Bulletin de sécurité Microsoft MS06-072
Mise à jour de sécurité cumulative pour Internet Explorer (925454)
Version : 1.1
Synthèse
Personnes concernées par ce document : Les clients utilisant Microsoft Windows
Type de vulnérabilité : Exécution de code à distance
Indice de gravité maximal : Critique
Recommandation : Nos clients devraient appliquer cette mise à jour immédiatement.
Remplacement de mises à jour de sécurité : Le présent bulletin remplace plusieurs mises à jour de sécurité antérieures. La liste complète se trouve dans la section Forum aux questions de ce bulletin.
Avertissements : L'Article 925454 de la Base de connaissances Microsoft décrit les problèmes connus liés à l'installation de cette mise à jour de sécurité. Cet article documente également les solutions palliatives recommandées. Pour plus d’informations, consultez l'Article 925454 de la Base de connaissances Microsoft.
Logiciels testés et adresses de téléchargement des mises à jour :
Logiciels concernés :
| • | Microsoft Windows 2000 Service Pack 4 |
| • | Microsoft Windows XP Service Pack 2 |
| • | Microsoft Windows XP Professionnel Édition x64 |
| • | Microsoft Windows Server 2003 et Microsoft Windows Server 2003 Service Pack 1 |
| • | Microsoft Windows Server 2003 pour les systèmes Itanium et Microsoft Windows Server 2003 avec SP1 pour les systèmes Itanium |
| • | Microsoft Windows Server 2003 Édition x64 |
Logiciels non concernés :
| • | Windows Vista |
Composants Microsoft Windows testés :
Composants concernés :
| • | Microsoft Internet Explorer 5.01 Service Pack 4 pour Windows 2000 Service Pack 4 – Télécharger la mise à jour |
| • | Microsoft Internet Explorer 6 Service Pack 1 installé sur Windows 2000 Service Pack 4 – Télécharger la mise à jour |
| • | Internet Explorer 6 pour Windows XP Service Pack 2 – Télécharger la mise à jour |
| • | Internet Explorer 6 pour Windows XP Professionnel Édition x64 – Télécharger la mise à jour |
| • | Microsoft Internet Explorer 6 pour Windows Server 2003 et Microsoft Windows Server 2003 Service Pack 1 – Télécharger la mise à jour |
| • | Microsoft Internet Explorer 6 pour Windows Server 2003 pour les systèmes Itanium et Microsoft Windows Server 2003 avec SP1 pour les systèmes Itanium – Télécharger la mise à jour |
| • | Microsoft Internet Explorer 6 pour Windows Server 2003 Édition x64 – Télécharger la mise à jour |
Composants non concernés :
| • | Windows Internet Explorer 7 pour Windows XP Service Pack 2 |
| • | Windows Internet Explorer 7 pour Windows XP Professionnel Édition x64 |
| • | Windows Internet Explorer 7 sur Windows Server 2003 Service Pack 1 |
| • | Windows Internet Explorer 7 pour Windows Server 2003 avec SP1 pour les systèmes Itanium |
| • | Windows Internet Explorer 7 pour Windows Server 2003 Édition x64 |
| • | Windows Internet Explorer 7 dans Windows Vista |
Les logiciels de cette liste ont été testés afin de déterminer si ces versions sont concernées. D'autres versions ne prennent plus en charge les mises à jour de sécurité ou ne sont pas affectées. Consultez le site Web Politique de Support Microsoft afin de connaître la politique de support Microsoft pour votre produit et votre version.
Remarque : Les mises à jour de sécurité pour Microsoft Windows Server 2003, Windows Server 2003 Service Pack 1 et Windows Server 2003 Édition x64 s'appliquent également à Microsoft Windows Server 2003 R2.
Informations générales
Synthèse |
Synthèse :
Cette mise à jour corrige plusieurs vulnérabilités récemment découvertes. Chaque vulnérabilité est décrite en détail dans ce bulletin, à la section "Précisions sur les vulnérabilités" correspondante.
