Bulletin de sécurité Microsoft MS06-042

Mise à jour de sécurité cumulative pour Internet Explorer (918899)

Paru le 08 août 2006 | Dernière mise à jour le 28 mars 2007

Version : 3.2

Synthèse

Personnes concernées par ce document : Les clients utilisant Microsoft Windows

Type de vulnérabilité : Exécution de code à distance

Indice de gravité maximal : Critique

Recommandation : Nos clients devraient appliquer cette mise à jour immédiatement.

Remplacement de mises à jour de sécurité : Le présent bulletin remplace plusieurs mises à jour de sécurité antérieures. La liste complète se trouve dans la section Forum aux questions de ce bulletin.

Avertissements : Le 12 septembre 2006, Microsoft a publié une nouvelle version du bulletin de sécurité et des mises à jour de sécurité concernant Internet Explorer 6 Service Pack 1, Internet Explorer 5.01 Service Pack 4 et Internet Explorer 6 pour Microsoft Windows Server 2003 pour résoudre une vulnérabilité décrite en détail dans la section « Précisions sur la vulnérabilité » sous le titre « Vulnérabilité de débordement de mémoire tampon en cas d'URL de grande taille (CVE-2006-3873) ». Les clients utilisant une de ces versions d'Internet Explorer devraient appliquer cette nouvelle mise à jour immédiatement.

Le 24 août 2006, Microsoft avait actualisé ce bulletin de sécurité et les mises à jour de sécurité relatives à Internet Explorer 6 Service Pack 1 pour résoudre un problème décrit dans l'Article 923762 de la Base de connaissances Microsoft. Ce problème pouvait entraîner une nouvelle saturation de la mémoire tampon affectant uniquement les clients utilisant Internet Explorer 6 Service Pack 1 ayant appliqué la version originale publiée le 8 août 2006 Ce problème de sécurité est présenté de manière détaillée dans la section « Précisions sur la vulnérabilité » sous le nom « Vulnérabilité de débordement de mémoire tampon en cas d'URL de grande taille (CVE-2006-3869) ». Les clients utilisant Internet Explorer 6 Service Pack 1 devraient appliquer cette mise à jour immédiatement.

L'Article 918899 de la Base de connaissances Microsoft évoque les problèmes connus auxquels les clients peuvent être confrontés lors de l'installation de cette mise à jour de sécurité. Cet article documente également les solutions palliatives recommandées. Pour plus d’informations, consultez l’Article 918899 de la Base de connaissances Microsoft.

Logiciels testés et adresses de téléchargement des mises à jour :

Logiciels concernés :

•	Microsoft Windows 2000 Service Pack 4
•	Microsoft Windows XP Service Pack 1 et Microsoft Windows XP Service Pack 2
•	Microsoft Windows XP Professionnel Édition x64
•	Microsoft Windows Server 2003 et Microsoft Windows Server 2003 Service Pack 1
•	Microsoft Windows Server 2003 pour les systèmes Itanium et Microsoft Windows Server 2003 avec SP1 pour les systèmes Itanium
•	Microsoft Windows Server 2003 Édition x64

Composants Microsoft Windows testés :

Composants concernés :

•	Internet Explorer 5.01 Service Pack 4 pour Microsoft Windows 2000 Service Pack 4 – Télécharger la mise à jour
•	Internet Explorer 6 Service Pack 1 pour Microsoft Windows 2000 Service Pack 4 ou pour Microsoft Windows XP Service Pack 1 – Télécharger la mise à jour
•	Internet Explorer 6 pour Microsoft Windows XP Service Pack 2 – Télécharger la mise à jour
•	Internet Explorer 6 pour Microsoft Windows Server 2003 et Microsoft Windows Server 2003 Service Pack 1 – Télécharger la mise à jour
•	Internet Explorer 6 pour Microsoft Windows Server 2003 pour les systèmes Itanium et Microsoft Windows Server 2003 avec SP1 pour les systèmes Itanium – Télécharger la mise à jour
•	Internet Explorer 6 pour Microsoft Windows Server 2003 Édition x64 : Télécharger la mise à jour
•	Internet Explorer 6 pour Microsoft Windows XP Professionnel Édition x64 : Télécharger la mise à jour

Les logiciels de cette liste ont été testés afin de déterminer si ces versions sont concernées. D'autres versions ne prennent plus en charge les mises à jour de sécurité ou ne sont pas affectées. Consultez le site Web Politique de Support Microsoft afin de connaître la politique de support Microsoft pour votre produit et votre version.

Remarque : Les mises à jour de sécurité pour Microsoft Windows Server 2003, Windows Server 2003 Service Pack 1 et Windows Server 2003 Édition x64 s'appliquent également à Microsoft Windows Server 2003 R2.

Top of section

Informations générales

Synthèse

Synthèse :

Cette mise à jour corrige plusieurs vulnérabilités publiques et privées récemment découvertes. Chaque vulnérabilité est présentée de manière détaillée dans ce bulletin, dans la section "Précisions sur les vulnérabilités" correspondante.

Si un utilisateur a ouvert une session avec des privilèges d’administrateur, un attaquant qui parviendrait à exploiter la plus grave de ces vulnérabilités pourrait prendre le contrôle intégral d'un système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Par conséquent, nous recommandons d'appliquer la mise à jour immédiatement.

Indices de gravité et identificateurs de vulnérabilité :

Identificateurs de vulnérabilité	Type de vulnérabilité	Internet Explorer 5.01 Service Pack 4 pour Windows 2000 Service Pack 4	Internet Explorer 6 Service Pack 1 pour Windows XP Service Pack 1 et Windows 2000 Service Pack 4.	Internet Explorer 6 sur Windows XP Service Pack 2	Internet Explorer 6 pour Windows Server 2003	Internet Explorer 6 pour Windows Server 2003 Service Pack 1
Vulnérabilité de divulgation d'informations inter-domaines lors de redirections - CVE-2006-3280	Divulgation d'informations	Modéré	Modéré	Modéré	Faible	Faible
Vulnérabilité de corruption de la mémoire liée à la mise en page et au positionnement HTML - CVE-2006-3450	Exécution de code à distance	Aucun.	Critique	Critique	Critique	Critique
Vulnérabilité de corruption de la mémoire CSS - CVE-2006-3451	Exécution de code à distance	Critique	Critique	Aucun.	Modéré	Modéré
Vulnérabilité de corruption de la mémoire lors du rendu HTML - CVE-2006-3637 :	Exécution de code à distance	Critique	Critique	Critique	Modéré	Modéré
Vulnérabilité de corruption de la mémoire lors de l'instanciation d'objets COM - CVE-2006-3638	Exécution de code à distance	Critique	Critique	Critique	Modéré	Modéré
Vulnérabilité inter-domaine lié à l'élément "source" - CVE-2006-3639	Exécution de code à distance et divulgation d'informations	Critique	Critique	Important	Modéré	Modéré
Vulnérabilité de divulgation de l'information "emplacement" (window location) de la fenêtre de navigation - CVE-2006-3640	Divulgation d'informations	Modéré	Modéré	Modéré	Faible	Faible
Vulnérabilité d'injection de commandes vers un serveur FTP - CVE-2004-1166	Élévation de privilèges	Faible	Faible	Faible	Faible	Faible
Vulnérabilité de débordement de mémoire tampon en cas d'URL de grande taille CVE-2006-3869	Exécution de code à distance	Aucun.	Critique	Aucun.	Aucun.	Aucun.
Vulnérabilité de débordement de mémoire tampon en cas d'URL de grande taille CVE-2006-3873	Exécution de code à distance	Critique	Critique	Aucun.	Critique	Aucun.
Gravité cumulée de toutes ces vulnérabilités		Critique	Critique	Critique	Critique	Critique

Cette évaluation se fonde sur les types de systèmes concernés par cette vulnérabilité, leurs schémas de déploiement classiques et l’impact que l’exploitation de la vulnérabilité aurait sur ces systèmes.

Remarque : Par défaut, Internet Explorer pour Windows Server 2003 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. Ce mode atténue certaines des vulnérabilités. Pour plus d'informations sur la Configuration de sécurité améliorée d'Internet Explorer, reportez-vous à la section Forum aux questions sur cette mise à jour de sécurité.

Remarque : Les indices de gravité pour des systèmes d'exploitation autres que x86 correspondent aux versions des systèmes d'exploitation x86 ci-dessous :

•	L'indice de gravité de Microsoft Windows XP Professionnel Édition x64 est identique à l'indice de gravité de Windows XP Service Pack 2.
•	L'indice de gravité de Microsoft Windows Server 2003 pour les systèmes Itanium est identique à l'indice de gravité de Windows Server 2003.
•	L'indice de gravité de Microsoft Windows Server 2003 avec SP1 pour les systèmes Itanium est identique à l'indice de gravité de Windows Server 2003 Service Pack 1.
•	L'indice de gravité de Microsoft Windows Server 2003 Édition x64 est identique à l'indice de gravité de Windows Server 2003 Service Pack 1.

Top of section

Forum aux questions concernant la présente mise à jour de sécurité

Quelles mises à jour ce correctif remplace-t-il ?
La présente mise à jour de sécurité remplace plusieurs mises à jour de sécurité antérieures. Les références les plus récentes du bulletin de sécurité et les systèmes d'exploitation concernés sont indiqués dans le tableau ci-dessous.

Référence du bulletin	Internet Explorer 5,01 Service Pack 4	Internet Explorer 6 Service Pack 1 (toutes les versions antérieures à Windows Server 2003)	Internet Explorer 6 pour Windows Server 2003	Internet Explorer 6 pour Windows Server 2003 Service Pack 1	Internet Explorer 6 sur Windows XP Service Pack 2
MS06-021	Remplacé	Remplacé	Remplacé	Remplacé	Remplacé

Pourquoi ce bulletin a-t-il été réédité par Microsoft le 12 septembre 2006 ?
Microsoft a mis à jour ce bulletin et les mises à jour de sécurité relatives à Internet Explorer 6 Service Pack 1, Internet Explorer 5.01 Service Pack 4 et Internet Explorer 6 pour Microsoft Windows Server 2003 pour les clients qui ont appliqué la version originale de cette mise à jour publiée le 8 août 2006, ou la version de la mise à jour d'Internet Explorer 6 Service Pack 1 publiée le 24 août 2006. Microsoft a réédité ce bulletin pour résoudre un problème de sécurité supplémentaire découvert après le correctif du 24 août. Ce problème de sécurité a un impact sur les clients exécutant les versions d'Internet Explorer indiquées ci-dessus. Cette vulnérabilité est décrite en détail dans la section « Précisions sur la vulnérabilité » sous le titre « Vulnérabilité de débordement de mémoire tampon en cas d'URL de grande taille – CVE-2006-3873 ». Les clients utilisant Internet Explorer 6 Service Pack 1, Internet Explorer 5.01 Service Pack 4 et Internet Explorer 6 pour Microsoft Windows Server 2003 devraient appliquer la nouvelle version de la mise à jour publiée le 12 septembre 2006 immédiatement.

Pourquoi ce bulletin a-t-il été réédité par Microsoft le 24 août 2006 ?
Microsoft a mis à jour ce bulletin et les mises à jour liées à Internet Explorer 6 Service Pack 1 pour corriger un problème détaillé dans l'Article 923762 de la Base de connaissances Microsoft. Ce problème pouvait entraîner une nouvelle saturation de la mémoire tampon affectant uniquement les clients utilisant Internet Explorer 6 Service Pack 1 ayant appliqué la version originale publiée le 8 août 2006 Ce problème de sécurité est présenté de manière détaillée dans la section « Précisions sur la vulnérabilité » sous le nom « Vulnérabilité de débordement de mémoire tampon en cas d'URL de grande taille (CVE-2006-3869) ». Les clients utilisant Internet Explorer 6 Service Pack 1 devraient appliquer cette mise à jour immédiatement.

Quels sont les autres problèmes connus auxquels les clients peuvent être confrontés lorsqu'ils installent cette mise à jour de sécurité ?
L'Article 918899 de la Base de connaissances Microsoft évoque les problèmes connus auxquels les clients peuvent être confrontés lors de l'installation de cette mise à jour de sécurité. Cet article documente également les solutions palliatives recommandées. Pour plus d’informations, consultez l’Article 918899 de la Base de connaissances Microsoft.

Problèmes connus depuis la publication de ce Bulletin :

Article 926046 de la Base de connaissances Microsoft : Message d'erreur lorsque vous exécutez un script sur une page Web après avoir appliqué la mise à jour de sécurité MS06-042 sur un ordinateur Windows XP ou Windows Server 2003 : « Autorisation refusée » (926046).

Article 926840 de la Base de connaissances Microsoft : Si vous utilisez Internet Explorer 6 sur Windows XP avec SP2, une violation d'accès peut survenir dans le fichier Mshtml.dll et Internet Explorer peut se fermer de manière inattendue. Ce problème survient généralement lors de la fermeture d'une fenêtre contextuelle ou intempestive.

Cette mise à jour comporte-t-elle d'autres modifications de sécurité affectant les fonctionnalités ?
Oui. Outre les changements indiqués dans la section "Précisions sur la vulnérabilité" de ce bulletin, vous trouverez aussi les modifications relatives à la sécurité présentées dans les bulletins Internet Explorer précédents.

Cette mise à jour comporte-t-elle d'autres modifications affectant les fonctionnalités ?
Oui. Outre les modifications mentionnées à la section "Précisions sur la vulnérabilité" de ce bulletin, d'autres modifications non liées à la sécurité ont été présentées dans de précédents bulletins Internet Explorer.

Tout comme la mise à jour de sécurité incluse avec MS06-021, cette mise à jour de sécurité remplace également le correctif de compatibilité publié le 11 avril 2006. Ce correctif permettait de rétablir temporairement le fonctionnement précédent d'Internet Explorer pour la gestion des contrôles ActiveX et aider les clients d'entreprise qui avaient besoin de plus de temps pour se préparer aux modifications décrites dans l'Article 912945 de la Base de connaissances Microsoft. Cette mise à jour de sécurité remplace ce correctif de compatibilité et et rend permanentes les modifications décrites dans l'Article 912945 de la Base de connaissances Microsoft. Pour plus d'informations sur ces modifications, voir l'Article 912945 de la Base de connaissances Microsoft et la documentation produit.

Les modifications ont initialement été introduites le 28 février 2006 dans les mises à jour pour Windows XP Service Pack 2, Windows Server 2003 Service Pack 1, Windows XP Professional Édition x64, la famille Windows Server 2003 Édition x64 et Windows Server 2003 avec Service Pack 1 pour les systèmes Itanium. Pour plus d'informations sur cette mise à jour, consultez l'Article 912945 de la Base de connaissances Microsoft.

Les modifications sont également incluses dans le bulletin de sécurité Microsoft MS06-013 et les bulletins de sécurité concernant Internet Explorer suivants pour ces mêmes versions de Windows.

Qu'est-ce que la Configuration de sécurité améliorée d'Internet Explorer ?
La Configuration de sécurité améliorée d'Internet Explorer est un groupe de paramètres Internet Explorer pré-configurés qui réduit le risque qu'un utilisateur ou qu'un administrateur ne télécharge et n'exécute un contenu Web malveillant sur un serveur. La Configuration de sécurité améliorée d'Internet Explorer réduit ce risque en modifiant de nombreux paramètres liés à la sécurité. Ceci inclut les paramètres des onglets Sécurité et Avancé dans la boîte de dialogue Options Internet. Parmi les principales modifications :

•	Le Niveau de sécurité pour la zone Internet est réglé à Élevé. Ce paramètre désactive les scripts, les contrôles ActiveX, la machine virtuelle Java de Microsoft et les téléchargements de fichiers.
•	La détection automatique des sites intranet est désactivée. Ce paramètre assigne à la zone Internet tous les sites Web intranet et les chemins d'accès UNC (Universal Naming Convention) qui ne figurent pas explicitement dans la zone Intranet local.
•	L’installation à la demande et les extensions non Microsoft sont désactivées. Ce paramétrage empêche les pages Web d'installer automatiquement des composants, et empêche les extensions non Microsoft de s'exécuter.
•	Le contenu multimédia est désactivé. Cela empêche l'exécution de musique, d'animations et de clips vidéo.

La prise en charge étendue des mises à jour de sécurité pour Windows 98, Windows 98 Deuxième Édition ou Windows Millenium Edition a pris fin le 11 juillet 2006. J'utilise toujours l'un de ces systèmes d'exploitation. Que dois-je faire ?
Windows 98, Windows 98 Deuxième Édition et Windows Millennium ont atteint la fin de leur cycle de support. Les clients qui utilisent une de ces versions du système d'exploitation doivent prioritairement passer à des versions bénéficiant du support Microsoft, afin de prévenir les risques de vulnérabilités. Pour plus d’informations sur le cycle de support des produits Windows, visitez le site Web Politique de Support Microsoft. Pour plus d'informations sur la période de prise en charge des mises à jour de sécurité pour ces versions de systèmes d'exploitation, consultez le site Web des services de support technique de Microsoft.

La prise en charge des mises à jour de sécurité pour Microsoft Windows NT Workstation 4.0 Service Pack 6a et Windows 2000 Service Pack 2 a pris fin le 30 juin 2004. La prise en charge étendue des mises à jour de sécurité pour Microsoft Windows NT Server 4.0 Service Pack 6a a pris fin le 31 décembre 2004. La prise en charge étendue des mises à jour de sécurité pour Microsoft Windows 2000 Service Pack 3 a pris fin le 30 juin 2005. J'utilise toujours l'un de ces systèmes d'exploitation. Que dois-je faire ?
Windows NT Workstation 4.0 Service Pack 6a, Windows NT Server 4.0 Service Pack 6a, Windows 2000 Service Pack 2 et Windows 2000 Service Pack 3 sont parvenus à la fin de leur cycle de vie. Les clients qui utilisent une de ces versions du système d'exploitation doivent prioritairement passer à des versions bénéficiant du support Microsoft, afin de prévenir les risques de vulnérabilités. Pour plus d’informations sur le cycle de support des produits Windows, consultez le site Web Politique de Support Microsoft. Pour plus d'informations sur la période de prise en charge des mises à jour de sécurité pour ces versions de systèmes d'exploitation, consultez le site Web des services de support technique de Microsoft.

Les clients nécessitant un support supplémentaire pour ces produits doivent prendre contact avec leur responsable de compte Microsoft, leur responsable technique de compte ou le partenaire Microsoft approprié pour connaître les options de support personnalisé. Les clients ne bénéficiant pas d'un Contrat Alliance, Premier ou Authorized peuvent appeler leur agence commerciale locale Microsoft. Pour les informations de contact, visitez le site Web Microsoft Worldwide Information, sélectionnez le pays puis cliquez sur Go pour afficher une liste de numéros de téléphone. Pour plus d'informations, consultez le Forum aux questions sur la politique de support des systèmes d'exploitation Windows.

Puis-je utiliser MBSA (Microsoft Baseline Security Analyzer) pour déterminer si cette mise à jour est nécessaire ?
Le tableau suivant fournit le résumé de détection MBSA pour cette mise à jour de sécurité.

Logiciels	MBSA 1.2.1	MBSA 2.0
Microsoft Windows 2000 Service Pack 4	Oui	Oui
Microsoft Windows XP Service Pack 1 et Microsoft Windows XP Service Pack 2	Oui	Oui
Microsoft Windows XP Professionnel Édition x64	Non	Oui
Microsoft Windows Server 2003 et Microsoft Windows Server 2003 Service Pack 1	Oui	Oui
Microsoft Windows Server 2003 pour les systèmes Itanium et Microsoft Windows Server 2003 avec Service Pack 1 pour les systèmes Itanium	Non	Oui
La famille Microsoft Windows Server 2003 Édition x64	Non	Oui

Pour plus d'informations sur MBSA, visitez le site Web MBSA. Pour plus d'informations sur les logiciels que Microsoft Update et MBSA 2.0 ne détectent pas actuellement, consultez l'Article 895660 de la Base de connaissances Microsoft.

Pour plus d’informations, consultez l’article 910723 de la Base de connaissances Microsoft.

Puis-je utiliser SMS (Systems Management Server) pour déterminer si cette mise à jour est nécessaire ?
Le tableau récapitule les conditions de détection SMS pour cette mise à jour de sécurité.

Logiciels	SMS 2.0	SMS 2003
Microsoft Windows 2000 Service Pack 4	Oui	Oui
Microsoft Windows XP Service Pack 1 et Microsoft Windows XP Service Pack 2	Oui	Oui
Microsoft Windows XP Professionnel Édition x64	Non	Oui
Microsoft Windows Server 2003 et Microsoft Windows Server 2003 Service Pack 1	Oui	Oui
Microsoft Windows Server 2003 pour les systèmes Itanium et Microsoft Windows Server 2003 avec Service Pack 1 pour les systèmes Itanium	Non	Oui
La famille Microsoft Windows Server 2003 Édition x64	Non	Oui

SMS utilise MBSA pour la détection. Par conséquent, SMS présente les mêmes restrictions que celles énoncées plus haut concernant les programmes non détectés par MBSA.

Pour SMS 2.0, le Feature Pack SUS de SMS, qui inclut l'Outil d'inventaire des mises à jour, peut être utilisé par SMS pour détecter des mises à jour de sécurité. SMS SUIT utilise le moteur MBSA 1.2.1 pour procéder à la détection. Pour plus d'informations sur l'Outil d'inventaire des mises à jour de sécurité, consultez le site Web Microsoft suivant. Pour plus d'informations concernant les limitations de l'Outil d'inventaire des mises à jour, consultez l'Article 306460 de la Base de connaissances Microsoft. Le Feature Pack SUS de SMS inclut également l'Outil d'inventaire des mises à jour de Microsoft Office pour détecter les mises à jour requises pour les applications Office de Microsoft.

SMS 2003 peut utiliser l'Outil d'inventaire SMS 2003 pour les mises à jour Microsoft (SMS 2003 Inventory Tool for Microsoft Updates - ITMU) afin de détecter les mises à jour de sécurité proposées par Microsoft Update et prises en charge par Windows Server Update Services. Pour plus d'informations concernant l'Outil d'inventaire SMS 2003 pour les mises à jour Microsoft (SMS 2003 Inventory Tool for Microsoft Updates - ITMU), veuillez consulter le site Web suivant. SMS 2003 peut également utiliser l'Outil d'inventaire des mises à jour de Microsoft Office pour détecter les mises à jour des applications Microsoft Office.

Pour plus d'informations sur SMS, consultez le site Web SMS.

Pour plus d’informations, consultez l’article 910723 de la Base de connaissances Microsoft.

Top of section

Précisions sur la vulnérabilité

Vulnérabilité de divulgation d'informations inter-domaines lors de redirections - CVE-2006-3280 :

Il existe dans Internet Explorer une vulnérabilité de divulgation d'informations qui porte sur le mode de traitement des redirections. Un attaquant pourrait exploiter cette vulnérabilité en créant une page Web qui pourrait autoriser la divulgation d'informations lorsqu'un utilisateur l'affiche. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait lire les données d'un fichier d'une page Web dans un autre domaine Internet Explorer. Cette autre page Web devrait alors utiliser la compression gzip ou tout autre type de compression pris en charge par Internet Explorer pour que la divulgation d'informations se produise. Cette autre page Web devrait également être dans la mémoire cache du client pour que l'exploitation réussisse.

