Avis de sécurité Microsoft (969898)

But de cet Avis : Notification de la disponibilité d'une mise à jour de kill bits ActiveX.

État de l'avis : L'Article de la Base de connaissances et la mise à jour qui lui est associée ont été publiés.

Recommandation : Consultez l'Article de la Base de connaissances en référence et appliquez la mise à jour adéquate.

Cet Avis porte sur les logiciels suivants.

Les utilisateurs d'une installation Server Core de Windows Server 2008 doivent-ils installer cette mise à jour ?
Les utilisateurs d'une installation Server Core de Windows Server 2008 n'ont pas besoin d'installer cette mise à jour. Pour plus d'informations sur l'option d'installation Server Core, consultez la page Server Core. Notez que l'option d'installation Server Core ne s'applique pas à certaines éditions de Windows Server 2008 ; consultez la page Option d’installation Server Core de Windows Server 2008.

Pourquoi cet Avis ne possède-t-il pas d'indice de gravité associé ?
Cette mise à jour contient un kill bit pour une mise à jour fournie précédemment dans un Service Pack ainsi que des kill bits pour des contrôles tiers n'appartenant pas à Microsoft. Microsoft ne détermine pas d'indice de gravité pour les Service Packs ou des contrôles tiers vulnérables.

Cette mise à jour remplace t-elle la Mise à jour de sécurité cumulative pour les kill bits ActiveX (950760) ?
Non. En raison des mises à jour automatiques, cette mise à jour ne remplace pas la Mise à jour de sécurité cumulative pour les kill bits ActiveX (950760) décrite dans le Bulletin de sécurité Microsoft MS08-032. Les mises à jour automatiques proposent la mise à jour MS08-032 même si cette mise à jour (969898) a été installée. Toutefois, nos clients qui ont installé cette mise à jour (969898) n'ont pas à installer la mise à jour MS08-032 pour bénéficier des kill bits qu'elle fournit.

Pourquoi Microsoft publie-t-il cet Ensemble de mises à jour pour les kill bits ActiveX dans un Avis de sécurité alors que les précédentes mises à jour de kill bits ont été publiées dans un Bulletin de sécurité ?
Microsoft publie cet Ensemble de mises à jour pour les kill bits ActiveX avec un Avis parce que ceux-ci ne concernent pas les logiciels Microsoft ou parce qu'ils ont déjà été définis dans une mise à jour de sécurité Microsoft.

Cette mise à jour contient-elle des kill bits précédemment publiés dans un ensemble de mises à jour pour les kill bits ActiveX ?
Oui. Cette mise à jour inclut également des kill bits précédemment proposés dans l'Avis de sécurité Microsoft 960715.

Cette mise à jour contient-elle des kill bits qui ont été fournis précédemment via une mise à jour de sécurité pour Internet Explorer ?
Non, cette mise à jour ne contient aucun kill bit fourni précédemment via une mise à jour de sécurité pour Internet Explorer. Nous vous recommandons d'installer la dernière mise à jour de sécurité cumulative pour Internet Explorer.

Qu'est-ce qu'un kill bit ?
Il existe une fonctionnalité de sécurité dans Microsoft Internet Explorer qui empêche un contrôle ActiveX d’être chargé par le moteur de rendu HTML d’Internet Explorer. Cette action est effectuée par la création d’un paramètre de Registre ; elle est appelée « définition du kill bit ». Une fois le kill bit défini, il est impossible de charger le contrôle concerné, même lorsqu’il est complètement installé. La définition du kill bit garantit que même si un composant vulnérable est introduit ou réintroduit dans un système, il reste inerte et inoffensif.

Pour plus d'informations, consultez l'Article 240797 de la Base de connaissances Microsoft : Comment faire pour empêcher l'exécution d'un contrôle ActiveX dans Internet Explorer.

Qu'est-ce qu'une mise à jour de sécurité pour les kill bits ActiveX ?  
Cette mise à jour de sécurité contient uniquement les identificateurs de classe (CLSID) de certains contrôles ActiveX qui constituent la base de cette mise à jour de sécurité.

Pourquoi cette mise à jour ne contient-elle pas de fichiers binaires ?
Cette mise à jour apporte des modifications au Registre uniquement, afin d'empêcher le contrôle d'être instancié dans Internet Explorer.

