Avis de sécurité Microsoft : Page d'accueil

Avis de sécurité Microsoft (973882)

Des vulnérabilités dans Microsoft ATL (Active Template Library) pourraient permettre l'exécution de code à distance

Paru le 28 juillet 2009 | Dernière mise à jour le 13 octobre 2009

Version : 4.0

Microsoft publie cet Avis de sécurité pour fournir des informations provenant de notre étude continue des vulnérabilités des versions publiques et privées de Microsoft ATL (Active Template Library). Cet Avis fournit également des conseils sur ce que les développeurs peuvent faire pour s'assurer que les contrôles et les composants qu'ils ont créés ne sont pas vulnérables aux problèmes d'ATL, ce que les professionnels de l'informatique et les consommateurs peuvent faire pour atténuer les attaques potentielles utilisant ces vulnérabilités et ce que Microsoft fait dans le cadre de son étude continue pour résoudre le problème décrit dans cet Avis. Cet Avis de sécurité fournit également une liste complète de tous les Bulletins de sécurité Microsoft et de toutes les mises à jour de sécurité relatifs aux vulnérabilités dans ATL. Les études de Microsoft concernant les versions privées et publiques d'ATL sont continues et nous allons publier des mises à jour de sécurité et des conseils appropriés dans le cadre de ce processus d'investigation.

Microsoft est conscient des vulnérabilités de sécurité présentes dans les versions publiques et privées d'ATL. La bibliothèque Microsoft ATL est utilisée par les développeurs de logiciels pour créer des contrôles ou des composants destinés à la plate-forme Windows. Les vulnérabilités décrites dans cet Avis de sécurité et le Bulletin de sécurité Microsoft MS09-035 pourraient avoir pour résultat des attaques visant à divulguer des informations ou à exécuter du code à distance et touchant les contrôles et les composants créés au moyen de versions vulnérables d'ATL. Les composants et les contrôles créés avec la version vulnérable d'ATL pourraient être exposés à une condition vulnérable en raison de la manière dont ATL est utilisée ou de problèmes inhérents au code ATL lui-même.

Conseils aux développeurs : Microsoft a corrigé les problèmes dans les en-têtes publics d'ATL et publié des mises à jour pour les bibliothèques dans le Bulletin MS09-035 « Des vulnérabilités dans ATL (Active Template Library) de Visual Studio pourraient permettre l'exécution de code à distance ». Microsoft recommande fortement aux développeurs qui ont créé des contrôles ou des composants avec ATL de prendre immédiatement des mesures pour évaluer leurs contrôles en ce qui concerne l'exposition à une vulnérabilité et de suivre les conseils fournis pour créer des contrôles et des composants qui ne seront pas vulnérables. Pour obtenir plus d'informations sur les vulnérabilités et des conseils permettant de corriger les problèmes dans ATL, reportez-vous au bulletin MS09-035, « Des vulnérabilités dans ATL (Active Template Library) de Visual Studio pourraient permettre l'exécution de code à distance ».

Conseils aux professionnels de l'informatique et aux consommateurs : Pour aider à mieux protéger ses clients pendant que les développeurs mettent à jour leurs composants et leurs contrôles, Microsoft a développé une nouvelle technologie de défense en profondeur. Cette nouvelle technologie de défense en profondeur intégrée dans Internet Explorer contribue à protéger les clients contre de futures attaques utilisant les vulnérabilités de Microsoft ATL décrites dans cet Avis et le Bulletin de sécurité Microsoft MS09-035. Pour bénéficier de cette nouvelle technologie de défense en profondeur, les professionnels de l'informatique et les consommateurs doivent déployer immédiatement la Mise à jour de sécurité pour Internet Explorer proposée dans le Bulletin de sécurité Microsoft MS09-034, « Mise à jour de sécurité cumulative pour Internet Explorer ».

Cette mise à jour de sécurité inclut un facteur atténuant qui empêche les composants et les contrôles créés grâce à ATL vulnérable d'être exploités dans Internet Explorer, de même qu'elle corrige plusieurs vulnérabilités sans rapport avec ce problème. Les nouvelles protections de défense en profondeur proposées dans MS09-034 incluent des mises à jour Internet Explorer 5.01, Internet Explorer 6, Internet Explorer 6 Service Pack 1, Internet Explorer 7 et Internet Explorer 8. Ces protections de défense en profondeur surveillent et aident à empêcher l'exploitation de toutes les vulnérabilités connues de bibliothèques ATL publiques et privées, y compris les vulnérabilités qui pourraient mener à contourner le dispostif de sécurité de kill bit d'ActiveX. Ces protections sont conçues pour aider à protéger les clients des attaques Web.

Conseils aux particuliers : Pour aider à mieux protéger ses clients pendant que les développeurs mettent à jour leurs composants et leurs contrôles, Microsoft a développé une nouvelle technologie de défense en profondeur. Cette nouvelle technologie de défense en profondeur intégrée à Internet Explorer dans cette mise à jour contribue à protéger les clients contre de futures attaques utilisant les vulnérabilités de Microsoft ATL décrites dans cet Avis et le Bulletin de sécurité Microsoft MS09-035. Les particuliers abonnés aux Mises à jour automatiques recevront automatiquement la nouvelle mise à jour d'Internet Explorer et n'ont pas besoin de prendre de mesure supplémentaire. Les particuliers seront automatiquement mieux protégés contre les attaques futures exploitant les vulnérabilités corrigées dans cet Avis de sécurité et dans le Bulletin de sécurité Microsoft MS09-035.