Facteurs atténuants concernant la vulnérabilité de divulgation d'informations lors de redirections - CVE-2006-3280 :

•	Afin de réaliser une attaque par le Web, l'attaquant doit héberger un site Web qui contient une page Web conçue pour exploiter cette vulnérabilité. Un attaquant n'aurait aucun moyen d'obliger les utilisateurs à visiter un site Web malveillant. Il devrait y attirer l'utilisateur, l'incitant à cliquer sur un lien qui mène à ce site.
•	Les données des pages Web figurant dans d'autres domaines ou zones Internet Explorer pourraient être exposées à un attaquant si elles utilisent la compression gzip ou tout autre type de compression pris en charge par Internet Explorer.
•	Les données des pages Web situées dans d'autres domaines ou zones Internet Explorer pourraient être exposées à un attaquant si elles autorisent la mise en cache de leur contenu.
•	La zone Sites sensibles contribue à réduire les attaques qui tenteraient d’exploiter cette vulnérabilité en empêchant l'utilisation d'Active Scripting lors de la lecture de messages électroniques au format HTML. Cependant, en cliquant sur un lien figurant dans un message, l'utilisateur s'expose toujours à une attaque Web. Par défaut, Outlook Express 6, Outlook 2002 et Outlook 2003 ouvrent les messages au format HTML dans la zone Sites sensibles. De plus, Outlook 2000 ouvre les messages HTML dans la zone Sites sensibles si la mise à jour de sécurité de messagerie Outlook a été installée. Outlook Express 5.5 Service Pack 2 ouvre les messages HTML dans la zone Sites sensibles si le Bulletin de sécurité Microsoft MS04-018 est installé.
•	Par défaut, Internet Explorer sur Windows Server 2003 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. Ce mode permet d'atténuer la vulnérabilité relative à la messagerie, car Outlook Express utilise par défaut le format texte brut pour la lecture de messages. Pour plus d'informations sur la Configuration de sécurité améliorée d'Internet Explorer, reportez-vous à la section Forum aux questions sur cette vulnérabilité.

Top of section

Solutions de contournement concernant la vulnérabilité de divulgation d'informations inter-domaines lors de redirections - CVE-2006-3280 :

Microsoft a testé les solutions de contournement ci-dessous. Elles ne corrigent pas la vulnérabilité sous-jacente, mais elles permettent de bloquer les vecteurs d'attaque connus. Lorsqu'une solution de contournement réduit une fonctionnalité, elle est identifiée dans la section suivante :

•

Désactiver la mise en cache du contenu Web dans Internet Explorer

Vous pouvez vous protéger contre cette vulnérabilité en désactivant la mise en cache du contenu Web dans Internet Explorer.

1.	Dans Internet Explorer, cliquez sur Options Internet dans le menu Outils.
2.	Cliquez sur l’onglet Général.
3.	Cliquez sur Paramètres… dans la section Fichiers Internet temporaires.
4.	Cliquez sur À chaque consultation de la page, dans la section Vérifier s'il existe une version plus récente des pages enregistrées, puis cliquez sur OK.
5.	Cliquez sur OK pour retourner dans Internet Explorer.

•

Désactivez la mise en cache du contenu de votre site Web

Vous pouvez vous protéger contre cette vulnérabilité en désactivant la mise en cache du contenu de votre site Web. Ainsi, les données de vos pages Web ne seraient plus exposées à un attaquant. Pour plus d’informations, consultez l’article 234067 de la Base de connaissances Microsoft.

•

Configurer Internet Explorer de manière à ce qu'il vous avertisse avant d’exécuter Active Scripting ou désactiver Active Scripting dans les zones de sécurité Intranet local et Internet

Vous pouvez vous protéger de cette vulnérabilité en modifiant vos paramètres afin d’être averti avant l’exécution d’Active Scripting ou afin de désactiver Active Scripting dans les zones de sécurité Intranet local et Internet. Procédez comme suit :

1.	Dans Internet Explorer, cliquez sur Options Internet dans le menu Outils.
2.	Cliquez sur l’onglet Sécurité.
3.	Cliquez sur Internet, puis sur Personnaliser le niveau.
4.	Sous Paramètres, dans la section Script, sous Active Scripting, cliquez sur Demander ou Désactiver, puis sur OK.
5.	Cliquez sur Intranet local, puis sur Personnaliser le niveau.
6.	Sous Paramètres, dans la section Script, sous Active Scripting, cliquez sur Demander ou Désactiver, puis sur OK.
7.	Cliquez sur OK à deux reprises pour retourner dans Internet Explorer.

Remarque : La désactivation d'Active Scripting dans les zones de sécurité Intranet local et Internet risque de perturber le fonctionnement de certains sites Web. Si vous rencontrez des difficultés lors de la visite d’un site Web après avoir modifié ce paramètre et que vous êtes certain de la fiabilité de ce site, vous pouvez ajouter ce dernier à votre liste de sites de confiance. Il pourra ainsi s'afficher correctement.

Impact de cette solution de contournement : L’affichage d’un message de confirmation avant l’exécution d'Active Scripting comporte des effets secondaires. De nombreux sites Web situés sur Internet ou sur un intranet utilisent Active Scripting pour offrir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peuvent utiliser Active Scripting pour proposer des menus, des bons de commande ou même des relevés de compte. L’affichage d’un message de confirmation avant l’exécution d'Active Scripting est un paramètre global qui affecte tous les sites Internet et intranet. De nombreux messages s’affichent lorsque vous mettez en œuvre cette solution de contournement. Pour chacun d’eux, si vous pensez que le site que vous visitez est un site de confiance, cliquez sur Oui afin d’exécuter Active Scripting. Si vous ne voulez pas recevoir d'invite pour tous ces sites, suivez les étapes décrites dans la section "Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer".

Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer.

Après avoir configuré Internet Explorer de telle sorte que des messages de confirmation s’affichent avant l’exécution des contrôles ActiveX et d'Active Scripting dans les zones Internet et Intranet local, vous pouvez ajouter des sites de confiance dans la zone Sites de confiance d’Internet Explorer. Cette opération vous permettra de continuer à utiliser vos sites de confiance exactement comme vous le faites aujourd’hui, tout en vous protégeant contre cette attaque sur les autres sites. Nous vous recommandons d’ajouter uniquement des sites de confiance à la zone Sites de confiance.

Procédez comme suit :

1.	Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l’onglet Sécurité.
2.	Dans la zone Sélectionnez une zone de contenu Web pour spécifier ses paramètres de sécurité, cliquez sur Sites de confiance, puis sur Sites.
3.	Si vous souhaitez ajouter des sites qui ne requièrent pas un canal chiffré, désactivez la case à cocher Nécessite un serveur sécurisé (https:) pour tous les sites dans cette zone.
4.	Dans la zone Ajoute ce site Web à la zone, tapez l'URL d'un site de confiance, puis cliquez sur Ajouter.
5.	Répétez ces étapes pour chaque site que vous souhaitez ajouter à cette zone.
6.	Cliquez sur OK à deux reprises pour accepter les modifications et retourner dans Internet Explorer.

Remarque : Ajoutez les sites dont vous savez qu’ils n'effectueront pas d’action malveillante sur votre ordinateur. Vous pouvez notamment ajouter les sites "*.windowsupdate.microsoft.com" et “*.update.microsoft.com” (sans les guillemets). Il s’agit des sites qui hébergent la mise à jour et ils requièrent un contrôle ActiveX pour leur installation.

•

Définissez les paramètres des zones Intranet local et Internet sur la valeur "Élevé" afin d'afficher un message de confirmation avant d'exécuter les contrôles ActiveX et Active Scripting dans ces zones

Vous pouvez vous protéger contre cette vulnérabilité en modifiant vos paramètres pour la zone de sécurité Internet afin d'afficher un message de confirmation avant l’exécution des contrôles ActiveX. Réglez la sécurité de votre navigateur sur la valeur Élevé.

Pour augmenter le niveau de sécurité de navigation dans Microsoft Internet Explorer :

1.	Dans le menu Outils d'Internet Explorer, cliquez sur Options Internet.
2.	Dans la boîte de dialogue Options Internet, cliquez sur l'onglet Sécurité, puis sur l'icône Internet.
3.	Sous Niveau de sécurité pour cette zone, positionnez le curseur sur Élevé. Cela définit un niveau de sécurité élevé pour tous les sites Web que vous visitez.

Remarque : Si aucun curseur n'est visible, cliquez sur Niveau par défaut, puis déplacez le curseur sur Élevé.

Remarque : La définition du niveau de sécurité sur Élevé risque de perturber le fonctionnement de certains sites Web. Si vous rencontrez des difficultés lors de la visite d’un site Web après avoir modifié ce paramètre et que vous êtes certain de la fiabilité de ce site, vous pouvez ajouter ce dernier à votre liste de sites de confiance. Cela permettra à ce site de s'afficher correctement même si le niveau de sécurité est défini sur Élevé.

Impact de cette solution de contournement : L’affichage d’un message de confirmation avant l’exécution des contrôles ActiveX et d'Active Scripting comporte des effets secondaires. De nombreux sites Web situés sur Internet ou sur un intranet utilisent ActiveX ou Active Scripting pour offrir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peuvent utiliser des contrôles ActiveX pour proposer des menus, des bons de commande ou même des relevés de compte. L’affichage d’un message de confirmation avant l’exécution d'Active Scripting ou de contrôles ActiveX est un paramètre global qui affecte tous les sites Internet et intranet. De nombreux messages s’affichent lorsque vous mettez en œuvre cette solution de contournement. Pour chacun d’eux, si vous pensez que le site que vous visitez est un site de confiance, cliquez sur Oui afin d’exécuter les contrôles ActiveX ou Active Scripting. Si vous ne voulez pas recevoir d'invite pour tous ces sites, suivez les étapes décrites dans la section "Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer".

Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer.

Procédez comme suit :

1.	Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l’onglet Sécurité.
2.	Dans la zone Sélectionnez une zone de contenu Web pour spécifier ses paramètres de sécurité, cliquez sur Sites de confiance, puis sur Sites.
3.	Si vous souhaitez ajouter des sites qui ne requièrent pas un canal chiffré, désactivez la case à cocher Nécessite un serveur sécurisé (https:) pour tous les sites dans cette zone.
4.	Dans la zone Ajoute ce site Web à la zone, tapez l'URL d'un site de confiance, puis cliquez sur Ajouter.
5.	Répétez ces étapes pour chaque site que vous souhaitez ajouter à cette zone.
6.	Cliquez sur OK à deux reprises pour accepter les modifications et retourner dans Internet Explorer.

Top of section

Forum aux questions sur la vulnérabilité de divulgation d'informations inter-domaines lors de redirections - CVE-2006-3280 :

Quelle est la portée de cette vulnérabilité ?
Il s'agit d'une vulnérabilité de divulgation d'informations. Un attaquant pourrait exploiter cette vulnérabilité en créant une page Web qui pourrait autoriser la divulgation d'informations lorsqu'un utilisateur l'affiche. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait lire les données d'un fichier d'une page Web dans un autre domaine Internet Explorer.

Quelle est la cause de cette vulnérabilité ?
Internet Explorer interprète de façon inexacte l'emplacement d'une page Web suite à une redirection vers une page appliquant la compression gzip ou tout autre type de compression qu'il prend en charge. De plus, les données des pages Web situées dans d'autres domaines ou zones Internet Explorer seraient seulement exposées à un attaquant si elles autorisaient la mise en cache de leur contenu.

Que pourrait faire un attaquant en exploitant cette vulnérabilité ?
Un attaquant qui réussirait à exploiter cette vulnérabilité pourrait accéder aux données d'une autre zone de sécurité ou d'un autre domaine Internet Explorer.

Que sont les zones de sécurité d’Internet Explorer ?
Les zones de sécurité Internet Explorer font partie d’un système qui classe le contenu en ligne en plusieurs catégories, ou zones, en fonction de son degré de fiabilité. Vous pouvez assigner des domaines Web spécifiques à une zone, selon la confiance que vous accordez au contenu de chaque domaine. Cette zone restreint alors les capacités du contenu Web, en fonction de sa stratégie de sécurité. Par défaut, la plupart des domaines Internet sont traités comme faisant partie de la Zone Internet. Par défaut, la stratégie de la zone Internet empêche les scripts et les autres codes actifs d’accéder aux ressources du système local.

Comment un attaquant peut-il exploiter cette vulnérabilité ?
Un attaquant pourrait héberger un site Web malveillant conçu pour exploiter cette vulnérabilité d'Internet Explorer, puis inciter un utilisateur à consulter ce site Web. Ceci pourrait également inclure des sites qui acceptent ou hébergent des publicités ou du contenu soumis par des internautes ou tout autre site compromis. Ces sites Web pourraient contenir du code spécialement conçu capable d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il aurait à amener l’utilisateur à cliquer sur un lien vers ce site dans un message électronique ou un message instantané. Il pourrait également afficher un contenu Web spécialement conçu en imitant des panneaux publicitaires ou d'autres moyens afin d'envoyer du contenu Web aux systèmes affectés.

Quels sont les systèmes les plus exposés à cette vulnérabilité ?
Cette vulnérabilité ne permet l'exécution d'une action nuisible que si un utilisateur a ouvert une session et se trouve sur un site Web. C’est pourquoi les systèmes sur lesquels Internet Explorer est fréquemment utilisé (comme les postes de travail des utilisateurs ou les serveurs de terminaux) sont les plus exposés à cette vulnérabilité.

Que fait cette mise à jour ?
La mise à jour supprime la vulnérabilité en modifiant Internet Explorer pour que le domaine d'origine d'une fenêtre soit identifié correctement.

Lors de la parution de ce bulletin de sécurité, cette vulnérabilité avait-elle été dévoilée ?
Oui. Cette vulnérabilité a été révélée publiquement. Elle a reçu le numéro « Common Vulnerability and Exposure » CVE-2006-3280.

Lors de la parution de ce bulletin de sécurité, Microsoft avait-il été informé d’une éventuelle exploitation de cette vulnérabilité ?
Non. Lors de la première publication de ce bulletin, Microsoft avait vu des exemples et des preuves de la publication d’un tel code, mais n’avait reçu aucune information indiquant que cette vulnérabilité avait été utilisée pour attaquer des clients.

L'application de la présente mise à jour de sécurité permet-elle de protéger vos clients contre le code qui a été publié et qui tente d'exploiter cette vulnérabilité ?
Oui. Cette mise à jour de sécurité corrige la vulnérabilité qui pourrait être exploitée en utilisant un tel code. La vulnérabilité en question a reçu le numéro « Common Vulnerability and Exposure » CVE-2006-3280.

Remarque : Les clients ayant testé le code preuve de concept sur un système doivent vider le dossier "Temporary Internet files" d'Internet Explorer. Cette action doit être effectuée avant de tester de nouveau le code preuve de concept après avoir appliqué cette mise à jour de sécurité. Procédez comme suit :

1.	Dans Internet Explorer, cliquez sur Options Internet dans le menu Outils.
2.	Cliquez sur l’onglet Général.
3.	Sous Fichiers Internet temporaires, cliquez sur Supprimer les cookies..., puis sur OK. Remarque : Certains sites Web enregistrent votre nom de membre, votre mot de passe ou d'autres informations personnelles identifiables dans un cookie ; par conséquent, si vous supprimez un cookie, vous pouvez avoir besoin de saisir de nouveau ces informations lors de votre prochaine visite.
4.	Sous Fichiers Internet temporaires, cliquez sur Supprimer les fichiers..., puis sur OK.
5.	Cliquez sur OK pour retourner dans Internet Explorer.

Top of section

Vulnérabilité de corruption de la mémoire liée à la mise en page et au positionnement HTML - CVE-2006-3450 :

Une vulnérabilité d'exécution de code à distance est liée à la façon dont Internet Explorer interprète du code HTML comportant certaines combinaisons de positionnement et de mise en page. Un attaquant pourrait exploiter cette vulnérabilité en créant une page Web qui pourrait permettre l’exécution de code à distance si un utilisateur la consultait. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté.

Facteurs atténuants concernant la vulnérabilité de corruption de la mémoire liée à la mise en page et au positionnement HTML - CVE-2006-3450 :

•	Pour une attaque Web, l'attaquant devrait héberger un site Web qui contiendrait une page Web spécialement conçue pour exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent des contenus ou des annonces provenant d'utilisateurs pourraient contenir un contenu malveillant susceptible d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l’utilisateur, généralement en l’incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site.
•	Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
•	La zone Sites sensibles contribue à réduire les attaques qui tenteraient d’exploiter cette vulnérabilité en empêchant l'utilisation d'Active Scripting lors de la lecture de messages électroniques au format HTML. Cependant, en cliquant sur un lien figurant dans un message, l'utilisateur s'expose toujours à une attaque Web. Par défaut, Outlook Express 6, Outlook 2002 et Outlook 2003 ouvrent les messages au format HTML dans la zone Sites sensibles. De plus, Outlook 2000 ouvre les messages HTML dans la zone Sites sensibles si la mise à jour de sécurité de messagerie Outlook a été installée. Outlook Express 5.5 Service Pack 2 ouvre les messages HTML dans la zone Sites sensibles si le Bulletin de sécurité Microsoft MS04-018 est installé. Remarque : Il demeure une faible probabilité d'exploitation de cette vulnérabilité en l'absence d'Active Scripting. Cependant, l'utilisation d'Active Scripting augmente de façon significative les possibilités d'exploitation. Par conséquent, cette vulnérabilité a reçu l'indice de gravité "Critique" pour Windows Server 2003.
•	Par défaut, Internet Explorer sur Windows Server 2003 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. Ce mode permet d'atténuer la vulnérabilité relative à la messagerie, car Outlook Express utilise par défaut le format texte brut pour la lecture de messages. Pour plus d'informations sur la Configuration de sécurité améliorée d'Internet Explorer, reportez-vous à la section Forum aux questions sur cette vulnérabilité.

Top of section

Solutions de contournement concernant la vulnérabilité de corruption de la mémoire liée à la mise en page et au positionnement HTML - CVE-2006-3450 :

Remarque : Il demeure une faible probabilité d'exploitation de cette vulnérabilité en l'absence d'Active Scripting. Cependant, l'utilisation d'Active Scripting augmente de façon significative les possibilités d'exploitation. Par conséquent, cette vulnérabilité a reçu l'indice de gravité "Critique" pour Windows Server 2003.

•

Configurer Internet Explorer de manière à ce qu'il désactive Active Scripting ou à ce qu'il vous avertisse avant de l'exécuter dans la zone de sécurité Intranet local et Internet.

1.	Dans Internet Explorer, cliquez sur Options Internet dans le menu Outils.
2.	Cliquez sur l’onglet Sécurité.
3.	Cliquez sur Internet, puis sur Personnaliser le niveau.
4.	Sous Paramètres, dans la section Script, sous Active Scripting, cliquez sur Demander ou Désactiver, puis sur OK.
5.	Cliquez sur Intranet local, puis sur Personnaliser le niveau.
6.	Sous Paramètres, dans la section Script, sous Active Scripting, cliquez sur Demander ou Désactiver, puis sur OK.
7.	Cliquez sur OK à deux reprises pour retourner dans Internet Explorer.

Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer.

Procédez comme suit :

1.	Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l’onglet Sécurité.
2.	Dans la zone Sélectionnez une zone de contenu Web pour spécifier ses paramètres de sécurité, cliquez sur Sites de confiance, puis sur Sites.
3.	Si vous souhaitez ajouter des sites qui ne requièrent pas un canal chiffré, désactivez la case à cocher Nécessite un serveur sécurisé (https:) pour tous les sites dans cette zone.
4.	Dans la zone Ajoute ce site Web à la zone, tapez l'URL d'un site de confiance, puis cliquez sur Ajouter.
5.	Répétez ces étapes pour chaque site que vous souhaitez ajouter à cette zone.
6.	Cliquez sur OK à deux reprises pour accepter les modifications et retourner dans Internet Explorer.

•

Vous pouvez vous protéger contre cette vulnérabilité en modifiant les paramètres de la zone de sécurité Internet afin d’afficher un message de confirmation avant l’exécution des contrôles ActiveX et Active Scripting. Réglez la sécurité de votre navigateur sur la valeur Élevé.

Pour augmenter le niveau de sécurité de navigation dans Microsoft Internet Explorer :

1.	Dans le menu Outils d'Internet Explorer, cliquez sur Options Internet.
2.	Dans la boîte de dialogue Options Internet, cliquez sur l'onglet Sécurité, puis sur l'icône Internet.
3.	Sous Niveau de sécurité pour cette zone, positionnez le curseur sur Élevé. Cela définit un niveau de sécurité élevé pour tous les sites Web que vous visitez.

Remarque : Si aucun curseur n'est visible, cliquez sur Niveau par défaut, puis déplacez le curseur sur Élevé.

Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer.

Procédez comme suit :

1.	Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l’onglet Sécurité.
2.	Dans la zone Sélectionnez une zone de contenu Web pour spécifier ses paramètres de sécurité, cliquez sur Sites de confiance, puis sur Sites.
3.	Si vous souhaitez ajouter des sites qui ne requièrent pas un canal chiffré, désactivez la case à cocher Nécessite un serveur sécurisé (https:) pour tous les sites dans cette zone.
4.	Dans la zone Ajoute ce site Web à la zone, tapez l'URL d'un site de confiance, puis cliquez sur Ajouter.
5.	Répétez ces étapes pour chaque site que vous souhaitez ajouter à cette zone.
6.	Cliquez sur OK à deux reprises pour accepter les modifications et retourner dans Internet Explorer.

•

Lisez les messages électroniques au format texte brut si vous utilisez Outlook 2002 ou une version ultérieure, ou Outlook Express 6 SP1 ou une version ultérieure, pour vous protéger contre une attaque par message HTML.

Les utilisateurs de Microsoft Outlook 2002 ayant appliqué Office XP Service Pack 1 ou une version ultérieure et les utilisateurs d'Outlook Express 6 ayant appliqué Internet Explorer 6 Service Pack 1 ou une version ultérieure peuvent activer une fonctionnalité qui interdit d'afficher autrement qu'en format texte brut les messages qui ne sont ni chiffrés, ni signés numériquement.

Les messages signés numériquement ou chiffrés ne sont pas affectés par ce paramètre et peuvent être lus dans leur format d'origine. Pour plus d'informations sur l'activation de ce paramètre dans Outlook 2002, consultez l'article 307594 de la Base de connaissances de Microsoft.

Pour obtenir des informations sur ce paramètre dans Outlook Express 6, consultez l'article 291387 de la Base de connaissances Microsoft.

Impact de cette solution de contournement : Les messages lus au format texte brut ne contiendront pas d'images, de polices spécifiques, d'animations ou d'autres contenus riches. En outre :

•	Les modifications sont appliquées au volet de visualisation et aux messages ouverts.
•	Les images sont transformées en pièces jointes pour ne pas être perdues.
•	Le message demeurant au format RTF (Rich Text Format) ou HTML dans le magasin, le modèle objet (solutions de code personnalisées) peut se comporter de façon inattendue.

Top of section

Forum aux questions sur la vulnérabilité de corruption de la mémoire liée à la mise en page et au positionnement HTML - CVE-2006-3450 :

Quelle est la portée de cette vulnérabilité ?
Il s'agit d'une vulnérabilité d'exécution de code à distance. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral d'un système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges.

Quelle est la cause de cette vulnérabilité ?
Lorsqu'Internet Explorer traite des éléments HTML spécialement conçus et incluant certaines combinaisons de positionnement et de mise en page, il peut corrompre la mémoire système et permettre à un attaquant d'exécuter du code arbitraire.

Que pourrait faire un attaquant en exploitant cette vulnérabilité ?
Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Comment un attaquant peut-il exploiter cette vulnérabilité ?
Un attaquant pourrait héberger un site Web ou un message électronique HTML spécialement conçu pour exploiter cette vulnérabilité via Internet Explorer et, alors, inciter un utilisateur à consulter le site Web ou le message électronique HTML. Ceci pourrait également inclure des sites qui acceptent ou hébergent des publicités ou du contenu soumis par des internautes ou tout autre site compromis. Ces sites Web pourraient contenir du code spécialement conçu capable d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il aurait à amener l’utilisateur à cliquer sur un lien vers ce site dans un message électronique ou un message instantané. Il pourrait également afficher un contenu Web spécialement conçu en imitant des panneaux publicitaires ou d'autres moyens afin d'envoyer du contenu Web aux systèmes affectés.

Quels sont les systèmes les plus exposés à cette vulnérabilité ?
Cette vulnérabilité permet l’exécution d’une action nuisible si et seulement si un utilisateur a ouvert une session et qu'il est en train de lire des messages électroniques au format HTML ou de consulter un site Web. C’est pourquoi les systèmes sur lesquels la messagerie HTML ou Internet Explorer sont fréquemment utilisés (comme les postes de travail ou les serveurs de terminaux) sont les plus exposés à cette vulnérabilité.

