Avis de sécurité Microsoft : Page d'accueil

Avis de sécurité Microsoft (960715)

Ensemble de mises à jour pour les kill bits ActiveX

Paru le 10 février 2009 | Dernière mise à jour le 17 juin 2009

Version : 1.2

Microsoft publie une nouvelle série de kill bits ActiveX avec cet Avis.

Cette mise à jour inclut les kill bits contenus dans les Bulletins de sécurité Microsoft précédents :

•	MS08-070, Des vulnérabilités dans les fichiers étendus de l'environnement d'exécution de Visual Basic 6.0 (contrôles ActiveX) pourraient permettre l'exécution de code à distance (932349)

Cette mise à jour inclut également des kill bits ActiveX pour les logiciels tiers suivants :

•

Akamai Download Manager. Cette mise à jour de sécurité définit un kill bit pour un contrôle ActiveX développé par Akamai Technologies. Akamai Technologies a publié une mise à jour qui corrige une vulnérabilité dans le composant affecté. Pour obtenir plus d'informations et connaître les adresses de téléchargement, consultez la publication de sécurité d'Akamai Technologies. La définition de ce kill bit est réalisée à la demande du propriétaire des contrôles ActiveX. Les identificateurs de classe (CLSID) de ce contrôle ActiveX sont indiqués dans la section Forum aux questions de cet Avis.

•

Research in Motion (RIM) AxLoader. Cette mise à jour de sécurité définit un kill bit pour un contrôle ActiveX développé par Research In Motion (RIM). RIM a publié une mise à jour qui corrige une vulnérabilité dans le composant affecté. Pour obtenir plus d'informations et connaître les adresses de téléchargement, consultez la publication de sécurité de Research In Motion. La définition de ce kill bit est réalisée à la demande du propriétaire des contrôles ActiveX. Les identificateurs de classe (CLSID) de ce contrôle ActiveX sont indiqués dans la section Forum aux questions de cet Avis.

Pour en savoir plus sur l'installation de cette mise à jour, consultez l'Article 960715 de la Base de connaissances Microsoft.

Informations générales

Présentation

But de cet Avis : Notification de la disponibilité d'une mise à jour de kill bits ActiveX.

État de l'avis : L'Article de la Base de connaissances et la mise à jour qui lui est associée ont été publiés.

Recommandation : Consultez l'Article de la Base de connaissances en référence et appliquez la mise à jour adéquate.

Références	Identification
Article de la Base de connaissances Microsoft	960715

Cet Avis porte sur les logiciels suivants.

Logiciels concernés
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 et Windows XP Service Pack 3
Windows XP Professionnel Édition x64 et Windows XP Professionnel Édition x64 Service Pack 2 :
Windows Server 2003 Service Pack 1 et Windows Server 2003 Service Pack 2
Windows Server 2003 Édition x64 et Windows Server 2003 Édition x64 Service Pack 2
Windows Server 2003 avec SP1 pour systèmes Itanium et Windows Server 2003 avec SP2 pour systèmes Itanium
Windows Vista et Windows Vista Service Pack 1
Windows Vista Édition x64 et Windows Vista Édition x64 Service Pack 1
Windows Server 2008 pour systèmes 32 bits
Windows Server 2008 pour systèmes x64
Windows Server 2008 pour systèmes Itanium

Top of section

Forum aux questions

Les utilisateurs d'une installation Server Core de Windows Server 2008 doivent-ils installer cette mise à jour ?
Les utilisateurs d'une installation Server Core de Windows Server 2008 n'ont pas besoin d'installer cette mise à jour. Pour plus d'informations sur l'option d'installation Server Core, consultez la page Server Core. Notez que l'option d'installation Server Core ne s'applique pas à certaines éditions de Windows Server 2008 ; consultez la page Option d’installation Server Core de Windows Server 2008.

Pourquoi cet Avis ne possède-t-il pas d'indice de gravité associé ?
Cette mise à jour contient des kill bits pour des contrôles tiers n'appartenant pas à Microsoft. Microsoft ne détermine pas d'indice de gravité pour des contrôles tiers vulnérables.

Cette mise à jour remplace t-elle la Mise à jour de sécurité cumulative pour les kill bits ActiveX (950760) ?
Non. En raison des mises à jour automatiques, cette mise à jour ne remplace pas la Mise à jour de sécurité cumulative pour les kill bits ActiveX (950760) décrite dans le Bulletin de sécurité Microsoft MS08-032. Les mises à jour automatiques proposent la mise à jour MS08-032 même si cette mise à jour (960715) a été installée. Toutefois, nos clients qui ont installé cette mise à jour (960715) n'ont pas à installer la mise à jour MS08-032 pour bénéficier des kill bits qu'elle fournit.