Facteurs atténuants concernant les contrôles et les composants créés à l'aide de la version vulnérable de Microsoft ATL (Active Template Library) :

•	Par défaut, la majorité de contrôles ActiveX n'est pas incluse dans la liste verte par défaut des contrôles ActiveX dans Internet Explorer 7 ou Internet Explorer 8 s'exécutant sur Windows Vista ou des systèmes d'exploitation ultérieurs. Seuls les clients qui ont approuvé des contrôles vulnérables à l'aide de la fonctionnalité « ActiveX Opt-in » sont exposés aux tentatives d'exploitation de cette vulnérabilité. Cependant, si un client a utilisé de tels contrôles ActiveX dans une version précédente d'Internet Explorer puis a effectué une mise à niveau vers Internet Explorer 7 ou Internet Explorer 8, ces contrôles ActiveX sont activés pour fonctionner dans Internet Explorer 7 et Internet Explorer 8, même si le client n'a pas approuvé explicitement cette activation à l'aide de la fonctionnalité « ActiveX Opt-in ».
•	Par défaut, Internet Explorer 8 propose des protections avancées en activant des protections de mémoire DEP/NX pour les utilisateurs de Windows XP Service Pack 3, Windows Vista Service Pack 1, Windows Vista Service Pack 2 et Windows 7.
•	Par défaut, Internet Explorer sur Windows Server 2003 et Windows Server 2008 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. La Configuration de sécurité améliorée d'Internet Explorer est un groupe de paramètres Internet Explorer préconfigurés qui réduit le risque qu'un utilisateur ou qu'un administrateur ne télécharge et n'exécute un contenu Web spécialement conçu sur un serveur. C'est un facteur atténuant pour les sites Web qui n'ont pas été ajoutés à la zone Sites de confiance d'Internet Explorer. Consultez également le guide « Gestion de la configuration de sécurité améliorée d'Internet Explorer ».
•	Par défaut, dans toutes les versions de Microsoft Outlook en cours de support et dans Microsoft Outlook Express, les messages au format HTML sont ouverts dans la zone Sites sensibles. La zone Sites sensibles contribue à atténuer les attaques qui tenteraient d'exploiter cette vulnérabilité en empêchant les contrôles Active Scripting et ActiveX d'être utilisés lors de la lecture de message au format HTML. Cependant, en cliquant sur un lien figurant dans un message électronique, l'utilisateur s'expose toujours à une attaque Web exploitant cette vulnérabilité.
•	Dans le cas d'une attaque Web, l'attaquant devrait héberger un site Web qui contiendrait une page Web spécialement conçue pour exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent des contenus ou des annonces provenant d'utilisateurs pourraient contenir un contenu malveillant susceptible d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l’utilisateur, généralement en l’incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site.
•	Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Mises à jour relatives à ATL :

Mise à jour publiée le 13 octobre 2009

•

Le Bulletin de sécurité Microsoft MS09-060 « Des vulnérabilités dans les contrôles ActiveX de Microsoft ATL (Active Template Library) pour Microsoft Office pourraient permettre l'exécution de code à distance » fournit le support pour les composants de Microsoft Office concernés par les vulnérabilités ATL décrites dans cet Avis.

Mises à jour publiées le 25 août 2009

•	Windows Live Messenger 14.0.8089 est désormais disponible, pour corriger des vulnérabilités dans le client Windows Live Messenger qui sont liées aux vulnérabilités d'ATL décrites dans cet Avis.
•	Une section « Forum aux questions concernant les composants Windows Live » a été ajoutée à cet Avis pour communiquer la suppression de la fonctionnalité « Joindre une photo » de Windows Live Hotmail et fournir des détails à propos de Windows Live Messenger version 14.0.8089.

Mises à jour publiées le 11 août 2009

•	Le Bulletin de sécurité Microsoft MS09-037, « Des vulnérabilités dans Microsoft ATL (Active Template Library) pourraient permettre l'exécution de code à distance », fournit le support pour les composants Windows concernés par les vulnérabilités ATL décrites dans cet Avis.
•	Le Bulletin de sécurité Microsoft MS09- 035, «Des vulnérabilités dans ATL (Active Template Library) de Visual Studio pourraient permettre l'exécution de code à distance », est réédité pour proposer de nouvelles mises à jour aux développeurs utilisant Visual Studio pour créer des composants et des contrôles pour les applications mobiles avec ATL for Smart Devices.

Mises à jour publiées le 28 juillet 2009

•	Le Bulletin de sécurité Microsoft MS09-035, « Des vulnérabilités dans ATL (Active Template Library) de Visual Studio pourraient permettre l'exécution de code à distance », traite plus en détail les vulnérabilités spécifiques à ATL et fournit les en-têtes d'ATL publics mis à jour destinés aux éditeurs afin qu'ils développent des composants et des contrôles mis à jour. Nos investigations ont montré que des composants et contrôles Microsoft et d'autres fournisseurs sont concernés par ce problème et que ces composants et contrôles sont présents sur toutes les éditions en cours de support de Windows 2000 Service Pack 4, Windows XP, Windows Server 2003, Windows Vista et Windows Server 2008. Les développeurs ayant utilisé des versions vulnérables d'ATL lors de la création de contrôles ou de composants doivent consulter ce Bulletin et prendre des mesures immédiates si leurs contrôles sont vulnérables.
•	Le Bulletin de sécurité Microsoft MS09-034, « Mise à jour de sécurité cumulative pour Internet Explorer », inclut un facteur atténuant qui empêche l'exploitation dans Internet Explorer des composants et des contrôles créés à l'aide d'ATL vulnérable et qui corrige différentes vulnérabilités sans rapport avec ce problème. Les nouvelles protections de défense en profondeur proposées dans MS09-034 incluent des mises à jour pour Internet Explorer 5.01, Internet Explorer 6, Internet Explorer 6 Service Pack 1, Internet Explorer 7 et Internet Explorer 8. Ces protections de défense en profondeur surveillent et aident à empêcher l'exploitation de toutes les vulnérabilités connues de bibliothèques ATL publiques et privées, y compris les vulnérabilités qui pourraient mener à contourner le dispostif de sécurité de kill bit d'ActiveX. Ces protections sont conçues pour aider à protéger les clients des attaques Web.
•	Nous ne connaissons pas de méthodes ou de contrôles inclus avec Windows 7 qui permettraient des attaques par le biais d'Internet Explorer.