Dois-je installer cette mise à jour si le composant affecté n'est pas installé sur mon système ou si je n'utilise pas la plate-forme concernée ?
Oui. L'installation de cette mise à jour empêchera le contrôle vulnérable de s'exécuter dans Internet Explorer.

Dois-je à nouveau appliquer cette mise à jour si j'installe un contrôle ActiveX repris dans cette mise à jour de sécurité à une date ultérieure ?
Non, il n'est pas nécessaire de réappliquer cette mise à jour. Le kill bit empêchera Internet Explorer d'exécuter le contrôle même si ce dernier est installé à une date ultérieure.

Que fait cette mise à jour ?
Cette mise à jour définit le kill bit pour une liste d'identificateurs de classe (CLSID).

Les identificateurs de classe suivants concernent le Contrôle chargeur ATL MSCOMM32.OCX corrigé dans la Mise à jour cumulative pour Microsoft Visual Basic 6.0 Service Pack 6 (KB957924) :

L'identificateur de classe suivant est lié à une demande émise par Microgaming afin de définir le kill bit pour un identificateur de classe vulnérable. Pour obtenir des informations plus détaillées, consultez la publication de sécurité de Microgaming :

L'identificateur de classe suivant est lié à une demande émise par eBay afin de définir le kill bit pour un identificateur de classe vulnérable. Pour obtenir des informations plus détaillées, consultez la publication de sécurité d'eBay :

L'identificateur de classe suivant est lié à une demande émise par HP afin de définir le kill bit pour un identificateur de classe vulnérable. Pour obtenir des informations plus détaillées, consultez la publication de sécurité de HP :

Consultez l'Article de la Base de connaissances Microsoft relatif à cet avis.

Microsoft encourage ses clients à installer cette mise à jour. Les clients souhaitant en savoir plus sur cette mise à jour devraient consulter l'Article 969898 de la Base de connaissances Microsoft.

Une solution de contournement fait référence à une modification de paramètre ou de configuration qui ne corrige pas la vulnérabilité sous-jacente mais qui pourrait contribuer à bloquer certains vecteurs d'attaque connus jusqu'à ce que la mise à jour soit appliquée. Microsoft a testé les solutions de contournement suivantes et indique le cas échéant si une solution réduit certaines fonctionnalités :

•

Empêcher les objets COM de s'exécuter dans Internet Explorer Vous pouvez empêcher les tentatives d'exécution d'un objet COM dans Internet Explorer en définissant le kill bit relatif au contrôle dans le Registre. Attention : Si vous n'utilisez pas correctement le programme Éditeur du registre, vous risquez de provoquer de sérieux problèmes et d'avoir à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir qu'il soit possible de résoudre des problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre. L'utilisation de l'Éditeur du Registre relève de votre responsabilité. Pour plus de détails sur la manière d'empêcher l'exécution d'un contrôle dans Internet Explorer, consultez l'Article 240797 de la Base de connaissances Microsoft. Suivez les étapes de cet article et créez une valeur pour les indicateurs de compatibilité dans le registre, afin d'empêcher un objet COM de s'instancier dans Internet Explorer. Remarque : Les identificateurs de classe et les fichiers correspondants contenant ces objets ActiveX sont décrits dans le paragraphe « Que fait cette mise à jour ? » de la section « Forum aux questions » ci-dessus. Remplacez {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} ci-dessous par les identificateurs de classe mentionnés dans cette section. Pour définir le kill bit d'un identificateur de classe CLSID de valeur {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}, collez le texte suivant dans un éditeur de texte, tel que Bloc-notes. Puis, enregistrez ensuite le fichier avec l'extension .reg. Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{ XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX }] "Compatibility Flags"=dword:00000400 Vous pouvez double-cliquer sur ce fichier .reg pour l'appliquer à des systèmes individuels. Vous pouvez également l'appliquer dans plusieurs domaines à l'aide de la Stratégie de groupe. Pour plus d'informations sur la Stratégie de groupe, consultez le site Web Microsoft suivant : • Collection Stratégie de groupe • Qu'est-ce que l'Éditeur d'objets de stratégie de groupe ? • Principaux outils et paramètres de la stratégie de groupe Remarque : Vous devez redémarrer Internet Explorer pour que vos changements prennent effet. Impact de cette solution de contournement : Aucun impact, tant que l'objet n'a pas été conçu pour être utilisé dans Internet Explorer

Top of section