Pourquoi Microsoft publie-t-il cet Ensemble de mises à jour pour les kill bits ActiveX dans un Avis de sécurité alors que les précédentes mises à jour de kill bits ont été publiées dans un Bulletin de sécurité ?
Microsoft publie cet Ensemble de mises à jour pour les kill bits ActiveX avec un Avis parce que ceux-ci ne concernent pas les logiciels Microsoft ou parce qu'ils ont déjà été définis dans un Bulletin de sécurité Microsoft.

Cette mise à jour contient-elle des kill bits précédemment publiés dans un ensemble de mises à jour pour les kill bits ActiveX ?
Oui. Cette mise à jour inclut également des kill bits précédemment proposés dans l'Avis de sécurité Microsoft 956391.

Cette mise à jour contient-elle des kill bits qui ont été fournis précédemment via une mise à jour de sécurité pour Internet Explorer ?
Non, cette mise à jour ne contient aucun kill bit fourni précédemment via une mise à jour de sécurité pour Internet Explorer. Nous vous recommandons d'installer la dernière mise à jour de sécurité cumulative pour Internet Explorer.

Qu'est-ce qu'un kill bit ?
Il existe une fonctionnalité de sécurité dans Microsoft Internet Explorer qui empêche un contrôle ActiveX d’être chargé par le moteur de rendu HTML d’Internet Explorer. Cette action est effectuée par la création d’un paramètre de Registre ; elle est appelée « définition du kill bit ». Une fois le kill bit défini, il est impossible de charger le contrôle concerné, même lorsqu’il est complètement installé. La définition du kill bit garantit que même si un composant vulnérable est introduit ou réintroduit dans un système, il reste inerte et inoffensif.

Pour plus d'informations, consultez l'Article 240797 de la Base de connaissances Microsoft : Comment faire pour empêcher l'exécution d'un contrôle ActiveX dans Internet Explorer.

Qu'est-ce qu'une mise à jour de sécurité pour les kill bits ActiveX ?
Cette mise à jour de sécurité contient uniquement les identificateurs de classe (CLSID) de certains contrôles ActiveX qui constituent la base de cette mise à jour de sécurité.

Pourquoi cette mise à jour ne contient-elle pas de fichiers binaires ?
Cette mise à jour apporte des modifications au Registre uniquement, afin d'empêcher le contrôle d'être instancié dans Internet Explorer.

Dois-je installer cette mise à jour si le composant affecté n'est pas installé sur mon système ou si je n'utilise pas la plate-forme concernée ?
Oui. L'installation de cette mise à jour empêchera le contrôle vulnérable de s'exécuter dans Internet Explorer.

Dois-je à nouveau appliquer cette mise à jour si j'installe un contrôle ActiveX repris dans cette mise à jour de sécurité à une date ultérieure ?
Non, il n'est pas nécessaire de réappliquer cette mise à jour. Le kill bit empêchera Internet Explorer d'exécuter le contrôle même si ce dernier est installé à une date ultérieure.

Que fait cette mise à jour ?
Cette mise à jour définit le kill bit pour une liste d'identificateurs de classe (CLSID).

L'identificateur de classe suivant est lié à une demande émise par Akamai afin de définir le kill bit pour un contrôle ActiveX vulnérable. Pour obtenir des informations plus détaillées, consultez la publication de sécurité d'Akamai :

Identificateur de classe
{FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1}

L'identificateur de classe suivant est lié à une demande émise par Research In Motion (RIM) afin de définir le kill bit pour un contrôle ActiveX vulnérable. Pour obtenir des informations plus détaillées, consultez la publication de sécurité de RIM :

Identificateur de classe
{4788DE08-3552-49EA-AC8C-233DA52523B9}

Les identificateurs de classe suivants concernent le contrôle CAPICOM traité dans le Bulletin de sécurité Microsoft MS08-070, Des vulnérabilités dans les fichiers étendus de l'environnement d'exécution de Visual Basic 6.0 (contrôles ActiveX) pourraient permettre l'exécution de code à distance (932349) :

Identificateur de classe
{1E216240-1B7D-11CF-9D53-00AA003C9CB6}
{3A2B370C-BA0A-11d1-B137-0000F8753F5D}
{B09DE715-87C1-11d1-8BE3-0000F8754DA1}
{cde57a43-8b86-11d0-b3c6-00a0c90aea82}
{6262d3a0-531b-11cf-91f6-c2863c385e30}
{0ECD9B64-23AA-11d0-B351-00A0C9055D8E}
{C932BA85-4374-101B-A56C-00AA003668DC}
{248dd896-bb45-11cf-9abc-0080c7e7b78d}

Top of section

Actions suggérées

Consultez l'Article de la Base de connaissances Microsoft relatif à cet avis.