Mise à jour publiée le 14 juillet 2009

•

Le Bulletin de sécurité Microsoft MS09-032, « Mise à jour de sécurité cumulative pour les kill bits ActiveX », fournit des mesures de sécurité ActiveX (un kill bit) empêchant l'exécution du contrôle msvidctl dans Internet Explorer. L'exploitation de msvidcntl s'appuyait sur une vulnérabilité dans la version privée d'ATL. Dans cette instance spécifique, cette vulnérabilité permet à un attaquant de corrompre la mémoire, ce qui peut mener à une exécution de code à distance. Les kill bits publiés dans la version de juin pour msvidctl (MS09-032) bloqueront les exploitations publiques, comme décrit ici.

Informations générales

Présentation

But de cet Avis : Cet Avis a été publié pour informer les clients d'une vulnérabilité révélée publiquement. Pour plus d'informations, consultez les sections « Solutions de contournement », « Facteurs atténuants » et « Actions suggérées » de cet Avis de sécurité.

État de l'avis : Avis publié.

Recommandation : Consultez et exécutez, le cas échéant, les actions suggérées.

Références	Identification
Référence CVE	CVE-2009-0901 CVE-2009-2493 CVE-2009-2495 CVE-2008-0015
Bulletin de sécurité	MS09- 035 « Des vulnérabilités dans ATL (Active Template Library) de Visual Studio pourraient permettre l'exécution de code à distance » MS09-034 « Mise à jour de sécurité cumulative pour Internet Explorer » MS09-032 « Mise à jour de sécurité cumulative pour les kill bits ActiveX »
Article de la Base de connaissances Microsoft	MS09-035 : Article 969706 de la Base de connaissances Microsoft MS09-034 : Article 972260 de la Base de connaissances Microsoft MS09-032 : Article 973346 de la Base de connaissances Microsoft

Cet Avis porte sur les logiciels suivants.

Logiciels concernés
Microsoft Windows
Contrôles et composants créés à l'aide d'ATL vulnérable
Services Microsoft Live
Windows Live Messenger (versions antérieures à 14.0.8089)
Fonctionnalité « Joindre une photo » de Windows Live Hotmail

Top of section

Forum aux questions

Quelle est la portée de cet Avis ?
Microsoft a connaissance de vulnérabilités concernant des composants et des contrôles créés à l'aide des versions publiques et privées d'ATL (Active Template Library). Cet Avis a pour but d'informer les utilisateurs des mises à jour permettant d'atténuer le risque présenté par les contrôles et les composants vulnérables, de fournir des conseils et des instructions aux développeurs qui ont créé des contrôles et des composants à l'aide d'ATL vulnérable et d'informer les professionnels de l'informatique sur les méthodes de protection et sur l'installation de facteurs atténuants dans leur environnement.

Microsoft publiera-t-il prochainement des mises à jour de sécurité supplémentaires concernant cet Avis de sécurité ?
Les investigations de Microsoft concernant les en-têtes privés et publics d'ATL sont continues, et nous allons publier des mises à jour de sécurité et des conseils appropriés dans le cadre du processus d'investigation.

La vulnérabilité dans msvidctl (MS09-032) était-elle liée à cette mise à jour d'ATL ?
Oui, l'exploitation de msvidcntl s'appuyait sur une vulnérabilité dans la version privée d'ATL. Dans cette instance spécifique, cette vulnérabilité permet à un attaquant de corrompre la mémoire, ce qui peut mener à une exécution de code à distance. MS09-032, publié le 14 juillet, bloque les attaques connues sur msvidctl. Pour plus d'informations sur l'exploitation de msvidctl, consultez http://blogs.technet.com/srd/archive/2009/07/06/new-vulnerability-in-mpeg2tunerequest-activex-control-object-in-msvidctl-dll.aspx.

La mise à jour pour Internet Explorer (ms09-034) protègera-t-elle également contre les attaques via msvidctl ?
Oui, les facteurs atténuants pour Internet Explorer protégeront contre l'exploitation des vulnérabilités connues dans les versions publiques et privées d'ATL, y compris les attaques via msvidctl.

Qu'est-ce qu'ATL ?
ATL (Active Template Library) est un ensemble de classes C++ basées sur un modèle qui vous permet de créer des objets COM petits et rapides. ATL possède une prise en charge spéciale des fonctionnalités COM clés, incluant notamment les implémentations de stock, les interfaces doubles, les interfaces d'énumérateur COM standard, les points de connexion, les interfaces détachables et les contrôles ActiveX. Pour plus d'informations, consultez l'article MSDN dédié à ATL (en anglais).