Que fait cette mise à jour ?
La mise à jour supprime la vulnérabilité en modifiant la façon dont Internet Explorer décode le positionnement et la mise en page dans le format HTML.

Lors de la parution de ce bulletin de sécurité, cette vulnérabilité avait-elle été dévoilée ?
Non. Microsoft a été informé de cette vulnérabilité par une divulgation responsable.

Lors de la parution de ce bulletin de sécurité, Microsoft avait-il été informé d’une éventuelle exploitation de cette vulnérabilité ?
Non. Lors de la première publication de ce bulletin, Microsoft n’avait reçu aucune information indiquant que cette vulnérabilité avait été utilisée pour attaquer des clients, et n’avait pas la connaissance de la publication d’un tel code.

Top of section

Vulnérabilité de corruption de la mémoire CSS - CVE-2006-3451 :

Il existe une vulnérabilité d'exécution de code à distance liée à la façon dont Internet Explorer traite les feuilles de style chaînées CSS (Cascading Style Sheets). Un attaquant pourrait exploiter cette vulnérabilité en créant une page Web qui pourrait permettre l’exécution de code à distance si un utilisateur la consultait. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté.

Facteurs atténuants concernant la vulnérabilité liée à la corruption de la mémoire CSS - CVE-2006-3451 :

•	Pour une attaque Web, l'attaquant devrait héberger un site Web qui contiendrait une page Web spécialement conçue pour exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent des contenus ou des annonces provenant d'utilisateurs pourraient contenir un contenu malveillant susceptible d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l’utilisateur, généralement en l’incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site.
•	Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
•	La zone Sites sensibles contribue à réduire les attaques qui tenteraient d’exploiter cette vulnérabilité en empêchant l'utilisation d'Active Scripting lors de la lecture de messages électroniques au format HTML. Cependant, en cliquant sur un lien figurant dans un message, l'utilisateur s'expose toujours à une attaque Web. Par défaut, Outlook Express 6, Outlook 2002 et Outlook 2003 ouvrent les messages au format HTML dans la zone Sites sensibles. De plus, Outlook 2000 ouvre les messages HTML dans la zone Sites sensibles si la mise à jour de sécurité de messagerie Outlook a été installée. Outlook Express 5.5 Service Pack 2 ouvre les messages HTML dans la zone Sites sensibles si le Bulletin de sécurité Microsoft MS04-018 est installé.
•	Par défaut, Internet Explorer sur Windows Server 2003 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. Ce mode permet d'atténuer cette vulnérabilité. Pour plus d'informations sur la Configuration de sécurité améliorée d'Internet Explorer, reportez-vous à la section Forum aux questions sur cette vulnérabilité.

Top of section

Solutions de contournement concernant la vulnérabilité de corruption de la mémoire CSS - CVE-2006-3451 :

•

Configurer Internet Explorer de manière à ce qu'il désactive Active Scripting ou à ce qu'il vous avertisse avant de l'exécuter dans la zone de sécurité Intranet local et Internet.

1.	Dans Internet Explorer, cliquez sur Options Internet dans le menu Outils.
2.	Cliquez sur l’onglet Sécurité.
3.	Cliquez sur Internet, puis sur Personnaliser le niveau.
4.	Sous Paramètres, dans la section Script, sous Active Scripting, cliquez sur Demander ou Désactiver, puis sur OK.
5.	Cliquez sur Intranet local, puis sur Personnaliser le niveau.
6.	Sous Paramètres, dans la section Script, sous Active Scripting, cliquez sur Demander ou Désactiver, puis sur OK.
7.	Cliquez sur OK à deux reprises pour retourner dans Internet Explorer.

Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer.

Procédez comme suit :

1.	Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l’onglet Sécurité.
2.	Dans la zone Sélectionnez une zone de contenu Web pour spécifier ses paramètres de sécurité, cliquez sur Sites de confiance, puis sur Sites.
3.	Si vous souhaitez ajouter des sites qui ne requièrent pas un canal chiffré, désactivez la case à cocher Nécessite un serveur sécurisé (https:) pour tous les sites dans cette zone.
4.	Dans la zone Ajoute ce site Web à la zone, tapez l'URL d'un site de confiance, puis cliquez sur Ajouter.
5.	Répétez ces étapes pour chaque site que vous souhaitez ajouter à cette zone.
6.	Cliquez sur OK à deux reprises pour accepter les modifications et retourner dans Internet Explorer.

•

Pour augmenter le niveau de sécurité de navigation dans Microsoft Internet Explorer :

1.	Dans le menu Outils d'Internet Explorer, cliquez sur Options Internet.
2.	Dans la boîte de dialogue Options Internet, cliquez sur l'onglet Sécurité, puis sur l'icône Internet.
3.	Sous Niveau de sécurité pour cette zone, positionnez le curseur sur Élevé. Cela définit un niveau de sécurité élevé pour tous les sites Web que vous visitez.

Remarque : Si aucun curseur n'est visible, cliquez sur Niveau par défaut, puis déplacez le curseur sur Élevé.

Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer.

Procédez comme suit :

1.	Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l’onglet Sécurité.
2.	Dans la zone Sélectionnez une zone de contenu Web pour spécifier ses paramètres de sécurité, cliquez sur Sites de confiance, puis sur Sites.
3.	Si vous souhaitez ajouter des sites qui ne requièrent pas un canal chiffré, désactivez la case à cocher Nécessite un serveur sécurisé (https:) pour tous les sites dans cette zone.
4.	Dans la zone Ajoute ce site Web à la zone, tapez l'URL d'un site de confiance, puis cliquez sur Ajouter.
5.	Répétez ces étapes pour chaque site que vous souhaitez ajouter à cette zone.
6.	Cliquez sur OK à deux reprises pour accepter les modifications et retourner dans Internet Explorer.

•

Pour obtenir des informations sur ce paramètre dans Outlook Express 6, consultez l'article 291387 de la Base de connaissances Microsoft.

Impact de cette solution de contournement : Les messages lus au format texte brut ne contiendront pas d'images, de polices spécifiques, d'animations ou d'autres contenus riches. En outre :

•	Les modifications sont appliquées au volet de visualisation et aux messages ouverts.
•	Les images sont transformées en pièces jointes pour ne pas être perdues.
•	Le message demeurant au format RTF (Rich Text Format) ou HTML dans le magasin, le modèle objet (solutions de code personnalisées) peut se comporter de façon inattendue.

Top of section

Forum aux questions sur la vulnérabilité de corruption de la mémoire CSS - CVE-2006-3451 :

Quelle est la cause de cette vulnérabilité ?
Lorsqu'Internet Explorer traite les feuilles de style chaînées CSS (Cascading Style Sheets), il peut corrompre la mémoire système et permettre ainsi à un attaquant d'exécuter du code arbitraire.

Que fait cette mise à jour ?
La mise à jour supprime la vulnérabilité en modifiant la façon dont Internet Explorer traite les feuilles de style chaînées CSS.

Lors de la parution de ce bulletin de sécurité, cette vulnérabilité avait-elle été dévoilée ?
Non. Microsoft a été informé de cette vulnérabilité par une divulgation responsable.

Lors de la parution de ce bulletin de sécurité, Microsoft avait-il été informé d’une éventuelle exploitation de cette vulnérabilité ?
Non. Lors de la première publication de ce bulletin, Microsoft n’avait reçu aucune information indiquant que cette vulnérabilité avait été utilisée pour attaquer des clients, et n’avait pas la connaissance de la publication d’un tel code.

Top of section

Vulnérabilité de corruption de la mémoire lors du rendu HTML - CVE-2006-3637 :

Il existe une vulnérabilité d'exécution de code à distance liée à la façon dont Internet Explorer interprète du code HTML comportant certaines combinaisons de mise en page. Un attaquant pourrait exploiter cette vulnérabilité en créant une page Web qui pourrait permettre l’exécution de code à distance si un utilisateur la consultait. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté.

Facteur atténuants concernant la vulnérabilité de corruption de la mémoire lors du rendu HTML - CVE-2006-3637 :

•	Pour une attaque Web, l'attaquant devrait héberger un site Web qui contiendrait une page Web spécialement conçue pour exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent des contenus ou des annonces provenant d'utilisateurs pourraient contenir un contenu malveillant susceptible d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l’utilisateur, généralement en l’incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site.
•	Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
•	La zone Sites sensibles contribue à réduire les attaques qui tenteraient d’exploiter cette vulnérabilité en empêchant l'utilisation d'Active Scripting lors de la lecture de messages électroniques au format HTML. Cependant, en cliquant sur un lien figurant dans un message, l'utilisateur s'expose toujours à une attaque Web. Par défaut, Outlook Express 6, Outlook 2002 et Outlook 2003 ouvrent les messages au format HTML dans la zone Sites sensibles. De plus, Outlook 2000 ouvre les messages HTML dans la zone Sites sensibles si la mise à jour de sécurité de messagerie Outlook a été installée. Outlook Express 5.5 Service Pack 2 ouvre les messages HTML dans la zone Sites sensibles si le Bulletin de sécurité Microsoft MS04-018 est installé.
•	Par défaut, Internet Explorer sur Windows Server 2003 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. Ce mode permet d'atténuer cette vulnérabilité. Pour plus d'informations sur la Configuration de sécurité améliorée d'Internet Explorer, reportez-vous à la section Forum aux questions sur cette vulnérabilité.

Top of section

Solutions de contournements concernant la vulnérabilité de corruption de la mémoire lors du rendu HTML - CVE-2006-3637 :

•

Configurer Internet Explorer de manière à ce qu'il désactive Active Scripting ou à ce qu'il vous avertisse avant de l'exécuter dans la zone de sécurité Intranet local et Internet.

1.	Dans Internet Explorer, cliquez sur Options Internet dans le menu Outils.
2.	Cliquez sur l’onglet Sécurité.
3.	Cliquez sur Internet, puis sur Personnaliser le niveau.
4.	Sous Paramètres, dans la section Script, sous Active Scripting, cliquez sur Demander ou Désactiver, puis sur OK.
5.	Cliquez sur Intranet local, puis sur Personnaliser le niveau.
6.	Sous Paramètres, dans la section Script, sous Active Scripting, cliquez sur Demander ou Désactiver, puis sur OK.
7.	Cliquez sur OK à deux reprises pour retourner dans Internet Explorer.

Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer.

Procédez comme suit :

1.	Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l’onglet Sécurité.
2.	Dans la zone Sélectionnez une zone de contenu Web pour spécifier ses paramètres de sécurité, cliquez sur Sites de confiance, puis sur Sites.
3.	Si vous souhaitez ajouter des sites qui ne requièrent pas un canal chiffré, désactivez la case à cocher Nécessite un serveur sécurisé (https:) pour tous les sites dans cette zone.
4.	Dans la zone Ajoute ce site Web à la zone, tapez l'URL d'un site de confiance, puis cliquez sur Ajouter.
5.	Répétez ces étapes pour chaque site que vous souhaitez ajouter à cette zone.
6.	Cliquez sur OK à deux reprises pour accepter les modifications et retourner dans Internet Explorer.

•

Pour augmenter le niveau de sécurité de navigation dans Microsoft Internet Explorer :

1.	Dans le menu Outils d'Internet Explorer, cliquez sur Options Internet.
2.	Dans la boîte de dialogue Options Internet, cliquez sur l'onglet Sécurité, puis sur l'icône Internet.
3.	Sous Niveau de sécurité pour cette zone, positionnez le curseur sur Élevé. Cela définit un niveau de sécurité élevé pour tous les sites Web que vous visitez.

Remarque : Si aucun curseur n'est visible, cliquez sur Niveau par défaut, puis déplacez le curseur sur Élevé.

Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer.

Procédez comme suit :

1.	Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l’onglet Sécurité.
2.	Dans la zone Sélectionnez une zone de contenu Web pour spécifier ses paramètres de sécurité, cliquez sur Sites de confiance, puis sur Sites.
3.	Si vous souhaitez ajouter des sites qui ne requièrent pas un canal chiffré, désactivez la case à cocher Nécessite un serveur sécurisé (https:) pour tous les sites dans cette zone.
4.	Dans la zone Ajoute ce site Web à la zone, tapez l'URL d'un site de confiance, puis cliquez sur Ajouter.
5.	Répétez ces étapes pour chaque site que vous souhaitez ajouter à cette zone.
6.	Cliquez sur OK à deux reprises pour accepter les modifications et retourner dans Internet Explorer.

Top of section

Forum aux questions sur la vulnérabilité de corruption de la mémoire lors du rendu HTML - CVE-2006-3637 :

Quelle est la cause de cette vulnérabilité ?
Lorsqu'Internet Explorer traite certaines combinaisons de positionnement et de mise en page, il peut corrompre la mémoire système et permettre ainsi à un attaquant d'exécuter du code arbitraire.

Que fait cette mise à jour ?
La mise à jour supprime la vulnérabilité en modifiant la façon dont Internet Explorer traite le code HTML à la source du problème.

Top of section

Vulnérabilité de corruption de la mémoire lors de l'instanciation d'objets COM - CVE-2006-3638 :

Il existe une vulnérabilité d'exécution de code à distance dans la façon dont Internet Explorer instancie les objets COM qui ne sont pas conçus pour être utilisés dans Internet Explorer. Un attaquant pourrait exploiter cette vulnérabilité en créant une page Web qui pourrait permettre l’exécution de code à distance si un utilisateur la consultait. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté.

Facteurs atténuants concernant la vulnérabilité de corruption de la mémoire lors de l'instanciation d'objets COM - CVE-2006-3638 :

•	Pour une attaque Web, l'attaquant devrait héberger un site Web qui contiendrait une page Web spécialement conçue pour exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent des contenus ou des annonces provenant d'utilisateurs pourraient contenir un contenu malveillant susceptible d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l’utilisateur, généralement en l’incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site.
•	Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
•	La zone Sites sensibles contribue à réduire les attaques qui tenteraient d’exploiter cette vulnérabilité en empêchant l'utilisation d'Active Scripting lors de la lecture de messages électroniques au format HTML. Cependant, en cliquant sur un lien figurant dans un message, l'utilisateur s'expose toujours à une attaque Web. Par défaut, Outlook Express 6, Outlook 2002 et Outlook 2003 ouvrent les messages au format HTML dans la zone Sites sensibles. De plus, Outlook 2000 ouvre les messages HTML dans la zone Sites sensibles si la mise à jour de sécurité de messagerie Outlook a été installée. Outlook Express 5.5 Service Pack 2 ouvre les messages HTML dans la zone Sites sensibles si le Bulletin de sécurité Microsoft MS04-018 est installé.
•	Par défaut, Internet Explorer sur Windows Server 2003 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. Ce mode permet d'atténuer cette vulnérabilité. Pour plus d'informations sur la Configuration de sécurité améliorée d'Internet Explorer, reportez-vous à la section Forum aux questions sur cette mise à jour de sécurité.

Top of section

Solutions de contournement concernant la vulnérabilité de corruption de la mémoire lors de l'instanciation d'objets COM - CVE-2006-3638 :

•

Configurer Internet Explorer de manière à ce qu'il désactive les contrôles ActiveX ou à ce qu'il vous avertisse avant de les exécuter dans la zone de sécurité Intranet local et Internet

Vous pouvez vous protéger contre cette vulnérabilité en modifiant vos paramètres Internet Explorer afin d’afficher un message de confirmation avant l’exécution des contrôles ActiveX. Procédez comme suit :

1.	Dans Internet Explorer, cliquez sur Options Internet dans le menu Outils.
2.	Cliquez sur l’onglet Sécurité.
3.	Cliquez sur Internet, puis sur Personnaliser le niveau.
4.	Sous Paramètres, dans la section Contrôles ActiveX et plugins, cliquez sur Demander ou Désactiver sous Exécuter les contrôles ActiveX et les plugins, puis cliquez sur OK.
5.	Cliquez sur Intranet local, puis sur Personnaliser le niveau.
6.	Sous Paramètres, dans la section Contrôles ActiveX et plugins, cliquez sur Demander ou Désactiver sous Exécuter les contrôles ActiveX et les plugins, puis cliquez sur OK.
7.	Cliquez sur OK à deux reprises pour retourner dans Internet Explorer.

Impact de cette solution de contournement : L’affichage d’un message de confirmation avant l’exécution des contrôles ActiveX comporte des effets secondaires. De nombreux sites Web situés sur Internet ou sur un intranet utilisent les contrôles ActiveX pour offrir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peuvent utiliser des contrôles ActiveX pour proposer des menus, des bons de commande ou même des relevés de compte. L'affichage d'un message de confirmation avant l'exécution des contrôles ActiveX est un paramètre global qui affecte tous les sites Internet et intranet. De nombreux messages s’affichent lorsque vous mettez en œuvre cette solution de contournement. Pour chacun d'eux, si vous pensez que le site que vous visitez est un site de confiance, cliquez sur Oui afin d’exécuter les contrôles ActiveX. Si vous ne voulez pas recevoir d'invite pour tous ces sites, suivez les étapes décrites dans la section "Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer".

Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer.

Procédez comme suit :

1.	Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l’onglet Sécurité.
2.	Dans la zone Sélectionnez une zone de contenu Web pour spécifier ses paramètres de sécurité, cliquez sur Sites de confiance, puis sur Sites.
3.	Si vous souhaitez ajouter des sites qui ne requièrent pas un canal chiffré, désactivez la case à cocher Nécessite un serveur sécurisé (https:) pour tous les sites dans cette zone.
4.	Dans la zone Ajoute ce site Web à la zone, tapez l'URL d'un site de confiance, puis cliquez sur Ajouter.
5.	Répétez ces étapes pour chaque site que vous souhaitez ajouter à cette zone.
6.	Cliquez sur OK à deux reprises pour accepter les modifications et retourner dans Internet Explorer.

•

Pour augmenter le niveau de sécurité de navigation dans Microsoft Internet Explorer :

1.	Dans le menu Outils d'Internet Explorer, cliquez sur Options Internet.
2.	Dans la boîte de dialogue Options Internet, cliquez sur l'onglet Sécurité, puis sur l'icône Internet.
3.	Sous Niveau de sécurité pour cette zone, positionnez le curseur sur Élevé. Cela définit un niveau de sécurité élevé pour tous les sites Web que vous visitez.

Remarque : Si aucun curseur n'est visible, cliquez sur Niveau par défaut, puis déplacez le curseur sur Élevé.

Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer.

Procédez comme suit :

1.	Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l’onglet Sécurité.
2.	Dans la zone Sélectionnez une zone de contenu Web pour spécifier ses paramètres de sécurité, cliquez sur Sites de confiance, puis sur Sites.
3.	Si vous souhaitez ajouter des sites qui ne requièrent pas un canal chiffré, désactivez la case à cocher Nécessite un serveur sécurisé (https:) pour tous les sites dans cette zone.
4.	Dans la zone Ajoute ce site Web à la zone, tapez l'URL d'un site de confiance, puis cliquez sur Ajouter.
5.	Répétez ces étapes pour chaque site que vous souhaitez ajouter à cette zone.
6.	Cliquez sur OK à deux reprises pour accepter les modifications et retourner dans Internet Explorer.

•

Empêcher les objets COM de s'exécuter dans Internet Explorer

Vous pouvez empêcher les tentatives d'exécution d'un objet COM dans Internet Explorer en définissant le kill bit relatif au contrôle dans le Registre.

Avertissement : Si vous n'utilisez pas correctement le programme Éditeur du Registre, vous risquez de créer de sérieux problèmes et d'avoir à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir qu'il soit possible de résoudre des problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre. L'utilisation de l'Éditeur du Registre relève de votre responsabilité.

Pour plus de détails sur la manière d'empêcher l'exécution d'un contrôle dans Internet Explorer, consultez l'Article 240797 de la Base de connaissances Microsoft. Suivez les étapes de cet article et créez une valeur pour les indicateurs de compatibilité dans le registre, afin d'empêcher un objet COM de s'instancier dans Internet Explorer.

Pour définir le kill-bit d'un identificateur de classe CLSID de valeur {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}, collez le texte suivant dans un éditeur de texte, tel que Bloc-notes. Puis, enregistrez ensuite le fichier avec l'extension .reg.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{ XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX }]
"Compatibility Flags"=dword:00000400

Vous pouvez double-cliquer sur ce fichier .reg pour l'appliquer à des systèmes individuels. Vous pouvez également l'appliquer dans plusieurs domaines à l'aide de la Stratégie de groupe. Pour plus d'informations sur la Stratégie de groupe, consultez le site Web Microsoft suivant :

Collection Stratégie de groupe

Qu'est-ce que l'Éditeur d'objets de stratégie de groupe ?

Principaux outils et paramètres de la stratégie de groupe

Remarque : Vous devez redémarrer Internet Explorer pour que vos changements prennent effet.

Impact de cette solution de contournement : Aucun impact, tant que l'objet COM n'a pas été conçu pour être utilisé dans Internet Explorer

Top of section

Forum aux questions sur la vulnérabilité de corruption de la mémoire lors de l'instanciation d'objets COM - CVE-2006-3638 :

Quelle est la cause de cette vulnérabilité ?
Lorsqu’Internet Explorer essaie d'instancier certains objets COM tels que les contrôles ActiveX, ces objets peuvent corrompre le système et permettre à un attaquant d'exécuter du code arbitraire.

Quels sont les systèmes les plus exposés à cette vulnérabilité ?
Cette vulnérabilité permet l’exécution d’une action nuisible si et seulement si un utilisateur a ouvert une session et consulte un site Web. C’est pourquoi les systèmes sur lesquels Internet Explorer est fréquemment utilisé (comme les postes de travail des utilisateurs ou les serveurs de terminaux) sont les plus exposés à cette vulnérabilité.

Que fait cette mise à jour ?
Tous les objets COM n'ayant pas été conçus pour une utilisation depuis Internet Explorer, cette mise à jour définit le kill bit pour une liste d'identificateurs de classe (CLSID) d'objets COM ayant montré un comportement similaire à la vulnérabilité de corruption de la mémoire lors de l'instanciation d'objets COM corrigée dans le Bulletin de sécurité Microsoft MS05-054. Cette mise à jour empêche ces identificateurs de classe d'être instanciés dans Internet Explorer. Pour plus d’informations sur les paramètres kill bit, consultez l’article 240797 de la Base de connaissances de Microsoft.

Les identificateurs de classe et les fichiers correspondants qui contiennent les objets COM sont les suivants.