Microsoft encourage ses clients à installer cette mise à jour. Les clients souhaitant en savoir plus sur cette fonctionnalité devraient consulter l'Article 960715 de la Base de connaissances Microsoft.

Solutions de contournement

Une solution de contournement fait référence à une modification de paramètre ou de configuration qui ne corrige pas la vulnérabilité sous-jacente mais qui pourrait contribuer à bloquer certains vecteurs d'attaque connus jusqu'à ce que la mise à jour soit appliquée. Microsoft a testé les solutions de contournement suivantes et indique le cas échéant si une solution réduit certaines fonctionnalités :

•

Empêcher les objets COM de s'exécuter dans Internet Explorer

Vous pouvez empêcher les tentatives d'exécution d'un objet COM dans Internet Explorer en définissant le kill bit relatif au contrôle dans le Registre.

Attention : Si vous n'utilisez pas correctement le programme Éditeur du registre, vous risquez de provoquer de sérieux problèmes et d'avoir à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir qu'il soit possible de résoudre des problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre. L'utilisation de l'Éditeur du Registre relève de votre responsabilité.

Pour plus de détails sur la manière d'empêcher l'exécution d'un contrôle dans Internet Explorer, consultez l'Article 240797 de la Base de connaissances Microsoft. Suivez les étapes de cet article et créez une valeur pour les indicateurs de compatibilité dans le registre, afin d'empêcher un objet COM de s'instancier dans Internet Explorer.

Remarque : Les identificateurs de classe et les fichiers correspondants contenant ces objets ActiveX sont décrits dans le paragraphe « Que fait cette mise à jour ? » de la section « Forum aux questions » ci-dessus. Remplacez {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} ci-dessous par les identificateurs de classe mentionnés dans cette section.

Pour définir le kill bit d'un identificateur de classe CLSID de valeur {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}, collez le texte suivant dans un éditeur de texte, tel que Bloc-notes. Puis, enregistrez ensuite le fichier avec l'extension .reg.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{ XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX }]
"Compatibility Flags"=dword:00000400

Vous pouvez double-cliquer sur ce fichier .reg pour l'appliquer à des systèmes individuels. Vous pouvez également l'appliquer dans plusieurs domaines à l'aide de la Stratégie de groupe. Pour plus d'informations sur la Stratégie de groupe, consultez le site Web Microsoft suivant :

•	Collection Stratégie de groupe
•	Qu'est-ce que l'Éditeur d'objets de stratégie de groupe ?
•	Principaux outils et paramètres de la stratégie de groupe

Remarque : Vous devez redémarrer Internet Explorer pour que vos changements prennent effet.

Impact de cette solution de contournement : Aucun impact, tant que l'objet n'a pas été conçu pour être utilisé dans Internet Explorer

Top of section

Ressources :

•	Vous pouvez nous envoyer des commentaires par l'intermédiaire du formulaire figurant sur le site Web Aide et de support Microsoft : Contactez-nous.
•	En cas de problème, contactez les Services de support produits de Microsoft. Pour plus d'informations sur les options de support disponibles, consultez le site Web Aide et de support Microsoft.
•	Nos clients internationaux peuvent joindre le Support technique de leur filiale Microsoft locale. Pour savoir comment contacter le Support Microsoft, consultez le site Web Support international.
•	TechNet sécurité fournit des informations complémentaires sur la sécurité dans les produits Microsoft.

Dédit de responsabilité :

Les informations contenues dans cet avis sont fournies « en l’état », sans garantie d’aucune sorte. Microsoft exclut toute garantie, expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.

Révisions :

•	V1.0 (10 février 2009) : Avis publié.
•	V1.1 (29 avril 2009) : Ajout d'une réponse au Forum aux questions afin d'indiquer aux utilisateurs de l'installation Server Core de Windows Server 2008 qu'ils n'ont pas besoin d'installer cette mise à jour.
•	V1.2 (17 juin 2009) : Ajout d'une réponse au Forum aux questions afin d'indiquer qu'en raison des mises à jour automatiques, cette mise à jour ne remplace pas la Mise à jour de sécurité cumulative pour les kill bits ActiveX (950760) décrite dans le Bulletin de sécurité Microsoft MS08-032.

Haut de page