Quelle est la cause de cette menace dans ATL ?
Le problème est causé dans certains cas par la façon dont ATL est utilisée et dans d'autres cas par le code ATL lui-même. Dans ces cas, les flux de données peuvent être traités incorrectement, ce qui peut entraîner la corruption de la mémoire, la divulgation d'informations et l'instanciation d'objets sans tenir compte de la stratégie de sécurité. Pour plus d'informations sur les vulnérabilités traitées dans ATL, reportez-vous au bulletin MS09-035, « Des vulnérabilités dans ATL (Active Template Library) de Visual Studio pourraient permettre l'exécution de code à distance ».

Quels sont les différences entre les versions publiques et privées d'ATL ?
La version privée d'ATL est utilisée par les développeurs de Microsoft pour créer des contrôles et des composants. Microsoft a mis à jour toutes les versions d'ATL utilisées par nos développeurs.

La version publique d'ATL est distribuée aux clients par le biais d'outils de développement, tels que Microsoft Visual Studio. Microsoft fournit une version mise à jour de notre ATL publique dans le Bulletin de sécurité Microsoft MS09-035.

Les vulnérabilités de sécurité dans ATL nécessiteront-elles que Microsoft et les développeurs tiers publient des mises à jour de sécurité ?
Oui. Outre les mises à jour de Bulletins décrites dans cet Avis, Microsoft réalise une investigation complète des contrôles et des composants de Microsoft. Dès la fin de cette enquête, Microsoft prendra les mesures nécessaires afin d'aider à protéger ses clients. Ceci peut comprendre la mise à disposition d'un correctif de sécurité lors du cycle mensuel ou lors d'une publication exceptionnelle.

Microsoft fournit également des conseils et contacte activement les principaux développeurs tiers afin de les aider à identifier les contrôles et les composants vulnérables. Ceci peut avoir pour résultat la publication de mises à jour de sécurité destinées aux contrôles et aux composants tiers.

Top of section

Forum aux questions concernant les services Windows Live

Comment la mise à niveau de Windows Live Messenger sera-t-elle distribuée ?
Lors de la connexion au service Windows Live Messenger, les utilisateurs de Windows Live Messenger 8.1, Windows Live Messenger 8.5 et Windows Live Messenger 14.0 sur les versions en cours de support de Windows seront invités par le mécanisme de déploiement des clients du service Windows Live Messenger à accepter la mise à niveau vers Windows Live Messenger 14.0.8089. Les utilisateurs qui souhaitent télécharger la mise à niveau vers Windows Live Messenger 14.0.8089 peuvent également le faire immédiatement en passant par le Centre de téléchargement Windows Live. Les utilisateurs de versions vulnérables de Windows Live Messenger ne seront pas autorisés à se connecter au service Windows Live Messenger.

Pourquoi Microsoft publie-t-il une mise à niveau de Windows Live Messenger via le service Windows Live Messenger et fournit en parallèle des téléchargements ?
Microsoft publie actuellement les mises à niveau pour Windows Live Messenger via le service Windows Live Messenger car ces services en ligne ont leur propre mécanisme de déploiement des clients. Cependant, les liens du Centre de téléchargement Microsoft sont également disponibles pour certains clients Windows Live Messenger. Les utilisateurs qui souhaitent télécharger les mises à niveau peuvent le faire immédiatement sur le Centre de téléchargement Windows Live.

S'il s'agit d'une mise à niveau, comment puis-je détecter si j'ai une version vulnérable de Windows Live Messenger ?
Lorsque vous essayez de vous connecter au service Windows Live Messenger, le mécanisme de déploiement des clients détermine automatiquement votre version et votre plate-forme actuelles et recommande, le cas échéant, la mise à niveau appropriée. Vous pouvez également vouloir vérifier la version de votre client Windows Live Messenger en cliquant sur Aide et sur À propos.

Que se passe-t-il si je n'effectue pas la mise à niveau vers la version la plus récente de Windows Live Messenger ?
Si vous n'effectuez pas de mise à niveau vers une version non affectée de Windows Live Messenger en fonction de votre plate-forme, une demande de mise à niveau apparaîtra à chaque fois que vous essaierez de vous connecter. Si vous n'acceptez pas la mise à niveau, vous pourrez ne pas être autorisé à accéder au service Windows Live Messenger.

Les autres applications de collaboration en temps réel de Microsoft telles que Windows Messenger ou Office Communicator sont-elles concernées par cette vulnérabilité ?
Non. Les autres applications de messagerie ne sont pas concernées car elles ne contiennent pas le composant vulnérable.

Quand Microsoft a-t-il supprimé la fonctionnalité « Joindre une photo » de Windows Live Hotmail ? Cette suppression a-t-elle coïncidé avec le lancement d'une nouvelle fonctionnalité ?
Microsoft a récemment pris la décision de supprimer cette fonctionnalité à court terme afin de corriger le problème. La suppression temporaire de cette fonctionnalité n'a pas coïncidé avec le lancement d'une autre fonctionnalité.

Quel est le calendrier prévu de la restauration de la fonctionnalité « Joindre une photo » pour tous les utilisateurs de Windows Live Hotmail ?
Microsoft travaille activement à la correction du problème. Entretemps, vous avez toujours la possibilité d'ajouter des images en tant que pièces jointes à vos messages Hotmail en cliquant sur Joindre, puis en sélectionnant l'image que vous souhaitez inclure.

