Avis de sécurité Microsoft (956391)

But de cet Avis : Notification de la disponibilité d'une mise à jour de kill bits ActiveX.

État de l'avis : L'Article de la Base de connaissances et la mise à jour qui lui est associée ont été publiés.

Recommandation : Consultez l'Article de la Base de connaissances en référence et appliquez la mise à jour adéquate.

Cet Avis porte sur les logiciels suivants.

Les utilisateurs d'une installation Server Core de Windows Server 2008 doivent-ils installer cette mise à jour ?
Cette mise à jour sera proposée aux utilisateurs d'une installation Server Core de Windows Server 2008, cependant ils n'ont pas à l'installer. Pour plus d'informations sur l'option d'installation Server Core, consultez la page Server Core. Notez que l'option d'installation Server Core ne s'applique pas à certaines éditions de Windows Server 2008 ; consultez la page Option d’installation Server Core de Windows Server 2008.

Lorsque j'applique cette mise à jour the contrôle ActiveX RSClientPrint cesse de fonctionner. Comment puis-je corriger ce problème ?
Les utilisateurs qui ont installé cette mise à jour et qui souhaitent imprimer des rapports sur un site Web qui intègre Microsoft Report Viewer Redistributable ne pourront pas imprimer jusqu'à ce que les serveurs aient été mis à niveau avec la dernière version de Microsoft Report Viewer Redistributable. Les mises à jour pour Microsoft Report Viewer Redistributable sont disponibles dans MS08-052. Les utilisateurs qui ont installé cette mise à jour et qui souhaitent imprimer des rapports sur un site Microsoft SharePoint qui intègre Microsoft SQL Server 2005 Reporting Services Add-in for Microsoft SharePoint Technologies ne pourront pas imprimer jusqu'à ce que les serveurs aient été mis à niveau avec la dernière version de Microsoft SQL Server 2005 Reporting Services Add-in for Microsoft SharePoint Technologies. La mise à jour est disponible sur le Centre de téléchargement Microsoft.

Cette mise à jour remplace t-elle la Mise à jour de sécurité cumulative pour les kill bits ActiveX (950760) ?
Non. En raison des mises à jour automatiques, cette mise à jour ne remplace pas la Mise à jour de sécurité cumulative pour les kill bits ActiveX (950760) décrite dans le Bulletin de sécurité Microsoft MS08-032. Les mises à jour automatiques proposent la mise à jour MS08-032 même si cette mise à jour (956391) a été installée. Toutefois, nos clients qui ont installé cette mise à jour (956391) n'ont pas à installer la mise à jour MS08-032 pour bénéficier des kill bits qu'elle fournit.

Pourquoi Microsoft publie-t-il cet Ensemble de mises à jour pour les kill bits ActiveX dans un Avis de sécurité alors que les précédentes mises à jour de kill bits ont été publiées dans un Bulletin de sécurité ?
Microsoft publie cet Ensemble de mises à jour pour les kill bits ActiveX avec un Avis parce que ceux-ci ne concernent pas les logiciels Microsoft ou parce qu'ils ont déjà été définis dans un Bulletin de sécurité Microsoft.

Pourquoi cet Avis ne possède-t-il pas d'indice de gravité associé ?
Cette mise à jour contient des kill bits pour des contrôles tiers ou des contrôles ayant déjà été traités dans des mises à jour de sécurité. Microsoft ne détermine pas d'indice de gravité pour des contrôles tiers vulnérables.

Cette mise à jour contient-elle des kill bits précédemment publiés dans un ensemble de mises à jour pour les kill bits ActiveX ?
Oui. Cette mise à jour inclut également des kill bits précédemment proposés dans l'Avis de sécurité Microsoft (953839).

Cette mise à jour contient-elle des kill bits qui ont été fournis précédemment via une mise à jour de sécurité pour Internet Explorer ?
Non, cette mise à jour ne contient aucun kill bit fourni précédemment via une mise à jour de sécurité pour Internet Explorer. Nous vous recommandons d'installer la dernière mise à jour de sécurité cumulative pour Internet Explorer.

Qu'est-ce qu'un kill bit ?
Il existe une fonctionnalité de sécurité dans Microsoft Internet Explorer qui empêche un contrôle ActiveX d’être chargé par le moteur de rendu HTML d’Internet Explorer. Cette action est effectuée par la création d’un paramètre de Registre ; elle est appelée « définition du kill bit ». Une fois le kill bit défini, il est impossible de charger le contrôle concerné, même lorsqu’il est complètement installé. La définition du kill bit garantit que même si un composant vulnérable est introduit ou réintroduit dans un système, il reste inerte et inoffensif.

Pour plus d'informations, consultez l'Article 240797 de la Base de connaissances Microsoft : Comment faire pour empêcher l'exécution d'un contrôle ActiveX dans Internet Explorer.