Identificateur de classe	Fichier
5DFB2651-9668-11D0-B17B-00C04FC2A0CA	Danim.dll
39A2C2A6-4778-11D2-9BDB-204C4F4F5020	Msdxm.ocx
3DA2AA3E-3D96-11D2-9BD2-204C4F4F5020	Msdxm.ocx
E8C31D11-6FD2-4659-AD75-155FA143F42B	Wmm2ae.dll
44C79591-D0DE-49C4-BA3C-A45AB7003356	Wmm2ae.dll
01002B17-5D93-4551-81E4-831FEF780A53	Wmm2filt.dll
1B544C24-FD0B-11CE-8C63-00AA0044B520	Wmm2filt.dll
1CB1623E-BBEC-4E8D-B2DF-DC08C6F4627C	Wmm2filt.dll
2D20D4BB-B47E-4FB7-83BD-E3C2EE250D26	Wmm2filt.dll
2EA10031-0033-450E-8072-E27D9E768142	Wmm2filt.dll
31087270-D348-432C-899E-2D2F38FF29A0	Wmm2filt.dll
41D2B841-7692-4C83-AFD3-F60E845341AF	Wmm2filt.dll
4D4C9FEF-ED80-47EA-A3FA-3215FDBB33AB	Wmm2filt.dll
4F3E50BD-A9D7-4721-B0E1-00CB42A0A747	Wmm2filt.dll
586FB486-5560-4FF3-96DF-1118C96AF456	Wmm2filt.dll
5B4B05EB-1F63-446B-AAD1-E10A34D650E0	Wmm2filt.dll
679E132F-561B-42F8-846C-A70DBDC62999	Wmm2filt.dll
6C68955E-F965-4249-8E18-F0977B1D2899	Wmm2filt.dll
7F1232EE-44D7-4494-AB8B-CC61B10E21A5	Wmm2filt.dll
92883667-E95C-443D-AC96-4CACA27BEB6E	Wmm2filt.dll
930FD02C-BBE7-4EB9-91CF-FC45CC91E3E6	Wmm2filt.dll
A2EDA89A-0966-4B91-9C18-AB69F098187F	Wmm2filt.dll
AECF5D2E-7A18-4DD2-BDCD-29B6F615B448	Wmm2filt.dll
BC0D69A8-0923-4EEE-9375-9239F5A38B92	Wmm2filt.dll
C0D076C5-E4C6-4561-8BF4-80DA8DB819D7	Wmm2filt.dll
C44C65C7-FDF1-453D-89A5-BCC28F5D69F9	Wmm2filt.dll
C6CB1FE3-B05E-4F0E-818F-C83ED5A0332F	Wmm2filt.dll
C8F209F8-480E-454C-94A4-5392D88EBA0F	Wmm2filt.dll
CC45B0B0-72D8-4652-AE5F-5E3E266BE7ED	Wmm2filt.dll
CFFB1FC7-270D-4986-B299-FECF3F0E42DB	Wmm2filt.dll
E188F7A3-A04E-413E-99D1-D79A45F70305	Wmm2filt.dll
E476CBFF-E229-4524-B6B7-228A3129D1C7	Wmm2filt.dll
EF105BC3-C064-45F1-AD53-6D8A8578D01B	Wmm2filt.dll
EFEE43D6-BFE5-44B0-8063-AC3B2966AB2C	Wmm2filt.dll
F44BB2D0-F070-463E-9433-B0CCF3CFD627	Wmm2filt.dll
5A20FD6F-F8FE-4a22-9EE7-307D72D09E6E	Wmm2fxa.dll
ADEADEB8-E54B-11d1-9A72-0000F875EADE	Wmm2fxa.dll
EC85D8F1-1C4E-46e4-A748-7AA04E7C0496	Wmm2fxa.dll
A2D4529E-84E0-4550-A2E0-C25D7C5CC0D0	Wmm2fxa.dll
E673DCF2-C316-4c6f-AA96-4E4DC6DC291E	Wmm2fxb.dll
D74CA70F-2236-4BA8-A297-4B2A28C2363C	Wmm2fxb.dll

Lors de la parution de ce bulletin de sécurité, cette vulnérabilité avait-elle été dévoilée ?
Non. Microsoft a été informé de cette vulnérabilité par une divulgation responsable.

Lors de la parution de ce bulletin de sécurité, Microsoft avait-il été informé d’une éventuelle exploitation de cette vulnérabilité ?
Non. Lors de la première publication de ce bulletin, Microsoft n’avait reçu aucune information indiquant que cette vulnérabilité avait été utilisée pour attaquer des clients, et n’avait pas la connaissance de la publication d’un tel code.

Top of section

Vulnérabilité inter-domaine lié à l'élément "source" - CVE-2006-3639 :

Il existe dans Internet Explorer une vulnérabilité d'exécution de code à distance et de divulgation d'informations qui porte sur le mode de traitement des redirections. Un attaquant pourrait exploiter cette vulnérabilité en créant une page Web qui pourrait autoriser la divulgation d'informations lorsqu'un utilisateur l'affiche. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait lire les données d'un fichier d'une page Web dans un autre domaine Internet Explorer.

Pour Windows 2000 Service Pack 4 et Windows XP Service Pack 1, un attaquant pourrait exploiter cette vulnérabilité en créant une page Web qui pourrait permettre d'exécuter du code à distance si un utilisateur l'affichait. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté.

Facteurs atténuants concernant la vulnérabilité inter-domaine lié à l'élément "source" - CVE-2006-3639 :

•	Afin de réaliser une attaque par le Web, l'attaquant doit héberger un site Web qui contient une page Web conçue pour exploiter cette vulnérabilité. Un attaquant n'aurait aucun moyen d'obliger les utilisateurs à visiter un site Web malveillant. Il devrait y attirer l'utilisateur, l'incitant à cliquer sur un lien qui mène à ce site.
•	La zone Sites sensibles contribue à réduire les attaques qui tenteraient d’exploiter cette vulnérabilité en empêchant l'utilisation d'Active Scripting lors de la lecture de messages électroniques au format HTML. Cependant, en cliquant sur un lien figurant dans un message, l'utilisateur s'expose toujours à une attaque Web. Par défaut, Outlook Express 6, Outlook 2002 et Outlook 2003 ouvrent les messages au format HTML dans la zone Sites sensibles. De plus, Outlook 2000 ouvre les messages HTML dans la zone Sites sensibles si la mise à jour de sécurité de messagerie Outlook a été installée. Outlook Express 5.5 Service Pack 2 ouvre les messages HTML dans la zone Sites sensibles si le Bulletin de sécurité Microsoft MS04-018 est installé.
•	Par défaut, Internet Explorer sur Windows Server 2003 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. Ce mode permet d'atténuer cette vulnérabilité. Pour plus d'informations sur la Configuration de sécurité améliorée d'Internet Explorer, reportez-vous à la section Forum aux questions concernant cette vulnérabilité.

Top of section

Solutions de contournement concernant la vulnérabilité inter-domaine lié à l'élément "source" - CVE-2006-3639 :

•

Configurer Internet Explorer de manière à ce qu'il vous avertisse avant d’exécuter Active Scripting ou désactiver Active Scripting dans les zones de sécurité Intranet local et Internet

1.	Dans Internet Explorer, cliquez sur Options Internet dans le menu Outils.
2.	Cliquez sur l’onglet Sécurité.
3.	Cliquez sur Internet, puis sur Personnaliser le niveau.
4.	Sous Paramètres, dans la section Script, sous Active Scripting, cliquez sur Demander ou Désactiver, puis sur OK.
5.	Cliquez sur Intranet local, puis sur Personnaliser le niveau.
6.	Sous Paramètres, dans la section Script, sous Active Scripting, cliquez sur Demander ou Désactiver, puis sur OK.
7.	Cliquez sur OK à deux reprises pour retourner dans Internet Explorer.

Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer.

Procédez comme suit :

1.	Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l’onglet Sécurité.
2.	Dans la zone Sélectionnez une zone de contenu Web pour spécifier ses paramètres de sécurité, cliquez sur Sites de confiance, puis sur Sites.
3.	Si vous souhaitez ajouter des sites qui ne requièrent pas un canal chiffré, désactivez la case à cocher Nécessite un serveur sécurisé (https:) pour tous les sites dans cette zone.
4.	Dans la zone Ajoute ce site Web à la zone, tapez l'URL d'un site de confiance, puis cliquez sur Ajouter.
5.	Répétez ces étapes pour chaque site que vous souhaitez ajouter à cette zone.
6.	Cliquez sur OK à deux reprises pour accepter les modifications et retourner dans Internet Explorer.

•

Pour augmenter le niveau de sécurité de navigation dans Microsoft Internet Explorer :

1.	Dans le menu Outils d'Internet Explorer, cliquez sur Options Internet.
2.	Dans la boîte de dialogue Options Internet, cliquez sur l'onglet Sécurité, puis sur l'icône Internet.
3.	Sous Niveau de sécurité pour cette zone, positionnez le curseur sur Élevé. Cela définit un niveau de sécurité élevé pour tous les sites Web que vous visitez.

Remarque : Si aucun curseur n'est visible, cliquez sur Niveau par défaut, puis déplacez le curseur sur Élevé.

Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer.

Procédez comme suit :

1.	Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l’onglet Sécurité.
2.	Dans la zone Sélectionnez une zone de contenu Web pour spécifier ses paramètres de sécurité, cliquez sur Sites de confiance, puis sur Sites.
3.	Si vous souhaitez ajouter des sites qui ne requièrent pas un canal chiffré, désactivez la case à cocher Nécessite un serveur sécurisé (https:) pour tous les sites dans cette zone.
4.	Dans la zone Ajoute ce site Web à la zone, tapez l'URL d'un site de confiance, puis cliquez sur Ajouter.
5.	Répétez ces étapes pour chaque site que vous souhaitez ajouter à cette zone.
6.	Cliquez sur OK à deux reprises pour accepter les modifications et retourner dans Internet Explorer.

Top of section

Forum aux questions sur la vulnérabilité inter-domaine lié à l'élément "source" - CVE-2006-3639 :

Quelle est la portée de cette vulnérabilité ?
Il s'agit d'une vulnérabilité d'exécution de code à distance et de divulgation d'informations. Un attaquant pourrait exploiter cette vulnérabilité en créant une page Web qui pourrait autoriser la divulgation d'informations lorsqu'un utilisateur l'affiche. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait lire les données d'un fichier d'une page Web dans un autre domaine Internet Explorer.

Quelle est la cause de cette vulnérabilité ?
Internet Explorer interprète de façon inexacte l'origine du script et permet à ce dernier de s'exécuter dans une zone Internet Explorer ou un domaine différent de son origine.

Que pourrait faire un attaquant en exploitant cette vulnérabilité ?
Tout attaquant qui exploiterait cette vulnérabilité pourrait, sur Windows XP Service Pack 1 et Windows 2000 Service Pack 4, exécuter du code dans le contexte de l'utilisateur.

Tout attaquant qui réussirait à exploiter cette vulnérabilité pourrait, sur Windows XP Service Pack 2, accéder aux données d'une autre zone de sécurité ou d'un autre domaine d'Internet Explorer.

L'attaquant ne pourrait exploiter cette vulnérabilité sur Windows Server 2003 que pour lire des données d'une autre zone de sécurité ou d'un autre domaine Internet Explorer si la configuration de sécurité améliorée d'Internet Explorer a été désactivée.

Que fait cette mise à jour ?
Cette mise à jour supprime la vulnérabilité en modifiant Internet Explorer pour que le domaine d'origine du script soit identifié correctement.

Lors de la parution de ce bulletin de sécurité, cette vulnérabilité avait-elle été dévoilée ?
Non. Microsoft a été informé de cette vulnérabilité par une divulgation responsable.

Lors de la parution de ce bulletin de sécurité, Microsoft avait-il été informé d’une éventuelle exploitation de cette vulnérabilité ?
Non. Lors de la première publication de ce bulletin, Microsoft n’avait reçu aucune information indiquant que cette vulnérabilité avait été utilisée pour attaquer des clients, et n’avait pas la connaissance de la publication d’un tel code.

Top of section

Vulnérabilité de divulgation de l'information "emplacement" (window location) de la fenêtre de navigation - CVE-2006-3640 :

Internet Explorer présente une vulnérabilité de divulgation d'information permettant à un script de persister entre plusieurs opérations de navigation et d'accéder à l'information concernant l'emplacement affiché par une fenêtre de navigation (window location) dans une autre zone ou un autre domaine d'Internet Explorer. Un attaquant pourrait exploiter cette vulnérabilité en créant une page Web qui pourrait autoriser la divulgation d'informations lorsqu'un utilisateur l'affiche. Tout attaquant qui exploiterait avec succès cette vulnérabilité pourrait accéder à l'emplacement de la fenêtre d'une page Web dans une autre zone ou un autre domaine d'Internet Explorer.

Facteurs atténuants concernant la vulnérabilité de divulgation de l'information "emplacement" (window location) de la fenêtre de navigation - CVE-2006-3640 :

•	Afin de réaliser une attaque par le Web, l'attaquant doit héberger un site Web qui contient une page Web conçue pour exploiter cette vulnérabilité. Un attaquant n'aurait aucun moyen d'obliger les utilisateurs à visiter un site Web malveillant. Il devrait y attirer l'utilisateur, l'incitant à cliquer sur un lien qui mène à ce site.
•	La zone Sites sensibles contribue à réduire les attaques qui tenteraient d’exploiter cette vulnérabilité en empêchant l'utilisation d'Active Scripting lors de la lecture de messages électroniques au format HTML. Cependant, en cliquant sur un lien figurant dans un message, l'utilisateur s'expose toujours à une attaque Web. Par défaut, Outlook Express 6, Outlook 2002 et Outlook 2003 ouvrent les messages au format HTML dans la zone Sites sensibles. De plus, Outlook 2000 ouvre les messages HTML dans la zone Sites sensibles si la mise à jour de sécurité de messagerie Outlook a été installée. Outlook Express 5.5 Service Pack 2 ouvre les messages HTML dans la zone Sites sensibles si le Bulletin de sécurité Microsoft MS04-018 est installé.
•	Par défaut, Internet Explorer sur Windows Server 2003 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. Ce mode permet d'atténuer cette vulnérabilité. Pour plus d'informations sur la Configuration de sécurité améliorée d'Internet Explorer, reportez-vous à la section Forum aux questions sur cette vulnérabilité.

Top of section

Solutions de contournement concernant la vulnérabilité de divulgation de l'information "emplacement" (window location) de la fenêtre de navigation - CVE-2006-3640 :

•

Configurer Internet Explorer de manière à ce qu'il vous avertisse avant d’exécuter Active Scripting ou désactiver Active Scripting dans les zones de sécurité Intranet local et Internet

1.	Dans Internet Explorer, cliquez sur Options Internet dans le menu Outils.
2.	Cliquez sur l’onglet Sécurité.
3.	Cliquez sur Internet, puis sur Personnaliser le niveau.
4.	Sous Paramètres, dans la section Script, sous Active Scripting, cliquez sur Demander ou Désactiver, puis sur OK.
5.	Cliquez sur Intranet local, puis sur Personnaliser le niveau.
6.	Sous Paramètres, dans la section Script, sous Active Scripting, cliquez sur Demander ou Désactiver, puis sur OK.
7.	Cliquez sur OK à deux reprises pour retourner dans Internet Explorer.

Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer.

Procédez comme suit :

1.	Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l’onglet Sécurité.
2.	Dans la zone Sélectionnez une zone de contenu Web pour spécifier ses paramètres de sécurité, cliquez sur Sites de confiance, puis sur Sites.
3.	Si vous souhaitez ajouter des sites qui ne requièrent pas un canal chiffré, désactivez la case à cocher Nécessite un serveur sécurisé (https:) pour tous les sites dans cette zone.
4.	Dans la zone Ajoute ce site Web à la zone, tapez l'URL d'un site de confiance, puis cliquez sur Ajouter.
5.	Répétez ces étapes pour chaque site que vous souhaitez ajouter à cette zone.
6.	Cliquez sur OK à deux reprises pour accepter les modifications et retourner dans Internet Explorer.

•

Pour augmenter le niveau de sécurité de navigation dans Microsoft Internet Explorer :

1.	Dans le menu Outils d'Internet Explorer, cliquez sur Options Internet.
2.	Dans la boîte de dialogue Options Internet, cliquez sur l'onglet Sécurité, puis sur l'icône Internet.
3.	Sous Niveau de sécurité pour cette zone, positionnez le curseur sur Élevé. Cela définit un niveau de sécurité élevé pour tous les sites Web que vous visitez.

Remarque : Si aucun curseur n'est visible, cliquez sur Niveau par défaut, puis déplacez le curseur sur Élevé.

Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer.

Procédez comme suit :

1.	Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l’onglet Sécurité.
2.	Dans la zone Sélectionnez une zone de contenu Web pour spécifier ses paramètres de sécurité, cliquez sur Sites de confiance, puis sur Sites.
3.	Si vous souhaitez ajouter des sites qui ne requièrent pas un canal chiffré, désactivez la case à cocher Nécessite un serveur sécurisé (https:) pour tous les sites dans cette zone.
4.	Dans la zone Ajoute ce site Web à la zone, tapez l'URL d'un site de confiance, puis cliquez sur Ajouter.
5.	Répétez ces étapes pour chaque site que vous souhaitez ajouter à cette zone.
6.	Cliquez sur OK à deux reprises pour accepter les modifications et retourner dans Internet Explorer.

Top of section

Forum aux questions sur la vulnérabilité de divulgation de l'information "emplacement" (window location) de la fenêtre de navigation - CVE-2006-3640 :

Quelle est la portée de cette vulnérabilité ?
Il s'agit d'une vulnérabilité de divulgation d'informations. Un attaquant pourrait exploiter cette vulnérabilité en créant une page Web qui pourrait autoriser la divulgation d'informations lorsqu'un utilisateur l'affiche. Tout attaquant qui exploiterait avec succès cette vulnérabilité pourrait accéder à l'emplacement de la fenêtre d'une page Web dans un autre domaine d'Internet Explorer.

Quelle est la cause de cette vulnérabilité ?
Certains scripts pourraient persister après plusieurs opérations de navigation et permettre d'accéder à l'information d'emplacement d'une page Web affichée (window location) dans une autre zone ou un autre domaine d'Internet Explorer.

Que pourrait faire un attaquant en exploitant cette vulnérabilité ?
Tout attaquant qui exploiterait avec succès cette vulnérabilité pourrait accéder à l'emplacement de la fenêtre d'une page Web dans une autre zone ou un autre domaine d'Internet Explorer. Lorsqu'un utilisateur consulte un site Web exploitant cette vulnérabilité, l'attaquant pourrait voir l'emplacement des pages Web visitées par la suite par l'utilisateur si ces dernières sont consultées au cours de la même session d'Internet Explorer.

Que fait cette mise à jour ?
La mise à jour supprime la vulnérabilité en appliquant des restrictions de sécurité inter-domaines si le script persiste entre plusieurs opérations de navigation, et en limitant les options de persistance.

Lors de la parution de ce bulletin de sécurité, cette vulnérabilité avait-elle été dévoilée ?
Non. Microsoft a été informé de cette vulnérabilité par une divulgation responsable.

Lors de la parution de ce bulletin de sécurité, Microsoft avait-il été informé d’une éventuelle exploitation de cette vulnérabilité ?
Non. Lors de la première publication de ce bulletin, Microsoft n’avait reçu aucune information indiquant que cette vulnérabilité avait été utilisée pour attaquer des clients, et n’avait pas la connaissance de la publication d’un tel code.

Top of section

Vulnérabilité d'injection de commandes vers un serveur FTP - CVE-2004-1166 :

Il existe une vulnérabilité d'élévation de privilèges liée à la façon dont Internet Explorer traite certains liens FTP spécialement conçus contenant des sauts de ligne. Un attaquant pourrait exploiter cette vulnérabilité en créant une page Web contenant un lien FTP spécialement conçu pour envoyer des commandes vers un serveur FTP si un utilisateur cliquait dessus. Tout attaquant qui exploiterait cette vulnérabilité pourrait envoyer des commandes au serveur en se faisant passer pour l'utilisateur.

Facteurs atténuants concernant la vulnérabilité d'injection de commandes vers un serveur FTP - CVE-2004-1166 :

•	Toute attaque serait limitée aux opérations autorisées à l'utilisateur sur le serveur FTP.
•	L'attaquant aurait besoin de connaître l'emplacement du serveur FTP.
•	Cependant, l’exploitation de cette vulnérabilité nécessite une interaction avec l’utilisateur.
•	Pour une attaque Web, l'attaquant devrait héberger un site Web qui contiendrait une page Web spécialement conçue pour exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent des contenus ou des annonces provenant d'utilisateurs pourraient contenir un contenu malveillant susceptible d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l’utilisateur, généralement en l’incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site.
•	La zone Sites sensibles contribue à réduire les attaques qui tenteraient d’exploiter cette vulnérabilité en empêchant l'utilisation d'Active Scripting lors de la lecture de messages électroniques au format HTML. Cependant, en cliquant sur un lien figurant dans un message, l'utilisateur s'expose toujours à une attaque Web. Par défaut, Outlook Express 6, Outlook 2002 et Outlook 2003 ouvrent les messages au format HTML dans la zone Sites sensibles. De plus, Outlook 2000 ouvre les messages HTML dans la zone Sites sensibles si la mise à jour de sécurité de messagerie Outlook a été installée. Outlook Express 5.5 Service Pack 2 ouvre les messages HTML dans la zone Sites sensibles si le Bulletin de sécurité Microsoft MS04-018 est installé.
•	Par défaut, Internet Explorer sur Windows Server 2003 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. Ce mode permet d'atténuer la vulnérabilité relative à la messagerie, car Outlook Express utilise par défaut le format texte brut pour la lecture de messages. Pour plus d'informations sur la Configuration de sécurité améliorée d'Internet Explorer, reportez-vous à la section Forum aux questions sur cette vulnérabilité.

Top of section

Solutions de contournement concernant la vulnérabilité d'injection de commandes vers un serveur FTP - CVE-2004-1166 :

•

Pour obtenir des informations sur ce paramètre dans Outlook Express 6, consultez l'article 291387 de la Base de connaissances Microsoft.

Impact de cette solution de contournement : Les messages lus au format texte brut ne contiendront pas d'images, de polices spécifiques, d'animations ou d'autres contenus riches. En outre :

•	Les modifications sont appliquées au volet de visualisation et aux messages ouverts.
•	Les images sont transformées en pièces jointes pour ne pas être perdues.
•	Le message demeurant au format RTF (Rich Text Format) ou HTML dans le magasin, le modèle objet (solutions de code personnalisées) peut se comporter de façon inattendue.

Top of section

Forum aux questions sur la vulnérabilité d'injection de commandes vers un serveur FTP - CVE-2004-1166 :

Quelle est la portée de cette vulnérabilité ?
Il s’agit d’une vulnérabilité d’élévation de privilèges. Tout attaquant qui exploiterait cette vulnérabilité pourrait envoyer des commandes de serveur FTP en se faisant passer pour l'utilisateur. Toute attaque serait limitée aux opérations autorisées à l'utilisateur sur le serveur FTP. L'attaquant aurait besoin de connaître l'emplacement du serveur FTP. Cependant, l’exploitation de cette vulnérabilité nécessite une interaction avec l’utilisateur.

Quelle est la cause de cette vulnérabilité ?
Lorsqu'Internet Explorer traite des liens FTP spécialement conçus qui contenant des sauts de ligne, il transmet ces derniers au serveur. Le serveur peut ensuite interpréter les sous-chaînes situées entre les sauts de ligne en tant que commandes supplémentaires.

Que pourrait faire un attaquant en exploitant cette vulnérabilité ?
Tout attaquant qui exploiterait cette vulnérabilité pourrait envoyer des commandes de serveur FTP en se faisant passer pour l'utilisateur. Toute attaque serait limitée aux opérations autorisées à l'utilisateur sur le serveur FTP.

Quels sont les systèmes les plus exposés à cette vulnérabilité ?
Cette vulnérabilité nécessite qu'un utilisateur clique sur un lien FTP. C’est pourquoi les systèmes sur lesquels la messagerie HTML ou Internet Explorer sont fréquemment utilisés (comme les postes de travail ou les serveurs de terminaux) sont les plus exposés à cette vulnérabilité.

Que fait cette mise à jour ?
La mise à jour supprime cette vulnérabilité en modifiant le client FTP dans Internet Explorer afin que les caractères de contrôle ASCII, tels que les sauts de ligne, et tout caractère suivant soient ignorés dans les liens FTP.

Top of section

Vulnérabilité de débordement de mémoire tampon en cas d'URL de grande taille - CVE-2006-3869 :

Il existe une vulnérabilité d'exécution de code à distance liée à la façon dont Internet Explorer traite les longues URL lorsque l'utilisateur visite des sites utilisant le protocole HTTP 1.1 et de la compression. Un attaquant pourrait exploiter cette vulnérabilité en créant une page Web qui pourrait permettre l’exécution de code à distance si un utilisateur la consultait. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté.