Top of section

Forum aux questions des développeurs au sujet de la mise à jour de Visual Studio

Que pourrait faire un attaquant en exploitant cette vulnérabilité ?
Pour les contrôles et les composants créés à l'aide d'ATL, l'utilisation risquée de certaines macros peut permettre l'instanciation d'objets arbitraires capables de contourner la stratégie de sécurité relative à ActiveX (c'est-à-dire les kill bits) dans Internet Explorer. De plus, les composants et les contrôles créés à l'aide de la version vulnérable d'ATL peuvent être vulnérables aux menaces d'exécution de code à distance ou de divulgation d'informations. Si un utilisateur a ouvert une session avec des droits d'administrateur et que son système contient un contrôle vulnérable, un attaquant pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Je suis un développeur d'applications tierces et j'utilise ATL dans mon composant ou mon contrôle. Mon composant ou mon contrôle est-il vulnérable et, si oui, comment faire pour le mettre à jour ?
Les composants et les contrôles peuvent être concernés par ce problème si certaines conditions sont vérifiées pendant la création du composant ou du contrôle. MS09-035 contient des informations supplémentaires, des exemples et des conseils que les développeurs tiers peuvent utiliser pour détecter et corriger les composants et les contrôles vulnérables.

Que fait la mise à jour de sécurité pour Visual Studio ?
Ces mises à jour corrigent des vulnérabilités dans Microsoft ATL (Active Template Library) qui permettent à un utilisateur distant et non authentifié d'exécuter du code arbitraire sur un système affecté. Ces vulnérabilités sont dues dans certains cas à la façon dont ATL est utilisée, et dans d'autres cas au code ATL lui-même. Dans la mesure où ces vulnérabilités concernent ATL, les composants ou les contrôles développés à l'aide d'ATL peuvent exposer des clients utilisant les contrôles et les composants concernés à des scénarios d'exécution de code à distance.

La mise à jour de sécurité pour Visual Studio met à jour la version vulnérable d'ATL utilisée par Visual Studio. Ceci permet aux utilisateurs de Visual Studio de modifier et de reconstruire leurs contrôles et composants à l'aide d'une version mise à jour d'ATL.

Nos investigations ont montré que les composants et les contrôles Microsoft et tiers peuvent être concernés par ce problème. Par conséquent, tous les fournisseurs concernés doivent modifier, et reconstruire, leurs composants et leurs contrôles en utilisant la bibliothèque ATL corrigée fournie dans le Bulletin de sécurité Microsoft MS09-035.

Top of section

Forum aux questions des professionnels de l'informatique à propos des mesures de protection possibles

La mise à jour pour IE MS09-034 me protège-t-elle de tous les composants et les contrôles créés avec la version vulnérable d'ATL ?
Pour aider à mieux protéger ses clients pendant que les développeurs mettent à jour leurs composants et leurs contrôles, Microsoft a développé une nouvelle technologie de défense en profondeur. Cette nouvelle technologie de défense en profondeur intégrée dans Internet Explorer contribue à protéger les clients contre de futures attaques utilisant les vulnérabilités de Microsoft ATL décrites dans cet Avis et le Bulletin de sécurité Microsoft MS09-035. Le Bulletin de sécurité Microsoft MS09-034, « Mise à jour de sécurité cumulative pour Internet Explorer », inclut un facteur atténuant qui empêche l'exploitation dans Internet Explorer des composants et des contrôles créés à l'aide d'ATL vulnérable et qui corrige différentes vulnérabilités sans rapport avec ce problème.

Microsoft continue d'étudier tous les contrôles et les composants de Microsoft et aide les développeurs tiers à évaluer leurs contrôles et leurs composants.

Quelle mesure un professionnel de l'informatique peut-il prendre pour atténuer l'exposition à ce problème ?
Microsoft recommande fortement aux professionnels de l'informatique de déployer immédiatement la Mise à jour de sécurité pour Internet Explorer proposée dans le Bulletin de sécurité Microsoft MS09-034, « Mise à jour de sécurité cumulative pour Internet Explorer ».

Top of section

Forum aux questions concernant les mesures de protection destinées aux consommateurs

Quelle mesure les consommateurs peuvent-ils prendre pour atténuer l'exposition à ce problème ?
Pour aider à mieux protéger ses clients pendant que les développeurs mettent à jour leurs composants et leurs contrôles, Microsoft a développé une nouvelle technologie de défense en profondeur. Cette nouvelle technologie de défense en profondeur intégrée dans Internet Explorer contribue à protéger les clients contre de futures attaques utilisant les vulnérabilités de Microsoft ATL décrites dans cet Avis et le Bulletin de sécurité Microsoft MS09-035. Microsoft recommande fortement aux consommateurs d'activer les Mises à jour automatiques et de déployer immédiatement la Mise à jour de sécurité pour Internet Explorer proposée dans le Bulletin de sécurité Microsoft MS09-034, « Mise à jour de sécurité cumulative pour Internet Explorer ». Les particuliers qui reçoivent automatiquement les mises à jour recevront les facteurs atténuants fournis dans la mise à jour cumulative pour IE et les autres mises à jour de sécurité concernant à ce problème et n'ont pas besoin de prendre de mesure supplémentaire.

Microsoft encourage également les particuliers à effectuer la mise à niveau vers Internet Explorer 8 pour bénéficier de la sécurité et des protections avancées.

Top of section

Forum aux questions concernant les facteurs atténuants de la Mise à jour pour Internet Explorer

Quelle est la cause de cette menace capable d'autoriser le contournement de la sécurité ActiveX ?
Les contrôles ActiveX créés avec des méthodes ATL vulnérables peuvent ne pas valider correctement des informations. Suite à cela, un contrôle ActiveX pourrait autoriser la corruption de la mémoire ou permettre à un attaquant d'utiliser un contrôle ActiveX fiable pour charger un contrôle ActiveX non fiable qui était auparavant bloqué dans Internet Explorer.