Si un utilisateur a ouvert une session avec des privilèges d’administrateur, un attaquant qui parviendrait à exploiter la plus grave de ces vulnérabilités pourrait prendre le contrôle intégral d'un système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Par conséquent, nous recommandons d'appliquer la mise à jour immédiatement.
| Identificateurs de vulnérabilité | Type de vulnérabilité | Internet Explorer 5.01 Service Pack 4 pour Windows 2000 Service Pack 4 | Internet Explorer 6 Service Pack 1 installé sur Windows 2000 Service Pack 4 | Internet Explorer 6 pour Windows Server 2003 et Windows Server 2003 Service Pack 1 | Internet Explorer 6 sur Windows XP Service Pack 2 |
Vulnérabilité de corruption de la mémoire liée au traitement des erreurs de script - CVE-2006-5579 | Exécution de code à distance | Aucun. | Critique | Modéré | Critique |
Vulnérabilité de corruption de la mémoire liée à des fonctions script DHTML - CVE-2006-5581 | Exécution de code à distance | Aucun. | Critique | Modéré | Critique |
Vulnérabilité de divulgation d'informations du dossier Temporary Internet Files (TIFF) - CVE-2006-5578 | Divulgation d'informations | Important | Important | Faible | Important |
Vulnérabilité de divulgation d'informations du dossier Temporary Internet Files (TIFF) - CVE-2006-5577 | Divulgation d'informations | Modéré | Modéré | Faible | Modéré |
Gravité cumulée de toutes ces vulnérabilités |
| Important | Critique | Modéré | Critique |
Cette évaluation se fonde sur les types de systèmes concernés par cette vulnérabilité, leurs schémas de déploiement classiques et l’impact que l’exploitation de la vulnérabilité aurait sur ces systèmes.
Remarque : Les mises à jour de sécurité pour Microsoft Windows Server 2003, Windows Server 2003 Service Pack 1 et Windows Server 2003 Édition x64 s'appliquent également à Microsoft Windows Server 2003 R2.
Remarque : Les indices de gravité pour des systèmes d'exploitation autres que x86 correspondent aux versions des systèmes d'exploitation x86 ci-dessous :
| • | L'indice de gravité d'Internet Explorer 6 pour Windows XP Professionnel Édition x64 est identique à celui d'Internet Explorer 6 pour Windows XP Service Pack 2. |
| • | L'indice de gravité d'Internet Explorer 6 pour Microsoft Windows Server 2003 pour les systèmes Itanium et Windows Server 2003 Édition x64 est identique à celui d'Internet Explorer 6 pour Windows Server 2003. |
Forum aux questions concernant la présente mise à jour de sécurité |
Pourquoi cette mise à jour corrige-t-elle plusieurs vulnérabilités de sécurité ?
Cette mise à jour concerne plusieurs vulnérabilités car les modifications nécessaires à leur correction résident dans des fichiers apparentés. Nos clients n’ont ainsi qu’une mise à jour à installer, plutôt que plusieurs mises à jour presque identiques.
Quelles mises à jour ce correctif remplace-t-il ?
La présente mise à jour de sécurité remplace une mise à jour de sécurité antérieure. La référence du bulletin de sécurité et les systèmes d'exploitation concernés sont indiqués dans le tableau ci-dessous.
| Référence du bulletin | Internet Explorer 5.01 Service Pack 4 pour Windows 2000 Service Pack 4 | Internet Explorer 6 Service Pack 1 installé sur Windows 2000 Service Pack 4 | Internet Explorer 6 pour Windows Server 2003 et Windows Server 2003 Service Pack 1 | Internet Explorer 6 sur Windows XP Service Pack 2 |
Remplacé | Remplacé | Remplacé | Remplacé |
Quels sont les problèmes connus auxquels les clients peuvent être confrontés lorsqu'ils installent cette mise à jour de sécurité ?
