RéférencesIdentification

Article de la Base de connaissances Microsoft

953818

Bulletin de sécurité Microsoft

MS09-014

Bulletin de sécurité Microsoft

MS09-015

Référence CVE

CVE-2008-2540

Cet Avis porte sur les logiciels suivants.

Logiciels concernés

Windows XP Service Pack 2

Windows XP Service Pack 3

Windows XP Professionnel Édition x64

Windows XP Professionnel Édition x64 Service Pack 2

Windows Vista

Windows Vista Service Pack 1

Windows Vista Édition x64

Windows Vista Édition x64 Service Pack 1

Internet Explorer 6 pour Windows XP Service Pack 2, Windows XP Service Pack 3, Windows XP Professionnel Édition x64 et Windows XP Professionnel Édition x64 Service Pack 2

Internet Explorer 7 pour Windows XP Service Pack 2, Windows XP Service Pack 3, Windows XP Professionnel Édition x64 et Windows XP Professionnel Édition x64 Service Pack 2

Internet Explorer 7 pour Windows Vista, Windows Vista Service Pack 1, Windows Vista Édition x64 et Windows Vista Édition x64 Service Pack 1

Top of sectionTop of section

Forum aux questions

Quelle est la portée de cet Avis ?
Cet avis apporte des informations complémentaires concernant une menace multi-facteur qui pourrait permettre l'exécution de code à distance sur toutes les versions en cours de support de Windows XP et de Windows Vista. Pour obtenir la liste complète des logiciels concernés, consultez la section « Présentation ».

Cette vulnérabilité nécessite-t-elle la publication par Microsoft d'une mise à jour de sécurité ?
Nous avons publié les Bulletins MS09-014 – Mise à jour de sécurité cumulative pour Internet Explorer (963027) – et MS09-015 – Une vulnérabilité liée à une menace multifacteur dans SearchPath pourrait permettre une élévation de privilèges (959426) – pour résoudre ce problème.

D'où vient cette menace ?
La conjonction de l'emplacement de téléchargement par défaut dans Safari et la manière dont le Bureau Windows traite les exécutables crée une menace multi-facteur (blended threat) qui permettrait le téléchargement de fichiers sur l'ordinateur de l'utilisateur sans autorisation préalable, leur permettant d'être exécutés. Safari est disponible en tant qu'installation autonome ou par l'intermédiaire de l'application de mise à jour logicielle Apple.

Que pourrait faire un attaquant en exploitant cette fonctionnalité ?
Un attaquant pourrait convaincre des utilisateurs à visiter un site Web spécialement conçu, qui téléchargerait du contenu sur leur machine et exécuterait le contenu localement avec les permissions de l'utilisateur connecté.

Top of sectionTop of section

Actions suggérées

Déployez les mises à jour des Bulletins MS09-014 – Mise à jour de sécurité cumulative pour Internet Explorer (963027) – et MS09-015 – Une vulnérabilité liée à une menace multifacteur dans SearchPath pourrait permettre une élévation de privilèges (959426) – qui s'appliquent à votre environnement.

Si vous utilisez Apple Safari sur Windows, vérifiez que vous utilisez la version 3.1.2 ou une version plus récente. La dernière mise à jour d'Apple Safari est disponible sur le site Web d'Apple.

Consultez l'Article de la Base de connaissances Microsoft relatif à cet avis.

Solutions de contournement

Microsoft a testé les solutions de contournement ci-dessous. Elles ne corrigent pas la vulnérabilité sous-jacente, mais elles permettent de bloquer les vecteurs d'attaque connus. Lorsqu'une solution de contournement réduit une fonctionnalité, elle est identifiée dans la section suivante :

Modifier l'emplacement de téléchargement de contenu dans Safari vers un répertoire nouvellement créé

1.

Créez un nouveau répertoire, tel que C:\TelechargementsSafari.

2.

Dans Safari, cliquez sur Édition, puis sur Préférences.

3.

Repérez l'option Enregistrez les fichiers téléchargés dans : et choisissez le répertoire nouvellement créé.

Top of sectionTop of section
Top of sectionTop of section

Remerciements : 

Aviv Raff pour avoir collaboré avec nous et avoir signalé la menace multi-facteur (blended threat) sur Apple Safari et Microsoft Internet Explorer.

Ressources :

Vous pouvez nous envoyer des commentaires par l'intermédiaire du formulaire figurant sur le site Web Aide et de support Microsoft : Contactez-nous.

En cas de problème, contactez les Services de support produits de Microsoft. Pour plus d'informations sur les options de support disponibles, consultez le site Web Aide et de support Microsoft.

Nos clients internationaux peuvent joindre le Support technique de leur filiale Microsoft locale. Pour savoir comment contacter le Support Microsoft, consultez le site Web Support international.

TechNet sécurité fournit des informations complémentaires sur la sécurité dans les produits Microsoft.

Dédit de responsabilité :

Les informations contenues dans cet avis sont fournies « en l’état », sans garantie d’aucune sorte. Microsoft exclut toute garantie, expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.

Révisions : 

V1.0 (30 mai 2008) : Avis publié.

V1.1 (6 juin 2008) : Modification des étapes dans la solution de contournement et ajout d'un remerciement.

V1.2 (20 juin 2008) : Avis mis à jour pour indiquer le lien vers l'avis de sécurité émis par Apple.

V1.3 (2 juillet 2008) : Mise des Actions suggérées.

V2.0 (14 avril 2009) : Ajout de références et liens vers MS09-014 et MS09-015, qui corrigent le problème présenté dans cet Avis.


Haut de pageHaut de page