Les nouvelles mesures de défense en profondeur proposées dans MS09-034 incluent des mises à jour pour Internet Explorer 5.01, Internet Explorer 6, Internet Explorer 6 Service Pack 1, Internet Explorer 7 et Internet Explorer 8 qui surveillent et aident à empêcher l'exploitation de toutes les vulnérabilités connues d'ATL publiques et privées, y compris les vulnérabilités qui pourraient mener à contourner le dispositif de sécurité de kill bit d'Internet Explorer. Ces protections sont conçues pour protéger les clients des attaques Web.

Que pourrait faire un attaquant en exploitant cette fonctionnalité ?
Un attaquant ayant réussi à exploiter cette vulnérabilité sur Windows Vista ou Windows 2008 obtiendrait seulement des droits en tant qu'utilisateur limité en raison du mode protégé d'Internet Explorer. Sur les autres systèmes Windows, l'attaquant pourrait se procurer les mêmes droits d'utilisateur que l'utilisateur local. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Comment un attaquant pourrait-il utiliser cette fonction ?
Un attaquant pourrait héberger un site Web destiné à héberger un contrôle ActiveX spécialement conçu et inciter un utilisateur à afficher le site Web. Sont également concernés les sites Web compromis et les sites Web acceptant ou hébergeant des contenus ou des publicités provenant d'utilisateurs. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l’utilisateur, généralement en l’incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site.

Qu'est-ce qu'un kill bit ?
Il existe une fonctionnalité de sécurité dans Microsoft Internet Explorer qui empêche un contrôle ActiveX d'être chargé par le moteur de rendu HTML d'Internet Explorer. Cette action est effectuée par la création d’un paramètre de Registre ; elle est appelée « définition du kill bit ». Une fois le kill bit défini, il est impossible de charger le contrôle concerné, même lorsqu’il est complètement installé. La définition du kill bit garantit que même si un composant vulnérable est introduit ou réintroduit dans un système, il reste inerte et inoffensif.

Pour plus d’informations sur les kill bit, consultez l’article 240797 de la Base de connaissances de Microsoft. Comment faire pour empêcher l'exécution d'un contrôle ActiveX dans Internet Explorer. Pour plus d'informations sur les kill bits et leur fonctionnement dans Internet Explorer, reportez-vous à l'article de blog sur la Recherche sur la sécurité et défense (en anglais).

Que fait cette mise à jour ?
Cette mise à jour renforce le mécanisme de sécurité d'ActiveX en assurant la validation lorsque des méthodes dangereuses sont utilisées par les contrôles ActiveX utilisant les en-têtes ATL vulnérables dans des configurations spécifiques.

Cette mise à jour modifie-t-elle la fonctionnalité ?
Oui. Cette mise à jour ne permet plus l'exécution d'ensembles spécifiques de méthodes ATL dans Internet Explorer. Cette mise à jour atténue le risque de contournement de la sécurité active en empêchant des contrôles ActiveX fiables de charger des contrôles non fiables.

Cette mise à jour contient-elle des modifications logicielles supplémentaires ?
Oui. Cette mise à jour contient également des correctifs de sécurité supplémentaires et d'autres mises à jour pour Internet Explorer dans la mise à jour cumulative pour Internet Explorer.

Cette mise à jour traite-elle tous les scénarios de contrôle ActiveX non fiables ?
Non. Cette mise à jour corrige en particulier les contrôles ActiveX dangereux/non fiables susceptibles d'être vulnérables aux problèmes d'ATL décrits dans cet Avis, afin de protéger les clients contre les attaques lorsqu'ils naviguent sur Internet.

Microsoft continue à étudier ce problème. Dès la fin de cette enquête, Microsoft prendra les mesures nécessaires afin d'aider à protéger ses clients. Ceci peut comprendre la mise à disposition d'un correctif de sécurité lors du cycle mensuel ou lors d'une publication exceptionnelle.

Comment suis-je protégé par le mode protégé d'Internet Explorer 7 et d'Internet Explorer 8 dans WindowsVistaet versions ultérieures ?
Dans Windows Vista et les systèmes d'exploitation plus récents, Internet Explorer 7 et Internet Explorer 8 s'exécutent par défaut en mode protégé pour la zone de sécurité Internet. Le mode protégé réduit de façon significative les possibilités d'un attaquant d'écrire, d'altérer ou de détruire des données de la machine de l'utilisateur ou d'installer du code malveillant. Ceci s'appuie sur les mécanismes d'intégrité de Windows Vista et systèmes d'exploitation plus récents, qui restreignent l'accès aux processus, fichiers et clés de registre avec des niveaux d'intégrité élevés.

Qu'est-ce que DEP (Data Execution Prevention) ?
DEP (Data Execution Prevention) est activé par défaut dans Internet Explorer 8. DEP est conçu pour contrecarrer les attaques en empêchant du code de s'exécuter dans des zones mémoire marquées non-exécutables. Pour plus d'informations sur DEP dans Internet Explorer, consultez l'article MSDN suivant : http://blogs.msdn.com/ie/archive/2008/04/08/ie8-security-part-I_3A00_-dep-nx-memory-protection.aspx.