Facteurs atténuants concernant la vulnérabilité de débordement de mémoire tampon en cas d'URL de grande taille - CVE-2006-3869 :

•	Cette vulnérabilité affecte uniquement Internet Explorer 6 Service Pack 1 lorsque la version du 8 août 2006 de cette mise à jour a été appliquée.
•	Pour une attaque Web, l'attaquant devrait héberger un site Web qui contiendrait une page Web spécialement conçue pour exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent des contenus ou des annonces provenant d'utilisateurs pourraient contenir un contenu malveillant susceptible d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l’utilisateur, généralement en l’incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site.
•	Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
•	La zone Sites sensibles contribue à réduire les attaques qui tenteraient d’exploiter cette vulnérabilité en empêchant l'utilisation d'Active Scripting lors de la lecture de messages électroniques au format HTML. Cependant, en cliquant sur un lien figurant dans un message, l'utilisateur s'expose toujours à une attaque Web. Par défaut, Outlook Express 6, Outlook 2002 et Outlook 2003 ouvrent les messages au format HTML dans la zone Sites sensibles. De plus, Outlook 2000 ouvre les messages HTML dans la zone Sites sensibles si la mise à jour de sécurité de messagerie Outlook a été installée. Outlook Express 5.5 Service Pack 2 ouvre les messages HTML dans la zone Sites sensibles si le Bulletin de sécurité Microsoft MS04-018 est installé.

Top of section

Solutions de contournement concernant la vulnérabilité de débordement de mémoire tampon en cas d'URL de grande taille - CVE-2006-3869 :

•

Désactiver le protocole HTTP 1.1 d'Internet Explorer.

Cette vulnérabilité ne peut être exploitée que lorsque l'utilisateur visite des sites utilisant HTTP 1.1 et de la compression. Pour désactiver HTTP 1.1 dans Internet Explorer, procédez comme suit :

•	Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l’onglet Avancé.
•	Décochez la case "Utiliser HTTP 1.1" et la case "Utiliser HTTP 1.1 avec une connexion par proxy ".
•	Cliquez sur Ok.
•	Impact de cette solution de contournement : Les sites Web ou les proxys nécessitant l'usage du protocole HTTP 1.1 ne seront plus accessibles par Internet Explorer.

Top of section

Forum aux questions sur la vulnérabilité de débordement de mémoire tampon en cas d'URL de grande taille - CVE-2006-3869 :

Quelle est la cause de cette vulnérabilité ?
Lorsqu'Internet Explorer doit traiter des URL de grande taille provenant de sites utilisant le protocole HTTP 1.1 et de la compression, il peut corrompre la mémoire système et permettre ainsi à un attaquant d'exécuter du code arbitraire.

Quels sont les systèmes les plus exposés à cette vulnérabilité ?
Seuls les systèmes Internet Explorer 6 Service Pack 1 sont exposés à cette vulnérabilité. Cette vulnérabilité ne permet l'exécution d'une action nuisible que si un utilisateur a ouvert une session et se trouve sur un site Web. C'est pourquoi les systèmes sur lesquels Internet Explorer 6 Service Pack 1 est fréquemment utilisé (comme les postes de travail des utilisateurs ou les serveurs de terminaux) sont les plus exposés à cette vulnérabilité.

Que fait cette mise à jour ?
La mise à jour supprime la vulnérabilité en modifiant la façon dont Internet Explorer traite les URL de grande taille lorsque l'utilisateur accède à des sites Web utilisant le protocole HTTP 1.1 et de la compression.

Lors de la parution de ce bulletin de sécurité, cette vulnérabilité avait-elle été dévoilée ?
Oui. Bien que Microsoft ait été tout d'abord informé de cette vulnérabilité par une divulgation responsable, son exploitabilité a été par la suite rendue publique.

Lors de la parution de ce bulletin de sécurité, Microsoft avait-il été informé d’une éventuelle exploitation de cette vulnérabilité ?
Non. À la publication de ce bulletin, bien que certains clients subissent des difficultés de compatibilité applicative dues à ce problème, Microsoft n'a pas eu connaissance d'informations qui pourraient indiquer que cette vulnérabilité a été utilisée pour attaquer des clients ou qu'un code preuve de concept a été publié.

Top of section

Vulnérabilité de débordement de mémoire tampon en cas d'URL de grande taille - CVE-2006-3873 :

Facteurs atténuants concernant la vulnérabilité de débordement de mémoire tampon en cas d'URL de grande taille - CVE-2006-3873 :

•	Cette vulnérabilité affecte uniquement Internet Explorer 6 Service Pack 1, Internet Explorer 5.01 Service Pack 4 ou Internet Explorer 6 pour Microsoft Windows Server 2003, si la version originale de cette mise à jour, publiée le 8 août 2006 ou la deuxième version de cette mise à jour, publiée le 24 août 2006, est appliquée.
•	Pour une attaque Web, l'attaquant devrait héberger un site Web qui contiendrait une page Web spécialement conçue pour exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent des contenus ou des annonces provenant d'utilisateurs pourraient contenir un contenu malveillant susceptible d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l’utilisateur, généralement en l’incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site.
•	Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
•	La zone Sites sensibles contribue à réduire les attaques qui tenteraient d’exploiter cette vulnérabilité en empêchant l'utilisation d'Active Scripting lors de la lecture de messages électroniques au format HTML. Cependant, en cliquant sur un lien figurant dans un message, l'utilisateur s'expose toujours à une attaque Web. Par défaut, Outlook Express 6, Outlook 2002 et Outlook 2003 ouvrent les messages au format HTML dans la zone Sites sensibles. De plus, Outlook 2000 ouvre les messages HTML dans la zone Sites sensibles si la mise à jour de sécurité de messagerie Outlook a été installée. Outlook Express 5.5 Service Pack 2 ouvre les messages HTML dans la zone Sites sensibles si le Bulletin de sécurité Microsoft MS04-018 est installé.

Top of section

Solutions de contournement concernant la vulnérabilité de débordement de mémoire tampon en cas d'URL de grande taille - CVE-2006-3873 :

•

Désactiver le protocole HTTP 1.1 d'Internet Explorer.

•	Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l’onglet Avancé.
•	Décochez la case "Utiliser HTTP 1.1" et la case "Utiliser HTTP 1.1 avec une connexion par proxy ".
•	Cliquez sur Ok.
•	Impact de cette solution de contournement : Les sites Web ou les proxys nécessitant l'usage du protocole HTTP 1.1 ne seront plus accessibles par Internet Explorer.

Top of section

Forum aux questions sur la vulnérabilité de débordement de mémoire tampon en cas d'URL de grande taille - CVE-2006-3873 :

Lors de la parution de ce bulletin de sécurité, cette vulnérabilité avait-elle été dévoilée ?
Non. Microsoft a été informé de cette vulnérabilité par une divulgation responsable.

Lors de la parution de ce bulletin de sécurité, Microsoft avait-il été informé d’une éventuelle exploitation de cette vulnérabilité ?
Non. Lors de la première publication de ce bulletin, Microsoft n’avait reçu aucune information indiquant que cette vulnérabilité avait été utilisée pour attaquer des clients, et n’avait pas la connaissance de la publication d’un tel code.

Top of section

Informations sur la mise à jour de sécurité

Logiciels concernés :

Pour obtenir des informations sur la mise à jour de sécurité spécifique aux Logiciels concernés, cliquez sur le lien approprié :

Windows Server 2003 (toutes les versions)

Conditions requises :
Cette mise à jour de sécurité nécessite Windows Server 2003 ou Windows Server 2003 Service Pack 1.

Remarque : Les mises à jour de sécurité pour Microsoft Windows Server 2003, Microsoft Windows Server 2003 Service Pack 1 et Microsoft Windows Server 2003 Édition x64 s'appliquent également à Microsoft Windows Server 2003 R2.

Inclusion dans les futurs Service Packs :
La mise à jour concernant ce problème sera incluse dans un futur Service Pack ou ensemble de mises à jour.

Informations concernant l’installation :

Cette mise à jour de sécurité prend en charge les options d’installation suivantes.

Options d'installation de la mise à jour de sécurité prises en charge
Option	Description
/help	Affiche les options de ligne de commande
Modes d'installation
/passive	Mode d'installation autonome. Aucune action de l'utilisateur n'est requise, mais le statut de l'installation s'affiche à l'écran. Si un redémarrage est requis à la fin de l'installation, une boîte de dialogue s'affichera, ainsi qu'un minuteur avertissant l'utilisateur que l'ordinateur redémarrera dans 30 secondes.
/quiet	Mode silencieux. Similaire au mode autonome, mais aucun statut ni message d'erreur ne s'affichent.
Options de redémarrage
/norestart	Ne redémarre pas l'ordinateur une fois l'installation terminée
/forcerestart	Redémarre l'ordinateur après l'installation et force les autres applications à se fermer lors de l'arrêt, sans enregistrer préalablement les fichiers ouverts.
/warnrestart[:x]	Affiche une boîte de dialogue ainsi qu'un minuteur, avertissant l'utilisateur que l'ordinateur redémarrera dans X secondes (le réglage par défaut est de 30 secondes). Conçu pour une utilisation avec les options /quiet ou /passive.
/promptrestart	Affiche une boîte de dialogue invitant l'utilisateur local à autoriser le redémarrage
Options spéciales
/overwriteoem	Écrase les fichiers OEM sans message d'invite
/nobackup	Ne crée pas de copie de sauvegarde des fichiers nécessaires à la désinstallation
/forceappsclose	Force d'autres programmes à se fermer lorsque l'ordinateur s'arrête
/log:path	Permet la redirection des fichiers journaux d'installation
/integrate:path	Intègre la mise à jour aux fichiers source Windows situés au chemin spécifié. Ces fichiers sont situés au chemin spécifié par cette option.
/extract[:path]	Extrait les fichiers sans exécuter le programme d'installation
/ER	Autorise un rapport d'erreurs étendu
/verbose	Autorise une journalisation détaillée. Crée le journal %Windir%\CabBuild.log pendant l'installation. Ce journal détaille les fichiers qui sont copiés. L'utilisation de cette option peut ralentir l'installation.

Remarque : Vous pouvez associer ces options dans une seule ligne de commande. Pour des raisons de compatibilité ascendante, la mise à jour de sécurité prend en charge la majorité des options des versions précédentes du programme d’installation. Pour plus d'informations sur les options d'installation prises en charge, consultez l'Article 262841 de la Base de connaissances Microsoft. Pour en savoir plus sur le programme d'installation Update.exe, rendez-vous sur le site Web Microsoft TechNet.

Informations sur le déploiement

Pour installer cette mise à jour de sécurité sans intervention de l'utilisateur, entrez la commande suivante à une invite de commande pour Windows Server 2003 :

Windowsserver2003-kb918899-V3-x86-enu /quiet

Remarque : L'utilisation de l'option /quiet supprimera tous les messages, y compris les messages d'échec. Les administrateurs doivent utiliser l'une des méthodes prises en charge pour vérifier le bon déroulement de l'installation lorsqu'ils utilisent l'option /quiet. Ils doivent également vérifier la présence de messages d'échec dans le fichier journal KB918899.log lorsqu'ils utilisent cette option.

Pour installer la mise à jour de sécurité sans forcer le redémarrage du système, utilisez la commande suivante à l'invite de commande pour Windows Server 2003 :

Windowsserver2003-kb918899-V3-x86-enu /norestart

Pour plus d’informations sur le déploiement des mises à jour de sécurité avec Software Update Services, consultez le site Web Software Update Services. Pour plus d’informations sur le déploiement de cette mise à jour de sécurité avec Windows Server Update Services, consultez le site Web Windows Server Update Services. Cette mise à jour sera également disponible sur le site Web Microsoft Update.

Nécessité de redémarrer

Redémarrez votre système après avoir appliqué cette mise à jour de sécurité.

Cette mise à jour de sécurité ne prend pas en charge le HotPatching. Pour plus d’informations sur le HotPatching, consultez l’article 897341 de la Base de connaissances Microsoft.

Informations de désinstallation

Pour supprimer cette mise à jour, utilisez Ajout/Suppression de programmes dans le Panneau de configuration.

Les administrateurs système peuvent également recourir à l'utilitaire Spuninst.exe pour supprimer cette mise à jour de sécurité. L’utilitaire Spuninst.exe se trouve dans le dossier %Windir%\$NTUninstallKB918899$\Spuninst.

Options Spuninst.exe prises en charge
Option	Description
/help	Affiche les options de ligne de commande
Modes d'installation
/passive	Mode d'installation autonome. Aucune action de l'utilisateur n'est requise, mais le statut de l'installation s'affiche à l'écran. Si un redémarrage est requis à la fin de l'installation, une boîte de dialogue s'affichera, ainsi qu'un minuteur avertissant l'utilisateur que l'ordinateur redémarrera dans 30 secondes.
/quiet	Mode silencieux. Similaire au mode autonome, mais aucun statut ni message d'erreur ne s'affichent.
Options de redémarrage
/norestart	Ne redémarre pas l'ordinateur une fois l'installation terminée
/forcerestart	Redémarre l'ordinateur après l'installation et force les autres applications à se fermer lors de l'arrêt, sans enregistrer préalablement les fichiers ouverts.
/warnrestart[:x]	Affiche une boîte de dialogue ainsi qu'un minuteur, avertissant l'utilisateur que l'ordinateur redémarrera dans X secondes (le réglage par défaut est de 30 secondes). Conçu pour une utilisation avec les options /quiet ou /passive.
/promptrestart	Affiche une boîte de dialogue invitant l'utilisateur local à autoriser le redémarrage
Options spéciales
/forceappsclose	Force d'autres programmes à se fermer lorsque l'ordinateur s'arrête
/log:path	Permet la redirection des fichiers journaux d'installation

Informations sur les fichiers

La version anglaise de cette mise à jour de sécurité possède les attributs de fichiers répertoriés dans le tableau ci-dessous. Les dates et heures de ces fichiers sont exprimées en temps universel coordonné (UTC). Lorsque vous affichez les informations des fichiers, les données sont converties en heure locale. Pour connaître le décalage entre l’heure UTC et l’heure locale, utilisez l’onglet Fuseau horaire de l’outil Date et heure du Panneau de configuration.

Windows Server 2003 Web Edition, Windows Server 2003 Standard Edition, Windows Server 2003 Datacenter Edition, Windows Server 2003 Enterprise Edition, Windows Small Business Server 2003, Windows Server 2003 Web Edition avec SP1, Windows Server 2003 Standard Edition avec SP1, Windows Server 2003 Enterprise Edition avec SP1, Windows Server 2003 Datacenter Edition avec SP1, Windows Server 2003 R2 Web Edition, Windows Server 2003 R2 Standard Edition, Windows Server 2003 R2 Datacenter Edition, Windows Server 2003 R2 Enterprise Edition et Windows Small Business Server 2003 R2 :

Nom de fichier	Version	Date	Heure	Taille	Dossier
Browseui.dll	6.0.3790.550	23-juin-2006	20:33	1,057,280	RTMGDR
Cdfview.dll	6.0.3790.550	23-juin-2006	20:33	147,968	RTMGDR
Danim.dll	6.3.1.148	23-juin-2006	20:33	993,280	RTMGDR
Digest.dll	6.0.3790.550	23-juin-2006	20:33	59,904	RTMGDR
Dxtmsft.dll	6.3.3790.550	23-juin-2006	20:33	351,744	RTMGDR
Dxtrans.dll	6.3.3790.550	23-juin-2006	20:33	205,312	RTMGDR
Iepeers.dll	6.0.3790.550	23-juin-2006	20:33	238,080	RTMGDR
Inseng.dll	6.0.3790.550	23-juin-2006	20:33	73,216	RTMGDR
Jsproxy.dll	6.0.3790.550	23-juin-2006	20:33	14,848	RTMGDR
Mshtml.dll	6.0.3790.576	16-août-2006	13:43	2,936,832	RTMGDR
Mshtmled.dll	6.0.3790.550	23-juin-2006	20:33	454,144	RTMGDR
Msrating.dll	6.0.3790.550	23-juin-2006	20:33	135,680	RTMGDR
Mstime.dll	6.0.3790.550	23-juin-2006	20:33	504,832	RTMGDR
Pngfilt.dll	5.2.3790.550	23-juin-2006	20:33	40,448	RTMGDR
Shdocvw.dll	6.0.3790.550	23-juin-2006	20:33	1,397,760	RTMGDR
Shlwapi.dll	6.0.3790.550	23-juin-2006	20:33	287,744	RTMGDR
Urlmon.dll	6.0.3790.588	1-sep-2006	13:45	528,384	RTMGDR
Wininet.dll	6.0.3790.550	23-juin-2006	20:33	626,176	RTMGDR
Browseui.dll	6.0.3790.550	23-juin-2006	20:54	1,057,280	RTMQFE
Cdfview.dll	6.0.3790.550	23-juin-2006	20:54	147,968	RTMQFE
Danim.dll	6.3.1.148	23-juin-2006	20:54	993,280	RTMQFE
Digest.dll	6.0.3790.550	23-juin-2006	20:54	59,904	RTMQFE
Dxtmsft.dll	6.3.3790.550	23-juin-2006	20:54	352,256	RTMQFE
Dxtrans.dll	6.3.3790.550	23-juin-2006	20:54	205,312	RTMQFE
Iepeers.dll	6.0.3790.550	23-juin-2006	20:54	239,104	RTMQFE
Inseng.dll	6.0.3790.550	23-juin-2006	20:54	73,216	RTMQFE
Jsproxy.dll	6.0.3790.550	23-juin-2006	20:54	14,848	RTMQFE
Mshtml.dll	6.0.3790.576	16-août-2006	13:36	2,938,368	RTMQFE
Mshtmled.dll	6.0.3790.550	23-juin-2006	20:54	454,144	RTMQFE
Msrating.dll	6.0.3790.550	23-juin-2006	20:54	135,680	RTMQFE
Mstime.dll	6.0.3790.550	23-juin-2006	20:54	504,832	RTMQFE
Pngfilt.dll	5.2.3790.550	23-juin-2006	20:54	40,448	RTMQFE
Shdocvw.dll	6.0.3790.550	23-juin-2006	20:54	1,399,296	RTMQFE
Shlwapi.dll	6.0.3790.550	23-juin-2006	20:54	287,744	RTMQFE
Urlmon.dll	6.0.3790.566	1-sep-2006	13:35	528,384	RTMQFE
Wininet.dll	6.0.3790.550	23-juin-2006	20:54	628,736	RTMQFE
Browseui.dll	6.0.3790.2732	23-juin-2006	20:45	1,036,800	SP1GDR
Danim.dll	6.3.1.148	23-juin-2006	20:45	1,058,304	SP1GDR
Dxtmsft.dll	6.3.3790.2732	23-juin-2006	20:45	363,008	SP1GDR
Dxtrans.dll	6.3.3790.2732	23-juin-2006	20:45	212,480	SP1GDR
Iedw.exe	5.2.3790.2732	23-juin-2006	12:32	17,920	SP1GDR
Iepeers.dll	6.0.3790.2732	23-juin-2006	20:45	253,952	SP1GDR
Jsproxy.dll	6.0.3790.2732	23-juin-2006	20:45	16,384	SP1GDR
Mshtml.dll	6.0.3790.2759	28-juil-2006	14:40	3,152,384	SP1GDR
Mstime.dll	6.0.3790.2732	23-juin-2006	20:45	537,088	SP1GDR
Pngfilt.dll	5.2.3790.2732	23-juin-2006	20:45	42,496	SP1GDR
Shdocvw.dll	6.0.3790.2732	28-juil-2006	18:17	1,513,984	SP1GDR
Shlwapi.dll	6.0.3790.2732	23-juin-2006	20:45	321,536	SP1GDR
Urlmon.dll	6.0.3790.2756	25-juil-2006	15:39	696,320	SP1GDR
W03a2409.dll	5.2.3790.2743	10-juil-2006	12:20	4,096	SP1GDR
Wininet.dll	6.0.3790.2732	23-juin-2006	20:45	662,528	SP1GDR
Browseui.dll	6.0.3790.2732	23-juin-2006	21:00	1,036,800	SP1QFE
Danim.dll	6.3.1.148	23-juin-2006	21:00	1,058,304	SP1QFE
Dxtmsft.dll	6.3.3790.2732	23-juin-2006	21:00	363,008	SP1QFE
Dxtrans.dll	6.3.3790.2732	23-juin-2006	21:00	212,480	SP1QFE
Iedw.exe	5.2.3790.2732	23-juin-2006	12:43	17,920	SP1QFE
Iepeers.dll	6.0.3790.2732	23-juin-2006	21:00	253,952	SP1QFE
Jsproxy.dll	6.0.3790.2732	23-juin-2006	21:00	16,384	SP1QFE
Mshtml.dll	6.0.3790.2759	28-juil-2006	14:29	3,153,920	SP1QFE
Mstime.dll	6.0.3790.2732	23-juin-2006	21:00	537,088	SP1QFE
Pngfilt.dll	5.2.3790.2732	23-juin-2006	21:00	42,496	SP1QFE
Shdocvw.dll	6.0.3790.2732	23-juin-2006	21:00	1,514,496	SP1QFE
Shlwapi.dll	6.0.3790.2732	23-juin-2006	21:00	321,536	SP1QFE
Urlmon.dll	6.0.3790.2756	25-juil-2006	17:40	696,832	SP1QFE
W03a2409.dll	5.2.3790.2743	10-juil-2006	12:39	26,624	SP1QFE
Wininet.dll	6.0.3790.2732	23-juin-2006	21:00	665,600	SP1QFE

Windows Server 2003 Enterprise Edition pour systèmes Itanium, Windows Server 2003 Datacenter Edition pour systèmes Itanium, Windows Server 2003 Enterprise Edition avec SP1 pour systèmes Itanium et Windows Server 2003 Datacenter Edition avec SP1 pour systèmes Itanium :