L'Article 925454 de la Base de connaissances Microsoft décrit les problèmes connus liés à l'installation de cette mise à jour de sécurité. Cet article documente également les solutions palliatives recommandées. Pour plus d’informations, consultez l'Article 925454 de la Base de connaissances Microsoft.
Cette mise à jour comporte-t-elle d'autres modifications de sécurité affectant les fonctionnalités ?
Oui. Outre les changements indiqués dans la section « Précisions sur la vulnérabilité » de ce bulletin, cette mise à jour inclut des améliorations concernant le bloqueur de fenêtres intempestives d'Internet Explorer. Cette fonctionnalité est apparue pour la première fois dans Windows XP Service Pack 2 et est également incluse dans Windows Server 2003 Service Pack 1. Pour plus d'informations sur le blocage des fenêtres intempestives, consultez la documentation produit.
Cette mise à jour comporte-t-elle d'autres modifications affectant les fonctionnalités ?
Oui. Outre les modifications mentionnées à la section "Précisions sur la vulnérabilité" de ce bulletin, d'autres modifications non liées à la sécurité ont été présentées dans de précédents bulletins Internet Explorer.
La prise en charge étendue des mises à jour de sécurité pour Microsoft Windows XP Édition familiale Service Pack 1 ou Service Pack 1a, Windows XP Édition Media Center 2002 Service Pack 1, Windows XP Édition Media Center 2004 Service Pack 1, Windows XP Professionnel Service Pack 1 ou Service Pack 1a et Windows XP Édition Tablet PC Service Pack 1 a pris fin le 10 octobre 2006. J'utilise toujours l'un de ces systèmes d'exploitation. Que dois-je faire ?
Windows XP (toutes versions) Service Pack 1 a atteint la fin de son cycle de support. Les clients qui utilisent une de ces versions du système d'exploitation doivent prioritairement passer à des versions bénéficiant du support Microsoft, afin de prévenir les risques de vulnérabilités. Pour plus d’informations sur le cycle de support des produits Windows, visitez le site Web Politique de Support Microsoft. Pour plus d'informations sur la période de prise en charge des mises à jour de sécurité pour ces versions de systèmes d'exploitation, consultez le site Web des services de support technique de Microsoft.
La prise en charge étendue des mises à jour de sécurité pour Microsoft Windows 98, Windows 98 Deuxième Édition ou Windows Millenium Edition a pris fin le 11 juillet 2006. J'utilise toujours l'un de ces systèmes d'exploitation. Que dois-je faire ?
Windows 98, Windows 98 Deuxième Édition et Windows Millennium ont atteint la fin de leur cycle de support. Les clients qui utilisent une de ces versions du système d'exploitation doivent prioritairement passer à des versions bénéficiant du support Microsoft, afin de prévenir les risques de vulnérabilités. Pour plus d’informations sur le cycle de support des produits Windows, visitez le site Web Politique de Support Microsoft. Pour plus d'informations sur la période de prise en charge des mises à jour de sécurité pour ces versions de systèmes d'exploitation, consultez le site Web des services de support technique de Microsoft.
La prise en charge des mises à jour de sécurité pour Microsoft Windows NT Workstation 4.0 Service Pack 6a et Windows 2000 Service Pack 2 a pris fin le 30 juin 2004. La prise en charge étendue des mises à jour de sécurité pour Microsoft Windows NT Server 4.0 Service Pack 6a a pris fin le 31 décembre 2004. La prise en charge étendue des mises à jour de sécurité pour Microsoft Windows 2000 Service Pack 3 a pris fin le 30 juin 2005. J'utilise toujours l'un de ces systèmes d'exploitation. Que dois-je faire ?