Top of section

Actions suggérées

•	Consultez l'Article de la Base de connaissances Microsoft relatif à cet avis. Les clients désireux d'en savoir plus sur les problèmes d'ATL sont invités à consulter l'Article 973882 de la Base de connaissances Microsoft.
•	Appliquez les mises à jour associées aux Bulletins de sécurité MS09-034 et MS09-035 Les clients dont le système est affecté peuvent télécharger les mises à jour de l'Article 969706 de la Base de connaissances Microsoft et de l'Article 972260 de la Base de connaissances Microsoft. La mise à jour pour Internet Explorer fournit de nouveaux facteurs atténuants qui empêchent l'instanciation de contrôles ActiveX vulnérables dans Internet Explorer 7 et 8. La mise à jour pour Visual Studio permet aux développeurs de créer des contrôles ActiveX qui sont ne sont pas concernés par ces vulnérabilités.
•	Protégez votre PC Nous encourageons nos clients à suivre les conseils de la section Protégez votre ordinateur concernant l'activation d'un pare-feu, l'obtention de mises à jour logicielles et l'installation de logiciels antivirus. Pour en savoir plus à ce sujet, consultez le site Sécurité à la maison.
•	Pour plus d'informations sur la manière d'utiliser Internet en toute sécurité, rendez-vous sur le site Web Microsoft Sécurité.
•	Maintenez Windows à jour Si vous utilisez Windows, vous devriez installer les dernières mises à jour de sécurité Microsoft pour protéger au maximum votre ordinateur. Pour ce faire, rendez-vous sur Windows Update, effectuez la vérification des mises à jour requises pour votre ordinateur et installez toutes les mises à jour prioritaires qui vous sont proposées. Si vous avez activé la fonction Mises à jour automatiques, les mises à jour vous seront fournies dès leur publication ; toutefois, il vous appartiendra de veiller à les installer.

Solutions de contournement

Microsoft a testé les solutions de contournement ci-dessous. Elles ne corrigent pas la vulnérabilité sous-jacente, mais elles permettent de bloquer les vecteurs d'attaque connus. Lorsqu'une solution de contournement réduit une fonctionnalité, elle est identifiée dans la section suivante :

Définissez les paramètres des zones Intranet local et Internet sur la valeur « Élevé » afin d'afficher un message de confirmation avant d'exécuter les contrôles ActiveX et Active Scripting dans ces zones

Vous pouvez vous protéger contre cette vulnérabilité en modifiant les paramètres de la zone de sécurité Internet afin d’afficher un message de confirmation avant l’exécution des contrôles ActiveX et Active Scripting. Réglez la sécurité de votre navigateur sur la valeur Élevé.

Pour augmenter le niveau de sécurité de navigation dans Microsoft Internet Explorer :

1.	Dans le menu Outils d'Internet Explorer, cliquez sur Options Internet.
2.	Dans la boîte de dialogue Options Internet, cliquez sur l'onglet Sécurité, puis sur l'icône Internet.
3.	Sous Niveau de sécurité pour cette zone, positionnez le curseur sur Élevé. Cela définit un niveau de sécurité élevé pour tous les sites Web que vous visitez.

Remarque : Si aucun curseur n'est visible, cliquez sur Niveau par défaut, puis déplacez le curseur sur Élevé.

Remarque : La définition du niveau de sécurité sur Élevé risque de perturber le fonctionnement de certains sites Web. Si vous rencontrez des difficultés lors de la visite d'un site Web après avoir modifié ce paramètre et que vous êtes certain de la fiabilité de ce site, vous pouvez ajouter ce dernier à votre liste de sites de confiance. Cela permettra à ce site de s'afficher correctement même si le niveau de sécurité est défini sur Élevé.

Impact de cette solution de contournement : L’affichage d’un message de confirmation avant l’exécution des contrôles ActiveX et d'Active Scripting comporte des effets secondaires. De nombreux sites Web situés sur Internet ou sur un Intranet utilisent ActiveX ou Active Scripting pour offrir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peuvent utiliser des contrôles ActiveX pour proposer des menus, des bons de commande ou même des relevés de compte. L’affichage d’un message de confirmation avant l’exécution d'Active Scripting ou de contrôles ActiveX est un paramètre global qui affecte tous les sites Internet et Intranet. De nombreux messages s'affichent lorsque vous mettez en œuvre cette solution de contournement. Pour chacun d’eux, si vous pensez que le site que vous visitez est un site de confiance, cliquez sur Oui afin d’exécuter les contrôles ActiveX ou Active Scripting. Si vous ne voulez pas recevoir d'invite pour tous ces sites, suivez les étapes décrites dans la section "Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer".

Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer

Après avoir configuré Internet Explorer de telle sorte que des messages de confirmation s'affichent avant l'exécution des contrôles ActiveX et d'Active Scripting dans les zones Internet et Intranet local, vous pouvez ajouter des sites de confiance dans la zone Sites de confiance d'Internet Explorer. Cette opération vous permettra de continuer à utiliser vos sites de confiance exactement comme vous le faites aujourd'hui, tout en vous protégeant contre cette attaque sur les autres sites. Nous vous recommandons d'ajouter uniquement des sites de confiance à la zone Sites de confiance.

Procédez comme suit :

1.	Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l’onglet Sécurité.
2.	Dans la zone Sélectionnez une zone de contenu Web pour spécifier ses paramètres de sécurité, cliquez sur Sites de confiance, puis sur Sites.
3.	Si vous souhaitez ajouter des sites qui ne requièrent pas un canal chiffré, désactivez la case à cocher Nécessite un serveur sécurisé (https:) pour tous les sites dans cette zone.
4.	Dans la zone Ajoute ce site Web à la zone, tapez l'URL d'un site de confiance, puis cliquez sur Ajouter.
5.	Répétez ces étapes pour chaque site que vous souhaitez ajouter à cette zone.
6.	Cliquez sur OK à deux reprises pour accepter les modifications et retourner dans Internet Explorer.