Nom de fichier	Version	Date	Heure	Taille	Processeur	Dossier
Browseui.dll	6.0.3790.550	28-juil-2006	19:22	2,536,960	IA-64	RTMGDR
Cdfview.dll	6.0.3790.550	28-juil-2006	19:22	303,616	IA-64	RTMGDR
Digest.dll	6.0.3790.550	28-juil-2006	19:22	141,312	IA-64	RTMGDR
Dxtmsft.dll	6.3.3790.550	28-juil-2006	19:22	940,032	IA-64	RTMGDR
Dxtrans.dll	6.3.3790.550	28-juil-2006	19:22	585,728	IA-64	RTMGDR
Iepeers.dll	6.0.3790.550	28-juil-2006	19:22	674,816	IA-64	RTMGDR
Inseng.dll	6.0.3790.550	28-juil-2006	19:22	217,600	IA-64	RTMGDR
Jsproxy.dll	6.0.3790.550	28-juil-2006	19:22	36,864	IA-64	RTMGDR
Mshtml.dll	6.0.3790.554	28-juil-2006	19:22	8,247,808	IA-64	RTMGDR
Mshtmled.dll	6.0.3790.550	28-juil-2006	19:22	1,409,536	IA-64	RTMGDR
Msrating.dll	6.0.3790.550	28-juil-2006	19:22	387,584	IA-64	RTMGDR
Mstime.dll	6.0.3790.550	28-juil-2006	19:22	1,666,560	IA-64	RTMGDR
Pngfilt.dll	5.2.3790.550	28-juil-2006	19:22	105,984	IA-64	RTMGDR
Shdocvw.dll	6.0.3790.550	28-juil-2006	19:22	3,374,080	IA-64	RTMGDR
Shlwapi.dll	6.0.3790.550	28-juil-2006	19:22	740,352	IA-64	RTMGDR
Urlmon.dll	6.0.3790.566	28-juil-2006	19:22	1,302,016	IA-64	RTMGDR
Wininet.dll	6.0.3790.550	28-juil-2006	19:22	1,506,304	IA-64	RTMGDR
Wbrowseui.dll	6.0.3790.550	28-juil-2006	19:22	1,057,280	x86	RTMGDR\WOW
Wcdfview.dll	6.0.3790.550	28-juil-2006	19:22	147,968	x86	RTMGDR\WOW
Wdanim.dll	6.3.1.148	28-juil-2006	19:22	993,280	x86	RTMGDR\WOW
Wdxtmsft.dll	6.3.3790.550	28-juil-2006	19:22	351,744	x86	RTMGDR\WOW
Wdxtrans.dll	6.3.3790.550	28-juil-2006	19:22	205,312	x86	RTMGDR\WOW
Wiepeers.dll	6.0.3790.550	28-juil-2006	19:22	238,080	x86	RTMGDR\WOW
Winseng.dll	6.0.3790.550	28-juil-2006	19:22	73,216	x86	RTMGDR\WOW
Wjsproxy.dll	6.0.3790.550	28-juil-2006	19:22	14,848	x86	RTMGDR\WOW
Wmshtml.dll	6.0.3790.554	28-juil-2006	19:22	2,936,832	x86	RTMGDR\WOW
Wmshtmled.dll	6.0.3790.550	28-juil-2006	19:22	454,144	x86	RTMGDR\WOW
Wmsrating.dll	6.0.3790.550	28-juil-2006	19:22	135,680	x86	RTMGDR\WOW
Wmstime.dll	6.0.3790.550	28-juil-2006	19:22	504,832	x86	RTMGDR\WOW
Wpngfilt.dll	5.2.3790.550	28-juil-2006	19:22	40,448	x86	RTMGDR\WOW
Wshdocvw.dll	6.0.3790.550	28-juil-2006	19:22	1,397,760	x86	RTMGDR\WOW
Wshlwapi.dll	6.0.3790.550	28-juil-2006	19:22	287,744	x86	RTMGDR\WOW
Wurlmon.dll	6.0.3790.566	28-juil-2006	19:22	528,384	x86	RTMGDR\WOW
Wwdigest.dll	6.0.3790.550	28-juil-2006	19:22	59,904	x86	RTMGDR\WOW
Wwininet.dll	6.0.3790.550	28-juil-2006	19:22	626,176	x86	RTMGDR\WOW
Browseui.dll	6.0.3790.550	28-juil-2006	19:22	2,538,496	IA-64	RTMQFE
Cdfview.dll	6.0.3790.550	28-juil-2006	19:22	303,616	IA-64	RTMQFE
Digest.dll	6.0.3790.550	28-juil-2006	19:22	141,312	IA-64	RTMQFE
Dxtmsft.dll	6.3.3790.550	28-juil-2006	19:22	941,056	IA-64	RTMQFE
Dxtrans.dll	6.3.3790.550	28-juil-2006	19:22	586,752	IA-64	RTMQFE
Iepeers.dll	6.0.3790.550	28-juil-2006	19:22	678,912	IA-64	RTMQFE
Inseng.dll	6.0.3790.550	28-juil-2006	19:22	217,600	IA-64	RTMQFE
Jsproxy.dll	6.0.3790.550	28-juil-2006	19:22	36,864	IA-64	RTMQFE
Mshtml.dll	6.0.3790.554	28-juil-2006	19:22	8,252,928	IA-64	RTMQFE
Mshtmled.dll	6.0.3790.550	28-juil-2006	19:22	1,409,536	IA-64	RTMQFE
Msrating.dll	6.0.3790.550	28-juil-2006	19:22	387,584	IA-64	RTMQFE
Mstime.dll	6.0.3790.550	28-juil-2006	19:22	1,666,560	IA-64	RTMQFE
Pngfilt.dll	5.2.3790.550	28-juil-2006	19:22	105,984	IA-64	RTMQFE
Shdocvw.dll	6.0.3790.550	28-juil-2006	19:22	3,379,712	IA-64	RTMQFE
Shlwapi.dll	6.0.3790.550	28-juil-2006	19:22	740,352	IA-64	RTMQFE
Urlmon.dll	6.0.3790.566	28-juil-2006	19:22	1,302,016	IA-64	RTMQFE
Wininet.dll	6.0.3790.550	28-juil-2006	19:22	1,511,424	IA-64	RTMQFE
Wbrowseui.dll	6.0.3790.550	28-juil-2006	19:22	1,057,280	x86	RTMQFE\WOW
Wcdfview.dll	6.0.3790.550	28-juil-2006	19:22	147,968	x86	RTMQFE\WOW
Wdanim.dll	6.3.1.148	28-juil-2006	19:22	993,280	x86	RTMQFE\WOW
Wdxtmsft.dll	6.3.3790.550	28-juil-2006	19:22	352,256	x86	RTMQFE\WOW
Wdxtrans.dll	6.3.3790.550	28-juil-2006	19:22	205,312	x86	RTMQFE\WOW
Wiepeers.dll	6.0.3790.550	28-juil-2006	19:22	239,104	x86	RTMQFE\WOW
Winseng.dll	6.0.3790.550	28-juil-2006	19:22	73,216	x86	RTMQFE\WOW
Wjsproxy.dll	6.0.3790.550	28-juil-2006	19:22	14,848	x86	RTMQFE\WOW
Wmshtml.dll	6.0.3790.554	28-juil-2006	19:22	2,938,368	x86	RTMQFE\WOW
Wmshtmled.dll	6.0.3790.550	28-juil-2006	19:22	454,144	x86	RTMQFE\WOW
Wmsrating.dll	6.0.3790.550	28-juil-2006	19:22	135,680	x86	RTMQFE\WOW
Wmstime.dll	6.0.3790.550	28-juil-2006	19:22	504,832	x86	RTMQFE\WOW
Wpngfilt.dll	5.2.3790.550	28-juil-2006	19:22	40,448	x86	RTMQFE\WOW
Wshdocvw.dll	6.0.3790.550	28-juil-2006	19:22	1,399,296	x86	RTMQFE\WOW
Wshlwapi.dll	6.0.3790.550	28-juil-2006	19:22	287,744	x86	RTMQFE\WOW
Wurlmon.dll	6.0.3790.566	28-juil-2006	19:22	528,384	x86	RTMQFE\WOW
Wwdigest.dll	6.0.3790.550	28-juil-2006	19:22	59,904	x86	RTMQFE\WOW
Wwininet.dll	6.0.3790.550	28-juil-2006	19:22	628,736	x86	RTMQFE\WOW
Browseui.dll	6.0.3790.2732	28-juil-2006	19:25	2,548,224	IA-64	SP1GDR
Dxtmsft.dll	6.3.3790.2732	28-juil-2006	19:25	1,009,664	IA-64	SP1GDR
Dxtrans.dll	6.3.3790.2732	28-juil-2006	19:25	641,024	IA-64	SP1GDR
Iepeers.dll	6.0.3790.2732	28-juil-2006	19:25	718,336	IA-64	SP1GDR
Jsproxy.dll	6.0.3790.2732	28-juil-2006	19:25	45,568	IA-64	SP1GDR
Mshtml.dll	6.0.3790.2759	28-juil-2006	19:25	9,357,824	IA-64	SP1GDR
Mstime.dll	6.0.3790.2732	28-juil-2006	19:25	1,847,296	IA-64	SP1GDR
Pngfilt.dll	5.2.3790.2732	28-juil-2006	19:25	116,736	IA-64	SP1GDR
Shdocvw.dll	6.0.3790.2732	28-juil-2006	19:25	3,683,840	IA-64	SP1GDR
Shlwapi.dll	6.0.3790.2732	28-juil-2006	19:25	824,320	IA-64	SP1GDR
Urlmon.dll	6.0.3790.2756	28-juil-2006	19:25	1,614,848	IA-64	SP1GDR
W03a2409.dll	5.2.3790.2743	28-juil-2006	19:25	3,072	IA-64	SP1GDR
Wininet.dll	6.0.3790.2732	28-juil-2006	19:25	1,698,304	IA-64	SP1GDR
Wbrowseui.dll	6.0.3790.2732	28-juil-2006	19:25	1,036,800	x86	SP1GDR\WOW
Wdanim.dll	6.3.1.148	28-juil-2006	19:25	1,058,304	x86	SP1GDR\WOW
Wdxtmsft.dll	6.3.3790.2732	28-juil-2006	19:25	363,008	x86	SP1GDR\WOW
Wdxtrans.dll	6.3.3790.2732	28-juil-2006	19:25	212,480	x86	SP1GDR\WOW
Wiedw.exe	5.2.3790.2732	28-juil-2006	19:25	17,920	x86	SP1GDR\WOW
Wiepeers.dll	6.0.3790.2732	28-juil-2006	19:25	253,952	x86	SP1GDR\WOW
Wjsproxy.dll	6.0.3790.2732	28-juil-2006	19:25	16,384	x86	SP1GDR\WOW
Wmshtml.dll	6.0.3790.2759	28-juil-2006	19:25	3,152,384	x86	SP1GDR\WOW
Wmstime.dll	6.0.3790.2732	28-juil-2006	19:25	537,088	x86	SP1GDR\WOW
Wpngfilt.dll	5.2.3790.2732	28-juil-2006	19:25	42,496	x86	SP1GDR\WOW
Wshdocvw.dll	6.0.3790.2732	28-juil-2006	19:25	1,513,984	x86	SP1GDR\WOW
Wshlwapi.dll	6.0.3790.2732	28-juil-2006	19:25	321,536	x86	SP1GDR\WOW
Wurlmon.dll	6.0.3790.2756	28-juil-2006	19:25	696,320	x86	SP1GDR\WOW
Ww03a2409.dll	5.2.3790.2743	28-juil-2006	19:25	4,096	x86	SP1GDR\WOW
Wwininet.dll	6.0.3790.2732	28-juil-2006	19:25	662,528	x86	SP1GDR\WOW
Browseui.dll	6.0.3790.2732	28-juil-2006	19:22	2,547,712	IA-64	SP1QFE
Dxtmsft.dll	6.3.3790.2732	28-juil-2006	19:22	1,009,664	IA-64	SP1QFE
Dxtrans.dll	6.3.3790.2732	28-juil-2006	19:22	641,024	IA-64	SP1QFE
Iepeers.dll	6.0.3790.2732	28-juil-2006	19:22	718,848	IA-64	SP1QFE
Jsproxy.dll	6.0.3790.2732	28-juil-2006	19:22	45,568	IA-64	SP1QFE
Mshtml.dll	6.0.3790.2759	28-juil-2006	19:22	9,360,384	IA-64	SP1QFE
Mstime.dll	6.0.3790.2732	28-juil-2006	19:22	1,847,296	IA-64	SP1QFE
Pngfilt.dll	5.2.3790.2732	28-juil-2006	19:22	116,736	IA-64	SP1QFE
Shdocvw.dll	6.0.3790.2732	28-juil-2006	19:22	3,684,864	IA-64	SP1QFE
Shlwapi.dll	6.0.3790.2732	28-juil-2006	19:22	824,320	IA-64	SP1QFE
Urlmon.dll	6.0.3790.2756	28-juil-2006	19:22	1,614,336	IA-64	SP1QFE
W03a2409.dll	5.2.3790.2743	28-juil-2006	19:22	25,600	IA-64	SP1QFE
Wininet.dll	6.0.3790.2732	28-juil-2006	19:22	1,704,448	IA-64	SP1QFE
Wbrowseui.dll	6.0.3790.2732	28-juil-2006	19:23	1,036,800	x86	SP1QFE\WOW
Wdanim.dll	6.3.1.148	28-juil-2006	19:23	1,058,304	x86	SP1QFE\WOW
Wdxtmsft.dll	6.3.3790.2732	28-juil-2006	19:23	363,008	x86	SP1QFE\WOW
Wdxtrans.dll	6.3.3790.2732	28-juil-2006	19:23	212,480	x86	SP1QFE\WOW
Wiedw.exe	5.2.3790.2732	28-juil-2006	19:23	17,920	x86	SP1QFE\WOW
Wiepeers.dll	6.0.3790.2732	28-juil-2006	19:23	253,952	x86	SP1QFE\WOW
Wjsproxy.dll	6.0.3790.2732	28-juil-2006	19:23	16,384	x86	SP1QFE\WOW
Wmshtml.dll	6.0.3790.2759	28-juil-2006	19:23	3,153,920	x86	SP1QFE\WOW
Wmstime.dll	6.0.3790.2732	28-juil-2006	19:23	537,088	x86	SP1QFE\WOW
Wpngfilt.dll	5.2.3790.2732	28-juil-2006	19:23	42,496	x86	SP1QFE\WOW
Wshdocvw.dll	6.0.3790.2732	28-juil-2006	19:23	1,514,496	x86	SP1QFE\WOW
Wshlwapi.dll	6.0.3790.2732	28-juil-2006	19:23	321,536	x86	SP1QFE\WOW
Wurlmon.dll	6.0.3790.2756	28-juil-2006	19:23	696,832	x86	SP1QFE\WOW
Ww03a2409.dll	5.2.3790.2743	28-juil-2006	19:23	26,624	x86	SP1QFE\WOW
Wwininet.dll	6.0.3790.2732	28-juil-2006	19:23	665,600	x86	SP1QFE\WOW

Windows Server 2003, Standard Édition x64 ; Windows Server 2003, Enterprise Édition x64 ; et Windows Server 2003, Datacenter Édition x64 ; Windows Server 2003 R2, Standard Édition x64 ; Windows Server 2003 R2, Enterprise Édition x64 et Windows Server 2003 R2, Datacenter Edition x64 :

Nom de fichier	Version	Date	Heure	Taille	Processeur	Dossier
Browseui.dll	6.0.3790.2732	28-juil-2006	19:19	1,604,608	x64	SP1GDR
Danim.dll	6.3.1.148	28-juil-2006	19:19	1,989,120	x64	SP1GDR
Dxtmsft.dll	6.3.3790.2732	28-juil-2006	19:19	561,664	x64	SP1GDR
Dxtrans.dll	6.3.3790.2732	28-juil-2006	19:19	332,288	x64	SP1GDR
Iepeers.dll	6.0.3790.2732	28-juil-2006	19:19	369,664	x64	SP1GDR
Jsproxy.dll	6.0.3790.2732	28-juil-2006	19:19	24,064	x64	SP1GDR
Mshtml.dll	6.0.3790.2759	28-juil-2006	19:19	5,992,448	x64	SP1GDR
Mstime.dll	6.0.3790.2732	28-juil-2006	19:19	900,608	x64	SP1GDR
Pngfilt.dll	5.2.3790.2732	28-juil-2006	19:19	64,000	x64	SP1GDR
Shdocvw.dll	6.0.3790.2732	28-juil-2006	19:19	2,435,072	x64	SP1GDR
Shlwapi.dll	6.0.3790.2732	28-juil-2006	19:19	621,568	x64	SP1GDR
Urlmon.dll	6.0.3790.2756	28-juil-2006	19:19	1,083,904	x64	SP1GDR
W03a2409.dll	5.2.3790.2743	28-juil-2006	19:19	4,608	x64	SP1GDR
Wininet.dll	6.0.3790.2732	28-juil-2006	19:19	1,187,840	x64	SP1GDR
Wbrowseui.dll	6.0.3790.2732	28-juil-2006	19:19	1,036,800	x86	SP1GDR\WOW
Wdanim.dll	6.3.1.148	28-juil-2006	19:19	1,058,304	x86	SP1GDR\WOW
Wdxtmsft.dll	6.3.3790.2732	28-juil-2006	19:19	363,008	x86	SP1GDR\WOW
Wdxtrans.dll	6.3.3790.2732	28-juil-2006	19:19	212,480	x86	SP1GDR\WOW
Wiedw.exe	5.2.3790.2732	28-juil-2006	19:19	17,920	x86	SP1GDR\WOW
Wiepeers.dll	6.0.3790.2732	28-juil-2006	19:19	253,952	x86	SP1GDR\WOW
Wjsproxy.dll	6.0.3790.2732	28-juil-2006	19:19	16,384	x86	SP1GDR\WOW
Wmshtml.dll	6.0.3790.2759	28-juil-2006	19:19	3,152,384	x86	SP1GDR\WOW
Wmstime.dll	6.0.3790.2732	28-juil-2006	19:19	537,088	x86	SP1GDR\WOW
Wpngfilt.dll	5.2.3790.2732	28-juil-2006	19:19	42,496	x86	SP1GDR\WOW
Wshdocvw.dll	6.0.3790.2732	28-juil-2006	19:19	1,513,984	x86	SP1GDR\WOW
Wshlwapi.dll	6.0.3790.2732	28-juil-2006	19:19	321,536	x86	SP1GDR\WOW
Wurlmon.dll	6.0.3790.2756	28-juil-2006	19:19	696,320	x86	SP1GDR\WOW
Ww03a2409.dll	5.2.3790.2743	28-juil-2006	19:19	4,096	x86	SP1GDR\WOW
Wwininet.dll	6.0.3790.2732	28-juil-2006	19:19	662,528	x86	SP1GDR\WOW
Browseui.dll	6.0.3790.2732	28-juil-2006	19:16	1,604,608	x64	SP1QFE
Danim.dll	6.3.1.148	28-juil-2006	19:16	1,989,120	x64	SP1QFE
Dxtmsft.dll	6.3.3790.2732	28-juil-2006	19:16	561,664	x64	SP1QFE
Dxtrans.dll	6.3.3790.2732	28-juil-2006	19:16	332,288	x64	SP1QFE
Iepeers.dll	6.0.3790.2732	28-juil-2006	19:16	370,176	x64	SP1QFE
Jsproxy.dll	6.0.3790.2732	28-juil-2006	19:16	24,064	x64	SP1QFE
Mshtml.dll	6.0.3790.2759	28-juil-2006	19:16	5,994,496	x64	SP1QFE
Mstime.dll	6.0.3790.2732	28-juil-2006	19:16	900,608	x64	SP1QFE
Pngfilt.dll	5.2.3790.2732	28-juil-2006	19:16	64,000	x64	SP1QFE
Shdocvw.dll	6.0.3790.2732	28-juil-2006	19:16	2,436,608	x64	SP1QFE
Shlwapi.dll	6.0.3790.2732	28-juil-2006	19:16	621,568	x64	SP1QFE
Urlmon.dll	6.0.3790.2756	28-juil-2006	19:16	1,083,904	x64	SP1QFE
W03a2409.dll	5.2.3790.2743	28-juil-2006	19:16	27,136	x64	SP1QFE
Wininet.dll	6.0.3790.2732	28-juil-2006	19:16	1,189,888	x64	SP1QFE
Wbrowseui.dll	6.0.3790.2732	28-juil-2006	19:16	1,036,800	x86	SP1QFE\WOW
Wdanim.dll	6.3.1.148	28-juil-2006	19:16	1,058,304	x86	SP1QFE\WOW
Wdxtmsft.dll	6.3.3790.2732	28-juil-2006	19:16	363,008	x86	SP1QFE\WOW
Wdxtrans.dll	6.3.3790.2732	28-juil-2006	19:16	212,480	x86	SP1QFE\WOW
Wiedw.exe	5.2.3790.2732	28-juil-2006	19:16	17,920	x86	SP1QFE\WOW
Wiepeers.dll	6.0.3790.2732	28-juil-2006	19:16	253,952	x86	SP1QFE\WOW
Wjsproxy.dll	6.0.3790.2732	28-juil-2006	19:16	16,384	x86	SP1QFE\WOW
Wmshtml.dll	6.0.3790.2759	28-juil-2006	19:16	3,153,920	x86	SP1QFE\WOW
Wmstime.dll	6.0.3790.2732	28-juil-2006	19:16	537,088	x86	SP1QFE\WOW
Wpngfilt.dll	5.2.3790.2732	28-juil-2006	19:16	42,496	x86	SP1QFE\WOW
Wshdocvw.dll	6.0.3790.2732	28-juil-2006	19:16	1,514,496	x86	SP1QFE\WOW
Wshlwapi.dll	6.0.3790.2732	28-juil-2006	19:16	321,536	x86	SP1QFE\WOW
Wurlmon.dll	6.0.3790.2756	28-juil-2006	19:16	696,832	x86	SP1QFE\WOW
Ww03a2409.dll	5.2.3790.2743	28-juil-2006	19:16	26,624	x86	SP1QFE\WOW
Wwininet.dll	6.0.3790.2732	28-juil-2006	19:16	665,600	x86	SP1QFE\WOW

Si vous avez déjà installé un correctif pour mettre à jour l’un de ces fichiers, le programme d’installation copie les fichiers RTMQFE, SP1QFE ou SP2QFE sur votre système. Dans le cas contraire, le programme d'installation copie les fichiers RTMGDR, SP1GDR ou SP2GDR sur votre système. Les mises à jour de sécurité peuvent ne pas contenir toutes les variations de ces fichiers. Pour plus d’informations sur ce sujet, consultez l’Article 824994 de la Base de connaissances Microsoft.

Pour en savoir plus sur le programme d'installation Update.exe, rendez-vous sur le site Web Microsoft TechNet.

Pour plus d'informations concernant la terminologie qui apparaît dans ce bulletin (telle que correctif), consultez l'Article 824684 de la Base de connaissances Microsoft.

Vérification de l'application de la mise à jour

•	Microsoft Baseline Security Analyzer

Pour vérifier qu'une mise à jour de sécurité a bien été appliquée sur un système affecté, vous pouvez utiliser l'outil Microsoft Baseline Security Analyzer (MBSA). MBSA permet aux administrateurs de rechercher les mises à jour manquantes et les erreurs de configuration de sécurité sur les systèmes locaux et distants. Pour plus d'informations sur l'outil MBSA, consultez le site Web Microsoft Baseline Security Analyzer.

•	Vérification de la version de fichier

Remarque : La procédure suivante peut varier en fonction de la version de Microsoft Windows installée sur votre ordinateur. Reportez-vous à votre documentation pour suivre la procédure.

1.	Cliquez sur Démarrer, puis sur Rechercher.
2.	Dans le volet Résultats de la recherche, cliquez sur Tous les fichiers et tous les dossiers, sous Assistant Recherche.
3.	Dans la zone Une partie ou l'ensemble du nom de fichier, saisissez un nom de fichier que vous aurez trouvé dans la table d'informations sur les fichiers appropriés, puis cliquez sur Rechercher.
4.	Dans la liste de fichiers, cliquez avec le bouton droit sur un nom de fichier en provenance de la table d'informations sur les fichiers, puis cliquez sur Propriétés. Remarque : Selon la version installée du système d'exploitation ou des programmes, il se peut que certains des fichiers énumérés dans la table d'informations sur les fichiers ne soient pas installés.
5.	Dans l’onglet Version, déterminez la version du fichier installée sur votre ordinateur et comparez-la à la version documentée dans la table d’informations sur les fichiers appropriée. Remarque : Les attributs autres que la version de fichier peuvent changer en cours d'installation. La comparaison d'autres attributs de fichiers avec les données de la table d'informations sur les fichiers ne constitue pas une méthode valable pour vérifier si la mise à jour a bien été appliquée. D'autre part, dans certains cas, il se peut que les fichiers soient renommés au cours de l'installation. Si les informations concernant le fichier ou la version n'existent pas, ayez recours à l'une des autres méthodes permettant de vérifier l'installation de la mise à jour.

•	Vérification de la clé de Registre

Vous pouvez également vérifier quels fichiers ont été installés par cette mise à jour en consultant la clé de Registre suivante :

Windows Server 2003 Web Edition ; Windows Server 2003 Standard Edition ; Windows Server 2003 Datacenter Edition ; Windows Server 2003 Enterprise Edition ; Windows Small Business Server 2003 ; Windows Server 2003 Web Edition avec SP1 ; Windows Server 2003 Standard Edition avec SP1 ; Windows Server 2003 Enterprise Edition avec SP1 ; Windows Server 2003 Datacenter Edition avec SP1 ; Windows Server 2003 R2 Web Edition ; Windows Server 2003 R2 Standard Edition ; Windows Server 2003 R2 Datacenter Edition ; Windows Server 2003 R2 Enterprise Edition ; Windows Small Business Server 2003 R2 ; Windows Server 2003 Enterprise Edition pour les systèmes Itanium ; Windows Server 2003 Datacenter Edition pour les systèmes Itanium ; Windows Server 2003 Enterprise Edition avec SP1 pour les systèmes Itanium ; Windows Server 2003 Datacenter Edition avec SP1 pour les systèmes Itanium ; Windows Server 2003 Standard Edition x64 ; Windows Server 2003 Enterprise Edition x64 et Windows Server 2003 Datacenter Edition x64 ; Windows Server 2003 R2 Standard Edition x64 ; Windows Server 2003 R2 Enterprise Edition x64 et Windows Server 2003 R2 Datacenter Edition x64 :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP2\KB918899\Filelist

Remarque : Il se peut que cette clé de registre ne contienne pas la liste complète des fichiers installés. D'autre part, cette clé de registre peut ne pas être créée correctement si un administrateur ou un fabricant OEM intègre ou diffuse la mise à jour de sécurité 918899 dans les fichiers source d'installation de Windows.