Windows NT Workstation 4.0 Service Pack 6a, Windows NT Server 4.0 Service Pack 6a, Windows 2000 Service Pack 2 et Windows 2000 Service Pack 3 sont parvenus à la fin de leur cycle de vie. Les clients qui utilisent une de ces versions du système d'exploitation doivent prioritairement passer à des versions bénéficiant du support Microsoft, afin de prévenir les risques de vulnérabilités. Pour plus d’informations sur le cycle de support des produits Windows, visitez le site Web Politique de Support Microsoft. Pour plus d'informations sur la période de prise en charge des mises à jour de sécurité pour ces versions de systèmes d'exploitation, consultez le site Web des services de support technique de Microsoft.
Les clients nécessitant un support supplémentaire pour ces produits doivent prendre contact avec leur responsable de compte Microsoft, leur responsable technique de compte ou le partenaire Microsoft approprié pour connaître les options de support personnalisé. Les clients ne bénéficiant pas d'un Contrat Alliance, Premier ou Authorized peuvent appeler leur agence commerciale locale Microsoft. Pour les informations de contact, visitez le site Web Microsoft Worldwide Information, sélectionnez le pays puis cliquez sur Go pour afficher une liste de numéros de téléphone. Pour plus d'informations, consultez le Forum aux questions sur la politique de support des systèmes d'exploitation Windows.
Puis-je utiliser MBSA (Microsoft Baseline Security Analyzer) pour déterminer si cette mise à jour est nécessaire ?
Le tableau suivant fournit le résumé de détection MBSA pour cette mise à jour de sécurité.
| Logiciels | MBSA 1.2.1 | MBSA 2.0 |
Microsoft Windows 2000 Service Pack 4 | Oui | Oui |
Microsoft Windows XP Service Pack 2 | Oui | Oui |
Microsoft Windows XP Professionnel Édition x64 | Non | Oui |
Microsoft Windows Server 2003 et Microsoft Windows Server 2003 Service Pack 1 | Oui | Oui |
Microsoft Windows Server 2003 pour les systèmes Itanium et Microsoft Windows Server 2003 avec Service Pack 1 pour les systèmes Itanium | Non | Oui |
La famille Microsoft Windows Server 2003 Édition x64 | Non | Oui |
Pour plus d'informations sur MBSA, visitez le site Web MBSA. Pour plus d'informations sur les programmes non détectés actuellement par Microsoft Update et MBSA 2.0, veuillez consulter l'article 895660 de la Base de connaissances Microsoft.
Pour plus d’informations, consultez l’article 910723 de la Base de connaissances Microsoft.
Puis-je utiliser SMS (Systems Management Server) pour déterminer si cette mise à jour est nécessaire ?
Le tableau récapitule les conditions de détection SMS pour cette mise à jour de sécurité.
| Logiciels | SMS 2.0 | SMS 2003 |
Microsoft Windows 2000 Service Pack 4 | Oui | Oui |
Microsoft Windows XP Service Pack 2 | Oui | Oui |
Microsoft Windows XP Professionnel Édition x64 | Non | Oui |
Microsoft Windows Server 2003 et Microsoft Windows Server 2003 Service Pack 1 | Oui | Oui |
Microsoft Windows Server 2003 pour les systèmes Itanium et Microsoft Windows Server 2003 avec Service Pack 1 pour les systèmes Itanium | Non | Oui |
La famille Microsoft Windows Server 2003 Édition x64 | Non | Oui |
Pour SMS 2.0, le Feature Pack SUS de SMS, qui inclut l'Outil d'inventaire des mises à jour (SUIT), peut être utilisé par SMS pour détecter des mises à jour de sécurité. SMS SUIT utilise le moteur MBSA 1.2.1 pour procéder à la détection. Pour plus d’informations sur l'outil d'inventaire des mises à jour, consultez le site Web Microsoft suivant. Pour plus d'informations concernant les restrictions de l'Outil d'inventaire des mises à jour (SUIT), consultez l'Article 306460 de la Base de connaissances Microsoft. Le Feature Pack SUS de SMS inclut également l'Outil d'inventaire des mises à jour de Microsoft Office pour détecter les mises à jour requises pour les applications Office de Microsoft.