Remarque : Ajoutez les sites dont vous savez qu’ils n'effectueront pas d’action malveillante sur votre ordinateur. Vous pouvez notamment ajouter les sites « *.windowsupdate.microsoft.com » et « *.update.microsoft.com ». Il s'agit des sites qui hébergent la mise à jour et ils requièrent un contrôle ActiveX pour leur installation.

Top of section

Configurer Internet Explorer de manière à ce qu'il désactive Active Scripting ou à ce qu'il vous avertisse avant de l'exécuter dans la zone de sécurité Intranet local et Internet.

Vous pouvez vous protéger de cette vulnérabilité en modifiant vos paramètres Internet Explorer afin d’être averti avant l’exécution d'Active Scripting ou afin de désactiver Active Scripting dans les zones de sécurité Intranet local et Internet. Procédez comme suit :

1.	Dans Internet Explorer, cliquez sur Options Internet dans le menu Outils.
2.	Cliquez sur l'onglet Sécurité.
3.	Cliquez sur Internet, puis sur Personnaliser le niveau.
4.	Sous Paramètres, dans la section Script, sous Active Scripting, cliquez sur Demander ou Désactiver, puis sur OK.
5.	Cliquez sur Intranet local, puis sur Personnaliser le niveau.
6.	Sous Paramètres, dans la section Script, sous Active Scripting, cliquez sur Demander ou Désactiver, puis sur OK.
7.	Cliquez sur OK à deux reprises pour retourner dans Internet Explorer.

Remarque : La désactivation d'Active Scripting dans les zones de sécurité Intranet local et Internet risque de perturber le fonctionnement de certains sites Web. Si vous rencontrez des difficultés lors de la visite d'un site Web après avoir modifié ce paramètre et que vous êtes certain de la fiabilité de ce site, vous pouvez ajouter ce dernier à votre liste de sites de confiance. Il pourra ainsi s'afficher correctement.

Impact de cette solution de contournement : L'affichage d'un message de confirmation avant l'exécution d'Active Scripting comporte des effets secondaires. De nombreux sites Web situés sur Internet ou sur un Intranet utilisent Active Scripting pour offrir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peuvent utiliser Active Scripting pour proposer des menus, des bons de commande ou même des relevés de compte. L'affichage d'un message de confirmation avant l'exécution d'Active Scripting est un paramètre global qui affecte tous les sites Internet et Intranet. De nombreux messages s'affichent lorsque vous mettez en œuvre cette solution de contournement. Pour chacun d'eux, si vous pensez que le site que vous visitez est un site de confiance, cliquez sur Oui afin d'exécuter Active Scripting. Si vous ne voulez pas recevoir d'invite pour tous ces sites, suivez les étapes décrites dans la section "Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer".

Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer

Procédez comme suit :

1.	Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l’onglet Sécurité.
2.	Dans la zone Sélectionnez une zone de contenu Web pour spécifier ses paramètres de sécurité, cliquez sur Sites de confiance, puis sur Sites.
3.	Si vous souhaitez ajouter des sites qui ne requièrent pas un canal chiffré, désactivez la case à cocher Nécessite un serveur sécurisé (https:) pour tous les sites dans cette zone.
4.	Dans la zone Ajoute ce site Web à la zone, tapez l'URL d'un site de confiance, puis cliquez sur Ajouter.
5.	Répétez ces étapes pour chaque site que vous souhaitez ajouter à cette zone.
6.	Cliquez sur OK à deux reprises pour accepter les modifications et retourner dans Internet Explorer.

Top of section

Ressources :

•	Vous pouvez nous envoyer des commentaires par l'intermédiaire du formulaire figurant sur le site Web Aide et de support Microsoft : Contactez-nous.
•	En cas de problème, contactez les services de support sécurité Microsoft. Pour plus d'informations sur les options de support disponibles, consultez le site Web Aide et de support Microsoft.
•	Nos clients internationaux peuvent joindre le Support technique de leur filiale Microsoft locale. Pour savoir comment contacter le Support Microsoft, consultez le site Web Support international.
•	TechNet sécurité fournit des informations complémentaires sur la sécurité dans les produits Microsoft.

Dédit de responsabilité :

Les informations contenues dans cet avis sont fournies « en l’état », sans garantie d’aucune sorte. Microsoft exclut toute garantie, expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.

Révisions :

•	V1.0 (28 juillet 2009) : Avis publié.
•	V2.0 (11 août 2009) : Avis mis à jour pour ajouter des entrées à la section de mises à jour relatives à ATL pour informer de la publication du Bulletin de sécurité Microsoft MS09-037 (Des vulnérabilités dans Microsoft ATL (Active Template Library) pourraient permettre l'exécution de code à distance) et de la réédition du Bulletin de sécurité Microsoft MS09-035 (Des vulnérabilités dans ATL (Active Template Library) de Visual Studio pourraient permettre l'exécution de code à distance) pour proposer des mises à jour complémentaires.
•	V3.0 (25 août 2009) : Avis mis à jour pour fournir des détails à propos de Windows Live Messenger version 14.0.8089 et communiquer la suppression de la fonctionnalité « Joindre une photo » de Windows Live Hotmail.
•	V4.0 (13 octobre 2009) : Avis mis à jour pour ajouter une entrée à la section « Mises à jour relatives à ATL » afin communiquer la publication du Bulletin de sécurité Microsoft MS09-060 « Des vulnérabilités dans les contrôles ActiveX de Microsoft ATL (Active Template Library) pour Microsoft Office pourraient permettre l'exécution de code à distance ».

Haut de page