Top of section

Windows XP Service Pack 2 (toutes versions) et Windows XP Professionnel Édition x64

Cette mise à jour nécessite Microsoft Windows XP Service Pack 2. Pour plus d'informations, consultez l'Article 322389 de la Base de connaissances Microsoft.

Remarque : Pour Windows XP Professionnel Édition x64, cette mise à jour de sécurité est identique à celle de Windows Server 2003 Édition x64.

Inclusion dans les futurs Service Packs :
La mise à jour concernant ce problème sera incluse dans un futur Service Pack ou ensemble de mises à jour.

Informations concernant l’installation :

Cette mise à jour de sécurité prend en charge les options d’installation suivantes.

Options d'installation de la mise à jour de sécurité prises en charge
Option	Description
/help	Affiche les options de ligne de commande
Modes d'installation
/passive	Mode d'installation autonome. Aucune action de l'utilisateur n'est requise, mais le statut de l'installation s'affiche à l'écran. Si un redémarrage est requis à la fin de l'installation, une boîte de dialogue s'affichera, ainsi qu'un minuteur avertissant l'utilisateur que l'ordinateur redémarrera dans 30 secondes.
/quiet	Mode silencieux. Similaire au mode autonome, mais aucun statut ni message d'erreur ne s'affichent.
Options de redémarrage
/norestart	Ne redémarre pas l'ordinateur une fois l'installation terminée
/forcerestart	Redémarre l'ordinateur après l'installation et force les autres applications à se fermer lors de l'arrêt, sans enregistrer préalablement les fichiers ouverts.
/warnrestart[:x]	Affiche une boîte de dialogue ainsi qu'un minuteur, avertissant l'utilisateur que l'ordinateur redémarrera dans X secondes (le réglage par défaut est de 30 secondes). Conçu pour une utilisation avec les options /quiet ou /passive.
/promptrestart	Affiche une boîte de dialogue invitant l'utilisateur local à autoriser le redémarrage
Options spéciales
/overwriteoem	Écrase les fichiers OEM sans message d'invite
/nobackup	Ne crée pas de copie de sauvegarde des fichiers nécessaires à la désinstallation
/forceappsclose	Force d'autres programmes à se fermer lorsque l'ordinateur s'arrête
/log:path	Permet la redirection des fichiers journaux d'installation
/integrate:path	Intègre la mise à jour aux fichiers source Windows situés au chemin spécifié. Ces fichiers sont situés au chemin spécifié par cette option.
/extract[:path]	Extrait les fichiers sans exécuter le programme d'installation
/ER	Autorise un rapport d'erreurs étendu
/verbose	Autorise une journalisation détaillée. Crée le journal %Windir%\CabBuild.log pendant l'installation. Ce journal détaille les fichiers qui sont copiés. L'utilisation de cette option peut ralentir l'installation.

Remarque : Vous pouvez associer ces options dans une seule ligne de commande. Pour des raisons de compatibilité ascendante, la mise à jour de sécurité prend en charge les options des versions précédentes du programme d’installation. Pour plus d'informations sur les options d'installation prises en charge, consultez l'Article 262841 de la Base de connaissances Microsoft. Pour en savoir plus sur le programme d'installation Update.exe, rendez-vous sur le site Web Microsoft TechNet.

Informations sur le déploiement

Pour installer cette mise à jour de sécurité sans intervention de l'utilisateur, entrez la commande suivante à une invite de commande Microsoft Windows XP :

Windowsxp-kb918899-x86-enu /quiet

Pour installer la mise à jour de sécurité sans forcer le redémarrage du système, entrez la commande suivante à l'invite de commande de Windows 2000 Service Pack 4 :

Windowsxp-kb918899-x86-enu /norestart

Nécessité de redémarrer

Redémarrez votre système après avoir appliqué cette mise à jour de sécurité.

Informations de désinstallation

Pour supprimer cette mise à jour de sécurité, sélectionnez Ajout/Suppression de programmes dans le Panneau de configuration.

Options Spuninst.exe prises en charge
Option	Description
/help	Affiche les options de ligne de commande
Modes d'installation
/passive	Mode d'installation autonome. Aucune action de l'utilisateur n'est requise, mais le statut de l'installation s'affiche à l'écran. Si un redémarrage est requis à la fin de l'installation, une boîte de dialogue s'affichera, ainsi qu'un minuteur avertissant l'utilisateur que l'ordinateur redémarrera dans 30 secondes.
/quiet	Mode silencieux. Similaire au mode autonome, mais aucun statut ni message d'erreur ne s'affichent.
Options de redémarrage
/norestart	Ne redémarre pas l'ordinateur une fois l'installation terminée
/forcerestart	Redémarre l'ordinateur après l'installation et force les autres applications à se fermer lors de l'arrêt, sans enregistrer préalablement les fichiers ouverts.
/warnrestart[:x]	Affiche une boîte de dialogue ainsi qu'un minuteur, avertissant l'utilisateur que l'ordinateur redémarrera dans X secondes (le réglage par défaut est de 30 secondes). Conçu pour une utilisation avec les options /quiet ou /passive.
/promptrestart	Affiche une boîte de dialogue invitant l'utilisateur local à autoriser le redémarrage
Options spéciales
/forceappsclose	Force d'autres programmes à se fermer lorsque l'ordinateur s'arrête
/log:path	Permet la redirection des fichiers journaux d'installation

Informations sur les fichiers

Windows XP Édition familiale Service Pack 2, Windows XP Professional Service Pack 2, Windows XP Édition Tablet PC 2005 et Windows XP Media Center Edition :

Nom de fichier	Version	Date	Heure	Taille	Dossier
Browseui.dll	6.0.2900.2937	23-juin-2006	11:02	1,022,976	SP2GDR
Cdfview.dll	6.0.2900.2937	23-juin-2006	11:02	151,040	SP2GDR
Danim.dll	6.3.1.148	23-juin-2006	11:02	1,054,208	SP2GDR
Dxtmsft.dll	6.3.2900.2937	23-juin-2006	11:02	357,888	SP2GDR
Dxtrans.dll	6.3.2900.2937	23-juin-2006	11:02	205,312	SP2GDR
Extmgr.dll	6.0.2900.2937	23-juin-2006	11:02	55,808	SP2GDR
Iedw.exe	5.1.2600.2937	23-juin-2006	08:35	18,432	SP2GDR
Iepeers.dll	6.0.2900.2937	23-juin-2006	11:02	251,392	SP2GDR
Inseng.dll	6.0.2900.2937	23-juin-2006	11:02	96,256	SP2GDR
Jsproxy.dll	6.0.2900.2937	23-juin-2006	11:02	16,384	SP2GDR
Mshtml.dll	6.0.2900.2963	28-juil-2006	11:28	3,054,080	SP2GDR
Mshtmled.dll	6.0.2900.2937	23-juin-2006	11:02	448,512	SP2GDR
Msrating.dll	6.0.2900.2937	23-juin-2006	11:02	146,432	SP2GDR
Mstime.dll	6.0.2900.2937	23-juin-2006	11:02	532,480	SP2GDR
Pngfilt.dll	6.0.2900.2937	23-juin-2006	11:02	39,424	SP2GDR
Shdocvw.dll	6.0.2900.2937	23-juin-2006	11:02	1,494,016	SP2GDR
Shlwapi.dll	6.0.2900.2937	23-juin-2006	11:02	474,112	SP2GDR
Urlmon.dll	6.0.2900.2960	25-juil-2006	20:33	613,888	SP2GDR
Wininet.dll	6.0.2900.2937	23-juin-2006	11:02	658,944	SP2GDR
Xpsp3res.dll	5.1.2600.2937	23-juin-2006	08:34	24,576	SP2GDR
Browseui.dll	6.0.2900.2937	23-juin-2006	11:25	1,022,976	SP2QFE
Cdfview.dll	6.0.2900.2937	23-juin-2006	11:25	151,040	SP2QFE
Danim.dll	6.3.1.148	23-juin-2006	11:25	1,054,208	SP2QFE
Dxtmsft.dll	6.3.2900.2937	23-juin-2006	11:25	357,888	SP2QFE
Dxtrans.dll	6.3.2900.2937	23-juin-2006	11:25	205,312	SP2QFE
Extmgr.dll	6.0.2900.2937	23-juin-2006	11:25	55,808	SP2QFE
Iedw.exe	5.1.2600.2937	23-juin-2006	08:48	18,432	SP2QFE
Iepeers.dll	6.0.2900.2937	23-juin-2006	11:25	251,904	SP2QFE
Inseng.dll	6.0.2900.2937	23-juin-2006	11:25	96,256	SP2QFE
Jsproxy.dll	6.0.2900.2937	23-juin-2006	11:25	15,872	SP2QFE
Mshtml.dll	6.0.2900.2963	28-juil-2006	11:30	3,058,176	SP2QFE
Mshtmled.dll	6.0.2900.2937	23-juin-2006	11:25	448,512	SP2QFE
Msrating.dll	6.0.2900.2937	23-juin-2006	11:25	146,432	SP2QFE
Mstime.dll	6.0.2900.2937	23-juin-2006	11:25	532,480	SP2QFE
Pngfilt.dll	6.0.2900.2937	23-juin-2006	11:25	39,424	SP2QFE
Shdocvw.dll	6.0.2900.2937	23-juin-2006	11:25	1,497,088	SP2QFE
Shlwapi.dll	6.0.2900.2937	23-juin-2006	11:25	474,112	SP2QFE
Urlmon.dll	6.0.2900.2960	25-juil-2006	20:42	615,424	SP2QFE
Wininet.dll	6.0.2900.2937	23-juin-2006	11:25	664,576	SP2QFE
Xpsp3res.dll	5.1.2600.2937	23-juin-2006	08:47	90,624	SP2QFE
Updspapi.dll	6.2.29.0	19-jan-2006	19:29	371,424

Windows XP Professionnel x64 :

Nom de fichier	Version	Date	Heure	Taille	Processeur	Dossier
Browseui.dll	6.0.3790.2732	28-juil-2006	19:19	1,604,608	x64	SP1GDR
Danim.dll	6.3.1.148	28-juil-2006	19:19	1,989,120	x64	SP1GDR
Dxtmsft.dll	6.3.3790.2732	28-juil-2006	19:19	561,664	x64	SP1GDR
Dxtrans.dll	6.3.3790.2732	28-juil-2006	19:19	332,288	x64	SP1GDR
Iepeers.dll	6.0.3790.2732	28-juil-2006	19:19	369,664	x64	SP1GDR
Jsproxy.dll	6.0.3790.2732	28-juil-2006	19:19	24,064	x64	SP1GDR
Mshtml.dll	6.0.3790.2759	28-juil-2006	19:19	5,992,448	x64	SP1GDR
Mstime.dll	6.0.3790.2732	28-juil-2006	19:19	900,608	x64	SP1GDR
Pngfilt.dll	5.2.3790.2732	28-juil-2006	19:19	64,000	x64	SP1GDR
Shdocvw.dll	6.0.3790.2732	28-juil-2006	19:19	2,435,072	x64	SP1GDR
Shlwapi.dll	6.0.3790.2732	28-juil-2006	19:19	621,568	x64	SP1GDR
Urlmon.dll	6.0.3790.2756	28-juil-2006	19:19	1,083,904	x64	SP1GDR
W03a2409.dll	5.2.3790.2743	28-juil-2006	19:19	4,608	x64	SP1GDR
Wininet.dll	6.0.3790.2732	28-juil-2006	19:19	1,187,840	x64	SP1GDR
Wbrowseui.dll	6.0.3790.2732	28-juil-2006	19:19	1,036,800	x86	SP1GDR\WOW
Wdanim.dll	6.3.1.148	28-juil-2006	19:19	1,058,304	x86	SP1GDR\WOW
Wdxtmsft.dll	6.3.3790.2732	28-juil-2006	19:19	363,008	x86	SP1GDR\WOW
Wdxtrans.dll	6.3.3790.2732	28-juil-2006	19:19	212,480	x86	SP1GDR\WOW
Wiedw.exe	5.2.3790.2732	28-juil-2006	19:19	17,920	x86	SP1GDR\WOW
Wiepeers.dll	6.0.3790.2732	28-juil-2006	19:19	253,952	x86	SP1GDR\WOW
Wjsproxy.dll	6.0.3790.2732	28-juil-2006	19:19	16,384	x86	SP1GDR\WOW
Wmshtml.dll	6.0.3790.2759	28-juil-2006	19:19	3,152,384	x86	SP1GDR\WOW
Wmstime.dll	6.0.3790.2732	28-juil-2006	19:19	537,088	x86	SP1GDR\WOW
Wpngfilt.dll	5.2.3790.2732	28-juil-2006	19:19	42,496	x86	SP1GDR\WOW
Wshdocvw.dll	6.0.3790.2732	28-juil-2006	19:19	1,513,984	x86	SP1GDR\WOW
Wshlwapi.dll	6.0.3790.2732	28-juil-2006	19:19	321,536	x86	SP1GDR\WOW
Wurlmon.dll	6.0.3790.2756	28-juil-2006	19:19	696,320	x86	SP1GDR\WOW
Ww03a2409.dll	5.2.3790.2743	28-juil-2006	19:19	4,096	x86	SP1GDR\WOW
Wwininet.dll	6.0.3790.2732	28-juil-2006	19:19	662,528	x86	SP1GDR\WOW
Browseui.dll	6.0.3790.2732	28-juil-2006	19:16	1,604,608	x64	SP1QFE
Danim.dll	6.3.1.148	28-juil-2006	19:16	1,989,120	x64	SP1QFE
Dxtmsft.dll	6.3.3790.2732	28-juil-2006	19:16	561,664	x64	SP1QFE
Dxtrans.dll	6.3.3790.2732	28-juil-2006	19:16	332,288	x64	SP1QFE
Iepeers.dll	6.0.3790.2732	28-juil-2006	19:16	370,176	x64	SP1QFE
Jsproxy.dll	6.0.3790.2732	28-juil-2006	19:16	24,064	x64	SP1QFE
Mshtml.dll	6.0.3790.2759	28-juil-2006	19:16	5,994,496	x64	SP1QFE
Mstime.dll	6.0.3790.2732	28-juil-2006	19:16	900,608	x64	SP1QFE
Pngfilt.dll	5.2.3790.2732	28-juil-2006	19:16	64,000	x64	SP1QFE
Shdocvw.dll	6.0.3790.2732	28-juil-2006	19:16	2,436,608	x64	SP1QFE
Shlwapi.dll	6.0.3790.2732	28-juil-2006	19:16	621,568	x64	SP1QFE
Urlmon.dll	6.0.3790.2756	28-juil-2006	19:16	1,083,904	x64	SP1QFE
W03a2409.dll	5.2.3790.2743	28-juil-2006	19:16	27,136	x64	SP1QFE
Wininet.dll	6.0.3790.2732	28-juil-2006	19:16	1,189,888	x64	SP1QFE
Wbrowseui.dll	6.0.3790.2732	28-juil-2006	19:16	1,036,800	x86	SP1QFE\WOW
Wdanim.dll	6.3.1.148	28-juil-2006	19:16	1,058,304	x86	SP1QFE\WOW
Wdxtmsft.dll	6.3.3790.2732	28-juil-2006	19:16	363,008	x86	SP1QFE\WOW
Wdxtrans.dll	6.3.3790.2732	28-juil-2006	19:16	212,480	x86	SP1QFE\WOW
Wiedw.exe	5.2.3790.2732	28-juil-2006	19:16	17,920	x86	SP1QFE\WOW
Wiepeers.dll	6.0.3790.2732	28-juil-2006	19:16	253,952	x86	SP1QFE\WOW
Wjsproxy.dll	6.0.3790.2732	28-juil-2006	19:16	16,384	x86	SP1QFE\WOW
Wmshtml.dll	6.0.3790.2759	28-juil-2006	19:16	3,153,920	x86	SP1QFE\WOW
Wmstime.dll	6.0.3790.2732	28-juil-2006	19:16	537,088	x86	SP1QFE\WOW
Wpngfilt.dll	5.2.3790.2732	28-juil-2006	19:16	42,496	x86	SP1QFE\WOW
Wshdocvw.dll	6.0.3790.2732	28-juil-2006	19:16	1,514,496	x86	SP1QFE\WOW
Wshlwapi.dll	6.0.3790.2732	28-juil-2006	19:16	321,536	x86	SP1QFE\WOW
Wurlmon.dll	6.0.3790.2756	28-juil-2006	19:16	696,832	x86	SP1QFE\WOW
Ww03a2409.dll	5.2.3790.2743	28-juil-2006	19:16	26,624	x86	SP1QFE\WOW
Wwininet.dll	6.0.3790.2732	28-juil-2006	19:16	665,600	x86	SP1QFE\WOW

Pour en savoir plus sur le programme d'installation Update.exe, rendez-vous sur le site Web Microsoft TechNet.

Pour plus d'informations concernant la terminologie qui apparaît dans ce bulletin (telle que correctif), consultez l'Article 824684 de la Base de connaissances Microsoft.

Vérification de l'application de la mise à jour

•	Microsoft Baseline Security Analyzer

•	Vérification de la version de fichier

Remarque : La procédure suivante peut varier en fonction de la version de Microsoft Windows installée sur votre ordinateur. Reportez-vous à votre documentation pour suivre la procédure.

1.	Cliquez sur Démarrer, puis sur Rechercher.
2.	Dans le volet Résultats de la recherche, cliquez sur Tous les fichiers et tous les dossiers, sous Assistant Recherche.
3.	Dans la zone Une partie ou l'ensemble du nom de fichier, saisissez un nom de fichier que vous aurez trouvé dans la table d'informations sur les fichiers appropriés, puis cliquez sur Rechercher.
4.	Dans la liste de fichiers, cliquez avec le bouton droit sur un nom de fichier en provenance de la table d'informations sur les fichiers, puis cliquez sur Propriétés. Remarque : Selon la version installée du système d'exploitation ou des programmes, il se peut que certains des fichiers énumérés dans la table d'informations sur les fichiers ne soient pas installés.
5.	Dans l’onglet Version, déterminez la version du fichier installée sur votre ordinateur et comparez-la à la version documentée dans la table d’informations sur les fichiers appropriée. Remarque : Les attributs autres que la version de fichier peuvent changer en cours d'installation. La comparaison d'autres attributs de fichiers avec les données de la table d'informations sur les fichiers ne constitue pas une méthode valable pour vérifier si la mise à jour a bien été appliquée. D'autre part, dans certains cas, il se peut que les fichiers soient renommés au cours de l'installation. Si les informations concernant le fichier ou la version n'existent pas, ayez recours à l'une des autres méthodes permettant de vérifier l'installation de la mise à jour.

•	Vérification de la clé de Registre

Vous pouvez également vérifier quels fichiers ont été installés par cette mise à jour en consultant les clés de Registre suivantes :

Windows XP Édition familiale Service Pack 2, Windows XP Professional Service Pack 2, Windows XP Édition Tablet PC 2005 et Windows XP Media Center Edition :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP3\KB918899\Filelist

Windows XP Professionnel Édition x64 :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP Version 2003\SP2\KB918899\Filelist

Remarque : Il se peut que ces clés de registre ne contiennent pas la liste complète des fichiers installés. D'autre part, ces clés peuvent ne pas avoir être créées correctement si un administrateur ou un fabricant OEM intègre ou diffuse la mise à jour de sécurité 918899 dans les fichiers source d'installation de Windows.

Top of section

Internet Explorer 6 Service Pack 1 pour Windows XP Service Pack 1 (toutes versions) et Windows 2000 (toutes versions)

Conditions requises :
Pour installer les versions Internet Explorer 6 Service Pack 1 (SP1) de cette mise à jour, vous devez exécuter Internet Explorer 6 SP1 (version 6.00.2800.1106) sur une des versions suivantes de Windows :

•	Microsoft Windows 2000 Service Pack 4
•	Microsoft Small Business Server 2000 Service Pack 1a (SP1a) ou Small Business Server 2000 exécutant Windows 2000 Server Service Pack 4 (SP4).
•	Microsoft Windows XP Service Pack 1

Microsoft a testé les logiciels mentionnés afin de déterminer s'ils sont concernés. D'autres versions ne prennent plus en charge les mises à jour de sécurité ou ne sont pas affectées. Consultez le site Web Politique de Support Microsoft afin de connaître la politique de support Microsoft pour votre produit et votre version.

Pour plus d'informations sur l'obtention du dernier Service Pack, consultez l'article 260910 de la Base de connaissances Microsoft.

Inclusion dans les futurs Service Packs :
Le correctif de ce problème sera inclus dans un futur ensemble de mises à jour.

Informations concernant l’installation :

Cette mise à jour de sécurité prend en charge les options d’installation suivantes.

Options d'installation de la mise à jour de sécurité prises en charge
Option	Description
/help	Affiche les options de ligne de commande
Modes d'installation
/passive	Mode d'installation autonome. Aucune action de l'utilisateur n'est requise, mais le statut de l'installation s'affiche à l'écran. Si un redémarrage est requis à la fin de l'installation, une boîte de dialogue s'affichera, ainsi qu'un minuteur avertissant l'utilisateur que l'ordinateur redémarrera dans 30 secondes.
/quiet	Mode silencieux. Similaire au mode autonome, mais aucun statut ni message d'erreur ne s'affichent.
Options de redémarrage
/norestart	Ne redémarre pas l'ordinateur une fois l'installation terminée
/forcerestart	Redémarre l'ordinateur après l'installation et force les autres applications à se fermer lors de l'arrêt, sans enregistrer préalablement les fichiers ouverts.
/warnrestart[:x]	Affiche une boîte de dialogue ainsi qu'un minuteur, avertissant l'utilisateur que l'ordinateur redémarrera dans X secondes (le réglage par défaut est de 30 secondes). Conçu pour une utilisation avec les options /quiet ou /passive.
/promptrestart	Affiche une boîte de dialogue invitant l'utilisateur local à autoriser le redémarrage
Options spéciales
/overwriteoem	Écrase les fichiers OEM sans message d'invite
/nobackup	Ne crée pas de copie de sauvegarde des fichiers nécessaires à la désinstallation
/forceappsclose	Force d'autres programmes à se fermer lorsque l'ordinateur s'arrête
/log:path	Permet la redirection des fichiers journaux d'installation
/extract[:path]	Extrait les fichiers sans exécuter le programme d'installation
/ER	Autorise un rapport d'erreurs étendu
/verbose	Autorise une journalisation détaillée. Crée le journal %Windir%\CabBuild.log pendant l'installation. Ce journal détaille les fichiers qui sont copiés. L'utilisation de cette option peut ralentir l'installation.

Informations sur le déploiement

Pour installer cette mise à jour de sécurité sans intervention de l'utilisateur, utilisez la commande suivante à une invite de commande Windows XP SP1 :

IE6.0sp1-KB918899-Windows-2000-XP-V3-x86-enu /quiet

Pour installer la mise à jour de sécurité sans forcer le redémarrage du système, entrez la commande suivante à l'invite de commande de Windows 2000 Service Pack 4 :

IE6.0sp1-KB918899-Windows-2000-XP-V3-x86-enu /norestart

Nécessité de redémarrer

Redémarrez votre système après avoir appliqué cette mise à jour de sécurité.

Informations de désinstallation

Pour supprimer cette mise à jour de sécurité, sélectionnez Ajout/Suppression de programmes dans le Panneau de configuration.