SMS 2003 peut utiliser l'Outil d'inventaire SMS 2003 pour les mises à jour Microsoft (SMS 2003 Inventory Tool for Microsoft Updates - ITMU) afin de détecter les mises à jour de sécurité proposées par Microsoft Update et prises en charge par Windows Server Update Services. Pour plus d'informations sur l'outil d'inventaire SMS 2003 pour les mises à jour Microsoft, consultez le site Web Microsoft suivant. SMS 2003 peut également utiliser l'Outil d'inventaire des mises à jour de Microsoft Office pour détecter les mises à jour des applications Microsoft Office.
Pour plus d'informations sur SMS, consultez le site Web SMS.
Pour plus d’informations, consultez l’article 910723 de la Base de connaissances Microsoft.
Précisions sur la vulnérabilité |
Vulnérabilité de corruption de la mémoire liée au traitement des erreurs de script - CVE-2006-5579 |
Il existe dans Internet Explorer une vulnérabilité d'exécution de code à distance liée aux tentatives d'accès à la mémoire précédemment libérée lors du traitement des erreurs de script dans certaines situations. Un attaquant pourrait exploiter cette vulnérabilité en créant une page Web malveillante. Si un utilisateur affiche cette page Web, cette vulnérabilité pourrait permettre l'exécution de code à distance. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté.
Facteurs atténuants concernant la vulnérabilité de corruption de la mémoire liée au traitement des erreurs de script - CVE-2006-5579 : |
| • | Pour une attaque Web, l'attaquant devrait héberger un site Web qui contiendrait une page Web spécialement conçue pour exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent des contenus ou des annonces provenant d'utilisateurs pourraient contenir un contenu malveillant susceptible d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l’utilisateur, généralement en l’incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site. |
| • | Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur. |
| • | Par défaut, dans toutes les versions de Microsoft Outlook prises en charge et dans Microsoft Outlook Express, les messages au format HTML sont ouverts dans la zone Sites sensibles. La zone Sites sensibles contribue à réduire les attaques qui tenteraient d'exploiter cette vulnérabilité en empêchant Active Scripting et les contrôles ActiveX d'être utilisés lors de la lecture de messages au format HTML. Cependant, en cliquant sur un lien figurant dans un message électronique, l'utilisateur s'expose toujours à une attaque Web. |
| • | Par défaut, Internet Explorer sur Windows Server 2003 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. Ce mode définit le niveau de sécurité pour la zone Internet sur Élevé. C'est un facteur atténuant pour les sites Web qui n'ont pas été ajoutés à la zone Sites de confiance d'Internet Explorer. Pour plus d'informations sur la Configuration de sécurité améliorée d'Internet Explorer, reportez-vous à la section Forum aux questions sur cette vulnérabilité. |
| • | Windows Internet Explorer 7 pour Windows XP Service Pack 2, Windows Internet Explorer 7 pour Windows XP Professionnel Édition x64, Windows Internet Explorer 7 pour Windows Server 2003 Service Pack 1, Windows Internet Explorer 7 pour Windows Server 2003 avec SP1 pour les systèmes Itanium, Windows Internet Explorer 7 pour Windows Server 2003 Édition x64 et Windows Internet Explorer 7 dans Windows Vista ne sont pas affectés par cette vulnérabilité. |
| • | Microsoft Internet Explorer 5.01 Service Pack 4 sur Windows 2000 Service Pack 4 n'est pas affecté par cette vulnérabilité. |
Solutions de contournement concernant la vulnérabilité de corruption de la mémoire liée au traitement des erreurs de script - CVE-2006-5579 : |
Microsoft a testé les solutions de contournement ci-dessous. Elles ne corrigent pas la vulnérabilité sous-jacente, mais elles permettent de bloquer les vecteurs d'attaque connus. Lorsqu'une solution de contournement réduit une fonctionnalité, elle est identifiée dans la section suivante :