Qu'est-ce qu'une mise à jour de sécurité pour les kill bits ActiveX ?  
Cette mise à jour de sécurité contient uniquement les identificateurs de classe (CLSID) de certains contrôles ActiveX qui constituent la base de cette mise à jour de sécurité.

Pourquoi cette mise à jour ne contient-elle pas de fichiers binaires ?
Cette mise à jour apporte des modifications au Registre uniquement, afin d'empêcher le contrôle d'être instancié dans Internet Explorer.

Dois-je installer cette mise à jour si le composant affecté n'est pas installé sur mon système ou si je n'utilise pas la plate-forme concernée ?
Oui. L'installation de cette mise à jour empêchera le contrôle vulnérable de s'exécuter dans Internet Explorer.

Dois-je à nouveau appliquer cette mise à jour si j'installe un contrôle ActiveX repris dans cette mise à jour de sécurité à une date ultérieure ?
Non, il n'est pas nécessaire de réappliquer cette mise à jour. Le kill bit empêchera Internet Explorer d'exécuter le contrôle même si ce dernier est installé à une date ultérieure.

Que fait cette mise à jour ?
Cette mise à jour définit le kill bit pour une liste d'identificateurs de classe (CLSID).

L'identificateur de classe suivant est lié à une demande émise par Microgaming afin de définir le kill bit pour un contrôle ActiveX vulnérable. Pour obtenir des informations plus détaillées, consultez l'avis publié par Microgaming :

L'identificateur de classe suivant est lié à une demande émise par Husdawg afin de définir le kill bit pour un contrôle ActiveX vulnérable. Pour obtenir des informations plus détaillées, consultez l'avis publié par Husdawg :

L'identificateur de classe suivant est lié à une demande émise par PhotoStockPlus afin de définir le kill bit pour un contrôle ActiveX vulnérable. Pour obtenir des informations plus détaillées, consultez l'avis publié par PhotoStockPlus :

Les identificateurs de classe suivants sont liés aux Bulletins de sécurité Microsoft MS02-044, MS08-017, MS08-041 et MS08-052 corrigés précédemment. Ces kill bits sont définis comme une mesure de défense en profondeur.

Consultez l'Article de la Base de connaissances Microsoft relatif à cet avis.

Microsoft encourage ses clients à installer cette mise à jour. Les clients souhaitant en savoir plus sur cette mise à jour devraient consulter l'Article 956391 de la Base de connaissances Microsoft.

Une solution de contournement fait référence à une modification de paramètre ou de configuration qui ne corrige pas la vulnérabilité sous-jacente mais qui pourrait contribuer à bloquer certains vecteurs d'attaque connus jusqu'à ce que la mise à jour soit appliquée. Microsoft a testé les solutions de contournement suivantes et indique le cas échéant si une solution réduit certaines fonctionnalités :

•

Empêcher les objets COM de s'exécuter dans Internet Explorer Vous pouvez empêcher les tentatives d'exécution d'un objet COM dans Internet Explorer en définissant le kill bit relatif au contrôle dans le Registre. Attention : Si vous n'utilisez pas correctement le programme Éditeur du registre, vous risquez de provoquer de sérieux problèmes et d'avoir à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir qu'il soit possible de résoudre des problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre. L'utilisation de l'Éditeur du Registre relève de votre responsabilité. Pour plus de détails sur la manière d'empêcher l'exécution d'un contrôle dans Internet Explorer, consultez l'Article 240797 de la Base de connaissances Microsoft. Suivez les étapes de cet article et créez une valeur pour les indicateurs de compatibilité dans le registre, afin d'empêcher un objet COM de s'instancier dans Internet Explorer. Remarque : Les identificateurs de classe et les fichiers correspondants contenant ces objets ActiveX sont décrits dans le paragraphe « Que fait cette mise à jour ? » de la section « Forum aux questions » ci-dessus. Remplacez {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} ci-dessous par les identificateurs de classe mentionnés dans cette section. Pour définir le kill bit d'un identificateur de classe CLSID de valeur {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}, collez le texte suivant dans un éditeur de texte, tel que Bloc-notes. Puis, enregistrez ensuite le fichier avec l'extension .reg. Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{ XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX }] "Compatibility Flags"=dword:00000400 Vous pouvez double-cliquer sur ce fichier .reg pour l'appliquer à des systèmes individuels. Vous pouvez également l'appliquer dans plusieurs domaines à l'aide de la Stratégie de groupe. Pour plus d'informations sur la Stratégie de groupe, consultez le site Web Microsoft suivant : • Collection Stratégie de groupe • Qu'est-ce que l'Éditeur d'objets de stratégie de groupe ? • Principaux outils et paramètres de la stratégie de groupe Remarque : Vous devez redémarrer Internet Explorer pour que vos changements prennent effet. Impact de cette solution de contournement : Aucun impact, tant que l'objet n'a pas été conçu pour être utilisé dans Internet Explorer

Top of section