Options Spuninst.exe prises en charge
Option	Description
/help	Affiche les options de ligne de commande
Modes d'installation
/passive	Mode d'installation autonome. Aucune action de l'utilisateur n'est requise, mais le statut de l'installation s'affiche à l'écran. Si un redémarrage est requis à la fin de l'installation, une boîte de dialogue s'affichera, ainsi qu'un minuteur avertissant l'utilisateur que l'ordinateur redémarrera dans 30 secondes.
/quiet	Mode silencieux. Similaire au mode autonome, mais aucun statut ni message d'erreur ne s'affichent.
Options de redémarrage
/norestart	Ne redémarre pas l'ordinateur une fois l'installation terminée
/forcerestart	Redémarre l'ordinateur après l'installation et force les autres applications à se fermer lors de l'arrêt, sans enregistrer préalablement les fichiers ouverts.
/warnrestart[:x]	Affiche une boîte de dialogue ainsi qu'un minuteur, avertissant l'utilisateur que l'ordinateur redémarrera dans X secondes (le réglage par défaut est de 30 secondes). Conçu pour une utilisation avec les options /quiet ou /passive.
/promptrestart	Affiche une boîte de dialogue invitant l'utilisateur local à autoriser le redémarrage
Options spéciales
/forceappsclose	Force d'autres programmes à se fermer lorsque l'ordinateur s'arrête
/log:path	Permet la redirection des fichiers journaux d'installation

Informations sur les fichiers

Windows XP Édition familiale Service Pack 1, Windows XP Professionnel Service Pack 1, Windows XP Édition Tablet PC, Windows XP Media Center Edition, Windows 2000 Service Pack 4 et Small Business Server 2000 :

Nom de fichier	Version	Date	Heure	Taille	Dossier
Browseui.dll	6.0.2800.1692	18-juin-2005	07:16	1,017,856	RTMGDR
Cdfview.dll	6.0.2800.1612	08-déc-2004	01:43	143,360	RTMGDR
Danim.dll	6.3.1.148	21-oct-2005	03:08	986,112	RTMGDR
Dxtmsft.dll	6.3.2800.1557	09-juin-2006	21:35	351,744	RTMGDR
Dxtrans.dll	6.3.2800.1557	09-juin-2006	21:35	192,512	RTMGDR
Iepeers.dll	6.0.2800.1534	24-fév-2006	22:24	236,032	RTMGDR
Inseng.dll	6.0.2800.1469	26-août-2004	17:53	69,632	RTMGDR
Jsproxy.dll	6.0.2800.1548	28-avr-2006	17:58	12,288	RTMGDR
Mshtml.dll	6.0.2800.1561	30-juin-2006	17:28	2,703,872	RTMGDR
Msrating.dll	6.0.2800.1623	24-fév-2005	19:54	132,096	RTMGDR
Mstime.dll	6.0.2800.1537	03-mar-2006	23:13	498,176	RTMGDR
Pngfilt.dll	6.0.2800.1505	27-avr-2005	17:53	34,816	RTMGDR
Shdocvw.dll	6.0.2800.1849	26-mai-2006	22:40	1,339,904	RTMGDR
Shlwapi.dll	6.0.2800.1740	01-sep-2005	01:49	409,088	RTMGDR
Urlmon.dll	6.0.2800.1572	31-août-2006	03:42	461,824	RTMGDR
Wininet.dll	6.0.2800.1559	23-juin-2006	18:33	575,488	RTMGDR
Browseui.dll	6.0.2800.1692	18-juin-2005	07:16	1,017,856	RTMQFE
Cdfview.dll	6.0.2800.1612	08-déc-2004	01:43	143,360	RTMQFE
Danim.dll	6.3.1.148	21-oct-2005	03:08	986,112	RTMQFE
Dxtmsft.dll	6.3.2800.1558	09-juin-2006	21:29	351,744	RTMQFE
Dxtrans.dll	6.3.2800.1558	09-juin-2006	21:29	192,512	RTMQFE
Iepeers.dll	6.0.2800.1535	24-fév-2006	22:26	236,544	RTMQFE
Inseng.dll	6.0.2800.1475	24-sep-2004	22:07	69,632	RTMQFE
Jsproxy.dll	6.0.2800.1549	28-avr-2006	17:48	12,288	RTMQFE
Mshtml.dll	6.0.2800.1562	30-juin-2006	17:16	2,710,528	RTMQFE
Msrating.dll	6.0.2800.1623	24-fév-2005	19:54	132,096	RTMQFE
Mstime.dll	6.0.2800.1538	03-mar-2006	23:15	498,176	RTMQFE
Pngfilt.dll	6.0.2800.1506	27-avr-2005	17:50	38,912	RTMQFE
Shdocvw.dll	6.0.2800.1849	26-mai-2006	22:40	1,339,904	RTMQFE
Shlwapi.dll	6.0.2800.1740	01-sep-2005	01:49	409,088	RTMQFE
Urlmon.dll	6.0.2800.1573	31-août-2006	03:32	463,872	RTMQFE
Wininet.dll	6.0.2800.1560	23-juin-2006	18:29	587,776	RTMQFE

Remarque : Lorsque vous installez ces mises à jour de sécurité, le programme d’installation vérifie si un ou plusieurs fichiers en cours de mise à jour sur votre système ont déjà été mis à jour par un correctif Microsoft.

Si vous avez déjà installé un correctif pour mettre à jour l’un de ces fichiers, le programme d’installation copie les fichiers RTMQFE, SP1QFE ou SP2QFE sur votre système. Dans le cas contraire, le programme d'installation copie les fichiers RTMGDR, SP1GDR ou SP2GDR sur votre système. Les mises à jour de sécurité peuvent ne pas contenir toutes les variations de ces fichiers. Pour plus d’informations sur ce sujet, consultez l’Article 824994 de la Base de connaissances Microsoft.

Pour en savoir plus sur le programme d'installation Update.exe, rendez-vous sur le site Web Microsoft TechNet.

Pour plus d'informations concernant la terminologie qui apparaît dans ce bulletin (telle que correctif), consultez l'Article 824684 de la Base de connaissances Microsoft.

Vérification de l'application de la mise à jour

•	Microsoft Baseline Security Analyzer

•	Vérification de la version de fichier

Remarque : La procédure suivante peut varier en fonction de la version de Microsoft Windows installée sur votre ordinateur. Reportez-vous à votre documentation pour suivre la procédure.

1.	Cliquez sur Démarrer, puis sur Rechercher.
2.	Dans le volet Résultats de la recherche, cliquez sur Tous les fichiers et tous les dossiers, sous Assistant Recherche.
3.	Dans la zone Une partie ou l'ensemble du nom de fichier, saisissez un nom de fichier que vous aurez trouvé dans la table d'informations sur les fichiers appropriés, puis cliquez sur Rechercher.
4.	Dans la liste de fichiers, cliquez avec le bouton droit sur un nom de fichier en provenance de la table d'informations sur les fichiers, puis cliquez sur Propriétés. Remarque : Selon la version installée du système d'exploitation ou des programmes, il se peut que certains des fichiers énumérés dans la table d'informations sur les fichiers ne soient pas installés.
5.	Dans l’onglet Version, déterminez la version du fichier installée sur votre ordinateur et comparez-la à la version documentée dans la table d’informations sur les fichiers appropriée. Remarque : Les attributs autres que la version de fichier peuvent changer en cours d'installation. La comparaison d'autres attributs de fichiers avec les données de la table d'informations sur les fichiers ne constitue pas une méthode valable pour vérifier si la mise à jour a bien été appliquée. D'autre part, dans certains cas, il se peut que les fichiers soient renommés au cours de l'installation. Si les informations concernant le fichier ou la version n'existent pas, ayez recours à l'une des autres méthodes permettant de vérifier l'installation de la mise à jour.

•	Vérification de la clé de Registre

Vous pouvez également vérifier quels fichiers ont été installés par cette mise à jour en consultant la clé de Registre suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Internet Explorer 6\SP1\KB918899-IE6SP1-20060725.123917\Filelist

Remarque : Il se peut que cette clé de registre ne contienne pas la liste complète des fichiers installés. D'autre part, cette clé de registre peut ne pas avoir être créée correctement si un administrateur ou un fabricant OEM intègre ou diffuse la mise à jour de sécurité 918899 dans les fichiers source d'installation de Windows.

Top of section

Internet Explorer 5.01 Service Pack 4 pour Windows 2000 (toutes versions)

Conditions requises :
Pour Windows 2000, cette mise à jour de sécurité nécessite le Service Pack 4 (SP4). Pour Small Business Server 2000, cette mise à jour de sécurité nécessite Small Business Server 2000 Service Pack 1a (SP1a) ou Small Business Server 2000 exécutant Windows 2000 Server Service Pack 4 (SP4).

Pour plus d'informations sur l'obtention du dernier Service Pack, consultez l'article 260910 de la Base de connaissances Microsoft.

Inclusion dans les futurs Service Packs :
Le correctif de ce problème sera inclus dans un futur ensemble de mises à jour.

Informations concernant l’installation :

Cette mise à jour de sécurité prend en charge les options d’installation suivantes.

Options d'installation de la mise à jour de sécurité prises en charge
Option	Description
/help	Affiche les options de ligne de commande
Modes d'installation
/passive	Mode d'installation autonome. Aucune action de l'utilisateur n'est requise, mais le statut de l'installation s'affiche à l'écran. Si un redémarrage est requis à la fin de l'installation, une boîte de dialogue s'affichera, ainsi qu'un minuteur avertissant l'utilisateur que l'ordinateur redémarrera dans 30 secondes.
/quiet	Mode silencieux. Similaire au mode autonome, mais aucun statut ni message d'erreur ne s'affichent.
Options de redémarrage
/norestart	Ne redémarre pas l'ordinateur une fois l'installation terminée
/forcerestart	Redémarre l'ordinateur après l'installation et force les autres applications à se fermer lors de l'arrêt, sans enregistrer préalablement les fichiers ouverts.
/warnrestart[:x]	Affiche une boîte de dialogue ainsi qu'un minuteur, avertissant l'utilisateur que l'ordinateur redémarrera dans X secondes (le réglage par défaut est de 30 secondes). Conçu pour une utilisation avec les options /quiet ou /passive.
/promptrestart	Affiche une boîte de dialogue invitant l'utilisateur local à autoriser le redémarrage
Options spéciales
/overwriteoem	Écrase les fichiers OEM sans message d'invite
/nobackup	Ne crée pas de copie de sauvegarde des fichiers nécessaires à la désinstallation
/forceappsclose	Force d'autres programmes à se fermer lorsque l'ordinateur s'arrête
/log:path	Permet la redirection des fichiers journaux d'installation
/extract[:path]	Extrait les fichiers sans exécuter le programme d'installation
/ER	Autorise un rapport d'erreurs étendu
/verbose	Autorise une journalisation détaillée. Crée le journal %Windir%\CabBuild.log pendant l'installation. Ce journal détaille les fichiers qui sont copiés. L'utilisation de cette option peut ralentir l'installation.

Informations sur le déploiement

Pour installer cette mise à jour de sécurité sans intervention de l'utilisateur, entrez la commande suivante à l'invite de commande de Windows 2000 Service Pack 4 :

IE5.01sp4-KB918899-Windows2000sp4-v3-x86-ENU.exe /quiet

Pour installer la mise à jour de sécurité sans forcer le redémarrage du système, entrez la commande suivante à l'invite de commande de Windows 2000 Service Pack 4 :

IE5.01sp4-KB918899-Windows2000sp4-v3-x86-ENU.exe /norestart

Nécessité de redémarrer

Redémarrez votre système après avoir appliqué cette mise à jour de sécurité.

Informations de désinstallation

Pour supprimer cette mise à jour de sécurité, sélectionnez Ajout/Suppression de programmes dans le Panneau de configuration.

Options Spuninst.exe prises en charge
Option	Description
/help	Affiche les options de ligne de commande
Modes d'installation
/passive	Mode d'installation autonome. Aucune action de l'utilisateur n'est requise, mais le statut de l'installation s'affiche à l'écran. Si un redémarrage est requis à la fin de l'installation, une boîte de dialogue s'affichera, ainsi qu'un minuteur avertissant l'utilisateur que l'ordinateur redémarrera dans 30 secondes.
/quiet	Mode silencieux. Similaire au mode autonome, mais aucun statut ni message d'erreur ne s'affichent.
Options de redémarrage
/norestart	Ne redémarre pas l'ordinateur une fois l'installation terminée
/forcerestart	Redémarre l'ordinateur après l'installation et force les autres applications à se fermer lors de l'arrêt, sans enregistrer préalablement les fichiers ouverts.
/warnrestart[:x]	Affiche une boîte de dialogue ainsi qu'un minuteur, avertissant l'utilisateur que l'ordinateur redémarrera dans X secondes (le réglage par défaut est de 30 secondes). Conçu pour une utilisation avec les options /quiet ou /passive.
/promptrestart	Affiche une boîte de dialogue invitant l'utilisateur local à autoriser le redémarrage
Options spéciales
/forceappsclose	Force d'autres programmes à se fermer lorsque l'ordinateur s'arrête
/log:path	Permet la redirection des fichiers journaux d'installation

Informations sur les fichiers

Windows 2000 Service Pack 4 et Small Business Server 2000 :

Nom de fichier	Version	Date	Heure	Taille
Browseui.dll	5.0.3828.2700	27-avr-2005	18:05	792,848
Danim.dll	6.1.9.729	28-oct-2005	06:19	1,134,352
Iepeers.dll	5.0.3830.1700	18-juin-2005	02:23	100,112
Inseng.dll	5.0.3828.2700	27-avr-2005	18:07	74,000
Jsproxy.dll	5.0.3840.2800	28-avr-2006	18:45	13,584
Mshtml.dll	5.0.3842.3000	30-juin-2006	17:36	2,302,224
Msrating.dll	5.0.3828.2700	27-avr-2005	18:06	149,776
Pngfilt.dll	5.0.3828.2700	27-avr-2005	18:07	48,912
Shdocvw.dll	5.0.3841.1100	11-mai-2006	19:51	1,100,560
Shlwapi.dll	5.0.3900.7068	25-août-2005	07:13	284,432
Url.dll	5.50.4952.2700	27-avr-2005	18:33	84,240
Urlmon.dll	5.0.3844.3000	31-août-2006	04:28	424,208
Wininet.dll	5.0.3842.2300	23-juin-2006	17:47	451,344

Vérification de l'application de la mise à jour

•	Microsoft Baseline Security Analyzer

•	Vérification de la version de fichier

Remarque : La procédure suivante peut varier en fonction de la version de Microsoft Windows installée sur votre ordinateur. Reportez-vous à votre documentation pour suivre la procédure.

1.	Cliquez sur Démarrer, puis sur Rechercher.
2.	Dans le volet Résultats de la recherche, cliquez sur Tous les fichiers et tous les dossiers, sous Assistant Recherche.
3.	Dans la zone Une partie ou l'ensemble du nom de fichier, saisissez un nom de fichier que vous aurez trouvé dans la table d'informations sur les fichiers appropriés, puis cliquez sur Rechercher.
4.	Dans la liste de fichiers, cliquez avec le bouton droit sur un nom de fichier en provenance de la table d'informations sur les fichiers, puis cliquez sur Propriétés. Remarque : Selon la version installée du système d'exploitation ou des programmes, il se peut que certains des fichiers énumérés dans la table d'informations sur les fichiers ne soient pas installés.
5.	Dans l’onglet Version, déterminez la version du fichier installée sur votre ordinateur et comparez-la à la version documentée dans la table d’informations sur les fichiers appropriée. Remarque : Les attributs autres que la version de fichier peuvent changer en cours d'installation. La comparaison d'autres attributs de fichiers avec les données de la table d'informations sur les fichiers ne constitue pas une méthode valable pour vérifier si la mise à jour a bien été appliquée. D'autre part, dans certains cas, il se peut que les fichiers soient renommés au cours de l'installation. Si les informations concernant le fichier ou la version n'existent pas, ayez recours à l'une des autres méthodes permettant de vérifier l'installation de la mise à jour.

•	Vérification de la clé de Registre

Vous pouvez également vérifier quels fichiers ont été installés par cette mise à jour en consultant la clé de Registre suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Internet Explorer 5.01\SP4\KB918899-IE501SP4-20060725.072042\Filelist

Top of section

Remerciements

Microsoft remercie les organismes ci-dessous pour avoir contribué à la protection de ses clients :

•	Sam Thomas, de TippingPoint et Zero Day Initiative, pour avoir signalé la vulnérabilité de corruption de la mémoire liée à la mise en page et au positionnement HTML (CVE-2006-3450).
•	Sam Thomas, de TippingPoint et Zero Day Initiative, pour avoir signalé la vulnérabilité de corruption de la mémoire CSS (CVE-2006-3451).
•	Cody Pierce de l'équipe de recherche en sécurité TippingPoint pour avoir signalé un identificateur de classe détaillé dans la vulnérabilité de corruption de la mémoire lors de l'instanciation d'objets COM (CVE-2006-3638).
•	Will Dormann de CERT/CC pour avoir signalé deux identificateurs de classe détaillés dans la vulnérabilité de corruption de la mémoire lors d'instanciation d'objets COM (CVE-2006-3638).
•	NSFocus Security Team pour avoir signalé la vulnérabilité de débordement de mémoire tampon en cas d'URL de grande taille (CVE-2006-3869).
•	Dejan Kovacevic en collaboration avec le CERT/CC pour avoir signalé deux identificateurs de classe détaillés dans la vulnérabilité de corruption de la mémoire lors d'instanciation d'objets COM (CVE-2006-3638).
•	EEye Digital Security pour avoir signalé la vulnérabilité de débordement de mémoire tampon en cas d'URL de grande taille (CVE-2006-3873).

Pour obtenir d’autres mises à jour de sécurité :

Les mises à jour relatives à d'autres problèmes de sécurité sont disponibles aux adresses suivantes :

•	Les mises à jour de sécurité sont disponibles sur le Centre de téléchargement Microsoft. La méthode la plus simple est celle qui consiste à effectuer une recherche sur le mot-clé "security_patch".
•	Les mises à jour pour plates-formes grand public sont disponibles sur le site Web Microsoft Update.

Support technique :

•	En cas de problème, contactez les services de support technique de Microsoft. Les appels au Support technique concernant les mises à jour de sécurité ne sont pas facturés par Microsoft.
•	Nos clients internationaux peuvent joindre le Support technique de leur filiale Microsoft locale. Le support technique ayant trait aux mises à jour de sécurité n'est pas facturé par Microsoft. Pour savoir comment contacter le Support Microsoft, consultez le site International Support.

Ressources de sécurité :

•	Le site Web Espace Sécurité TechNet fournit d'autres informations sur la sécurité dans les produits Microsoft.
•	TechNet Update Management Center
•	Microsoft Software Update Services
•	Microsoft Windows Server Update Services
•	Microsoft Baseline Security Analyzer (MBSA)
•	Windows Update
•	Microsoft Update
•	Catalogue Windows Update : Pour plus d'informations sur le Catalogue Windows Update, consultez l'Article 323166 de la Base de connaissances Microsoft.
•	Office Update

Software Update Services :

Microsoft Software Update Services (SUS) permet aux administrateurs de déployer de façon rapide et fiable les dernières mises à jour critiques et les mises à jour de sécurité vers les serveurs Windows 2000 et Windows Server 2003, ainsi que vers les systèmes de bureau exécutant Windows 2000 Professionnel ou Windows XP Professionnel.

Pour plus d'informations sur le déploiement des mises à jour de sécurité avec Software Update Services, consultez le site Web Software Update Services.

Windows Server Update Services :

Windows Server Update Services (WSUS) permet aux administrateurs de déployer de façon rapide et fiable les dernières mises à jour critiques et les mises à jour de sécurité pour les systèmes d'exploitation Windows 2000 et versions ultérieures, Office XP et versions ultérieures, Exchange Server 2003 et SQL Server 2000 sur Windows 2000 et versions ultérieures.

Pour plus d'informations sur le déploiement des mises à jour de sécurité avec Windows Server Update Services, consultez le site Web Windows Server Update Services.

Systems Management Server :

Microsoft Systems Management Server (SMS) propose une solution d'entreprise pleinement configurable pour la gestion des mises à jour. Avec SMS, les administrateurs peuvent identifier les systèmes Windows qui ont besoin d'une mise à jour de sécurité et exécuter le déploiement contrôlé de ces mises à jour dans l'ensemble de l'entreprise en dérangeant le moins possible les utilisateurs. Pour plus d'informations sur la façon dont les administrateurs peuvent utiliser SMS 2003 pour déployer les mises à jour de sécurité, consultez le site Web Gestion des correctifs de sécurité SMS 2003. Les utilisateurs SMS 2.0 peuvent aussi recourir au Feature Pack Software Updates Service pour faciliter le déploiement de leurs mises à jour de sécurité. Pour plus d'informations sur SMS, consultez le site Web SMS.

Remarque : SMS utilise Microsoft Baseline Security Analyzer, l’Outil de détection de Microsoft Office (Office Detection Tool - ODT) et l'Outil d'analyse des mises à jour pour entreprise pour offrir une assistance étendue à la détection et au déploiement des correctifs proposés dans les bulletins de sécurité. Il se peut que certaines mises à jour logicielles ne soient pas détectées par ces outils. Dans ce cas, il est possible d'utiliser les capacités d'inventaire de SMS pour cibler les mises à jour vers des ordinateurs spécifiques. Pour plus d'informations sur cette procédure, consultez le site Web suivant. Certaines mises à jour de sécurité peuvent requérir des privilèges d'administrateur après redémarrage du système. Pour installer ces mises à jour, les administrateurs peuvent utiliser l’outil de déploiement avec élévation des droits (disponible dans le Feature Pack d'administration SMS 2003 et dans le Feature Pack d'administration 2.0).

Dédit de responsabilité :

Les informations contenues dans la Base de connaissances Microsoft sont fournies "en l'état", sans garantie d'aucune sorte. Microsoft exclut toute garantie, expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.

Révisions :

•	V1.0 (8 août 2006) : Bulletin publié.
•	V1.1 (15 août 2006) : Mise à jour du paragraphe "Avertissements" afin de fournir des informations affectant les utilisateurs d'Internet Explorer 6 Service Pack 1. Consultez l'Article de la Base de connaissances 923762 pour plus d'informations.
•	V1.2 (22 août 2006) : Mise à jour de la section "Avertissements" afin de fournir des informations concernant la publication de la révision des mises à jour pour Internet Explorer 6 Service Pack 1 et de la publication de l'Avis de sécurité 923762.
•	V2.0 (24 août 2006) : Bulletin réédité et mis à jour avec des informations complémentaires et des précisions sur une vulnérabilité affectant les clients utilisant Internet Explorer 6 Service Pack 1.
•	V2.1 (6 septembre 2006) : Mise à jour de la version, taille et date/heure pour les fichiers relatifs à la mise à jour pour Internet Explorer 6 Service Pack 1.
•	V3.0 (12 septembre 2006) : Microsoft a publié une nouvelle version du bulletin de sécurité et des mises à jour de sécurité concernant Internet Explorer 6 Service Pack 1, Internet Explorer 5.01 Service Pack 4 et Internet Explorer 6 pour Microsoft Windows Server 2003 pour résoudre une vulnérabilité décrite en détail dans la section « Précisions sur la vulnérabilité » sous le titre « Vulnérabilité de débordement de mémoire tampon en cas d'URL de grande taille (CVE-2006-3873) ». Les clients utilisant une de ces versions d'Internet Explorer devraient appliquer cette nouvelle mise à jour immédiatement.
•	V3.1 (8 novembre 2006) : Bulletin mis à jour afin d'indiquer un nouveau problème rencontré avec la mise à jour de sécurité : Article 926046 de la Base de connaissances Microsoft : Message d'erreur lorsque vous exécutez un script sur une page Web après avoir appliqué la mise à jour de sécurité MS06-042 sur un ordinateur Windows XP ou Windows Server 2003 : « Autorisation refusée » (926046).
•	V3.2 (28 mars 2007) : Bulletin mis à jour afin d'indiquer un nouveau problème rencontré avec la mise à jour de sécurité : Article 926840 de la Base de connaissances Microsoft : Si vous utilisez Internet Explorer 6 sur Windows XP avec SP2, une violation d'accès peut survenir dans le fichier Mshtml.dll et Internet Explorer peut se fermer de manière inattendue. Ce problème survient généralement lors de la fermeture d'une fenêtre contextuelle ou intempestive (926840).

Haut de page