| • | Configurer Internet Explorer de manière à ce qu'il désactive Active Scripting ou à ce qu'il vous avertisse avant de l'exécuter dans la zone de sécurité Intranet local et Internet. Vous pouvez vous protéger de cette vulnérabilité en modifiant vos paramètres afin d’être averti avant l’exécution d’Active Scripting ou afin de désactiver Active Scripting dans les zones de sécurité Intranet local et Internet. Procédez comme suit :
Remarque : La désactivation d'Active Scripting dans les zones de sécurité Intranet local et Internet risque de perturber le fonctionnement de certains sites Web. Si vous rencontrez des difficultés lors de la visite d’un site Web après avoir modifié ce paramètre et que vous êtes certain de la fiabilité de ce site, vous pouvez ajouter ce dernier à votre liste de sites de confiance. Il pourra ainsi s'afficher correctement. Impact de cette solution de contournement : L’affichage d’un message de confirmation avant l’exécution d'Active Scripting comporte des effets secondaires. De nombreux sites Web situés sur Internet ou sur un intranet utilisent Active Scripting pour offrir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peuvent utiliser Active Scripting pour proposer des menus, des bons de commande ou même des relevés de compte. L’affichage d’un message de confirmation avant l’exécution d'Active Scripting est un paramètre global qui affecte tous les sites Internet et intranet. De nombreux messages s’affichent lorsque vous mettez en œuvre cette solution de contournement. Pour chacun d’eux, si vous pensez que le site que vous visitez est un site de confiance, cliquez sur Oui afin d’exécuter Active Scripting. Si vous ne voulez pas recevoir d'invite pour tous ces sites, suivez les étapes décrites dans la section "Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer". Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer Après avoir configuré Internet Explorer de telle sorte que des messages de confirmation s’affichent avant l’exécution des contrôles ActiveX et d'Active Scripting dans les zones Internet et Intranet local, vous pouvez ajouter des sites de confiance dans la zone Sites de confiance d’Internet Explorer. Cette opération vous permettra de continuer à utiliser vos sites de confiance exactement comme vous le faites aujourd’hui, tout en vous protégeant contre cette attaque sur les autres sites. Nous vous recommandons d’ajouter uniquement des sites de confiance à la zone Sites de confiance. Procédez comme suit :
Remarque : Ajoutez les sites dont vous savez qu’ils n'effectueront pas d’action malveillante sur votre ordinateur. Vous pouvez notamment ajouter les sites "*.windowsupdate.microsoft.com" et “*.update.microsoft.com” (sans les guillemets). Il s’agit des sites qui hébergent la mise à jour et ils requièrent un contrôle ActiveX pour leur installation. |
| • | Définissez les paramètres des zones Intranet local et Internet sur la valeur "Élevé" afin d'afficher un message de confirmation avant d'exécuter les contrôles ActiveX et Active Scripting dans ces zones Vous pouvez vous protéger contre cette vulnérabilité en modifiant vos paramètres pour la zone de sécurité Internet afin d'afficher un message de confirmation avant l’exécution des contrôles ActiveX. Réglez la sécurité de votre navigateur sur la valeur Élevé. Pour augmenter le niveau de sécurité de navigation dans Microsoft Internet Explorer :
Remarque : Si aucun curseur n'est visible, cliquez sur Niveau par défaut, puis déplacez le curseur sur Élevé. Remarque : La définition du niveau de sécurité sur Élevé risque de perturber le fonctionnement de certains sites Web. Si vous rencontrez des difficultés lors de la visite d’un site Web après avoir modifié ce paramètre et que vous êtes certain de la fiabilité de ce site, vous pouvez ajouter ce dernier à votre liste de sites de confiance. Cela permettra à ce site de s'afficher correctement même si le niveau de sécurité est défini sur Élevé. Impact de cette solution de contournement : L’affichage d’un message de confirmation avant l’exécution des contrôles ActiveX et d'Active Scripting comporte des effets secondaires. De nombreux sites Web situés sur Internet ou sur un intranet utilisent ActiveX ou Active Scripting pour offrir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peuvent utiliser des contrôles ActiveX pour proposer des menus, des bons de commande ou même des relevés de compte. L’affichage d’un message de confirmation avant l’exécution d'Active Scripting ou de contrôles ActiveX est un paramètre global qui affecte tous les sites Internet et intranet. De nombreux messages s’affichent lorsque vous mettez en œuvre cette solution de contournement. Pour chacun d’eux, si vous pensez que le site que vous visitez est un site de confiance, cliquez sur Oui afin d’exécuter les contrôles ActiveX ou Active Scripting. Si vous ne voulez pas recevoir d'invite pour tous ces sites, suivez les étapes décrites dans la section "Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer". Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer Après avoir configuré Internet Explorer de telle sorte que des messages de confirmation s’affichent avant l’exécution des contrôles ActiveX et d'Active Scripting dans les zones Internet et Intranet local, vous pouvez ajouter des sites de confiance dans la zone Sites de confiance d’Internet Explorer. Cette opération vous permettra de continuer à utiliser vos sites de confiance exactement comme vous le faites aujourd’hui, tout en vous protégeant contre cette attaque sur les autres sites. Nous vous recommandons d’ajouter uniquement des sites de confiance à la zone Sites de confiance. Procédez comme suit :
Remarque : Ajoutez les sites dont vous savez qu’ils n'effectueront pas d’action malveillante sur votre ordinateur. Vous pouvez notamment ajouter les sites "*.windowsupdate.microsoft.com" et “*.update.microsoft.com” (sans les guillemets). Il s’agit des sites qui hébergent la mise à jour et ils requièrent un contrôle ActiveX pour leur installation. |
Forum aux questions sur la vulnérabilité de corruption de la mémoire liée au traitement des erreurs de script - CVE-2006-5579 : |
Quelle est la portée de cette vulnérabilité ?
Il s'agit d'une vulnérabilité d'exécution de code à distance. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral d'un système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges.
Si un utilisateur a ouvert une session avec des privilèges d'administrateur, un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral d'un système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Quelle est la cause de cette vulnérabilité ?
Dans certaines situations, Internet Explorer tente d'accéder à des zones mémoires précédemment libérées lorsqu'il traite les erreurs de script. La mémoire système pourrait alors être corrompue et permettre à un attaquant d'exécuter du code arbitraire.
Que pourrait faire un attaquant en exploitant cette vulnérabilité ?
Tout attaquant parvenant à exploiter ces vulnérabilités pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Comment un attaquant peut-il exploiter cette vulnérabilité ?
Un attaquant pourrait héberger un site Web malveillant conçu pour exploiter ces vulnérabilités d'Internet Explorer, puis inciter un utilisateur à consulter ce site Web. Ceci pourrait également inclure des sites qui acceptent ou hébergent des publicités ou du contenu soumis par des internautes ou tout autre site compromis. Ces sites Web pourraient contenir du code spécialement conçu capable d'exploiter ces vulnérabilités. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l’utilisateur, généralement en l’incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site. Il pourrait également afficher un contenu Web spécialement conçu en imitant des panneaux publicitaires ou d'autres moyens afin d'envoyer du contenu Web aux systèmes affectés.
Quels sont les systèmes les plus exposés à cette vulnérabilité ?
Cette vulnérabilité permet l’exécution d’une action nuisible si et seulement si un utilisateur a ouvert une session et consulte un site Web. C’est pourquoi les systèmes sur lesquels Internet Explorer est fréquemment utilisé (comme les postes de travail des utilisateurs ou les serveurs de terminaux) sont les plus exposés à ces vulnérabilités.
J’utilise Internet Explorer sur Windows Server 2003. Ceci atténue-t-il ces vulnérabilités ?
Oui. Par défaut, Internet Explorer sur Windows Server 2003 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. Ce mode définit le niveau de sécurité pour la zone Internet sur Élevé. C'est un facteur atténuant pour les sites Web qui n'ont pas été ajoutés à la zone Sites de confiance d'Internet Explorer.
Qu'est-ce que la Configuration de sécurité améliorée d'Internet Explorer ?
La Configuration de sécurité améliorée d'Internet Explorer est un groupe de paramètres Internet Explorer pré-configurés qui réduit le risque qu'un utilisateur ou qu'un administrateur ne télécharge et n'exécute un contenu Web malveillant sur un serveur. La Configuration de sécurité améliorée d'Internet Explorer réduit ce risque en modifiant de nombreux paramètres liés à la sécurité. Ceci inclut les paramètres des onglets Sécurité et Avancé dans la boîte de dialogue Options Internet. Parmi les principales modifications :
| • | Le Niveau de sécurité pour la zone Internet est réglé à Élevé. Ce paramètre désactive les scripts, les contrôles ActiveX, la machine virtuelle Java de Microsoft et les téléchargements de fichiers. |
| • | La détection automatique des sites intranet est désactivée. Ce paramètre assigne à la zone Internet tous les sites Web intranet et les chemins d'accès UNC (Universal Naming Convention) qui ne figurent pas explicitement dans la zone Intranet local. |
| • | L’installation à la demande et les extensions non Microsoft sont désactivées. Ce paramétrage empêche les pages Web d'installer automatiquement des composants, et empêche les extensions non Microsoft de s'exécuter. |
| • | Le contenu multimédia est désactivé. Cela empêche l'exécution de musique, d'animations et de clips vidéo. |
Pour plus d’informations sur la Configuration de sécurité améliorée d'Internet Explorer, consultez le guide "Managing Internet Explorer Enhanced Security Configuration" (Gestion de la configuration de sécurité améliorée d’Internet Explorer), sur ce site Web.
Que fait cette mise à jour ?
La mise à jour supprime la vulnérabilité en modifiant le mode de traitement des exceptions lors des erreurs de script afin qu'il n'y ait aucune tentative d'accès à une zone mémoire libérée.
Lors de la parution de ce bulletin de sécurité, cette vulnérabilité avait-elle été dévoilée ?
Non. Microsoft a été informé de cette vulnérabilité par une divulgation responsable.
Lors de la parution de ce bulletin de sécurité, Microsoft avait-il été informé d’une éventuelle exploitation de cette vulnérabilité ?
Non. Lors de la première publication de ce bulletin, Microsoft n’avait reçu aucune information indiquant que cette vulnérabilité avait été utilisée pour attaquer des clients, et n’avait pas la connaissance de la publication d’un tel code.
Vulnérabilité de corruption de la mémoire liée à des fonctions script DHTML - CVE-2006-5581 : |
Il existe une vulnérabilité d'exécution de code à distance liée à la façon dont Internet Explorer interprète certains appels de fonctions script DHTML à des éléments non correctement créés. Un attaquant pourrait exploiter cette vulnérabilité en créant une page Web qui pourrait permettre l’exécution de code à distance si un utilisateur la consultait. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté.
Facteurs atténuants concernant la vulnérabilité de corruption de la mémoire liée à des fonctions script DHTML - CVE-2006-5581 : |
| • | Pour une attaque Web, l'attaquant devrait héberger un site Web qui contiendrait une page Web spécialement conçue pour exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent des contenus ou des annonces provenant d'utilisateurs pourraient contenir un contenu malveillant susceptible d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l’utilisateur, généralement en l’incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site. |
| • | Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur. |
| • | Par défaut, dans toutes les versions de Microsoft Outlook prises en charge et dans Microsoft Outlook Express, les messages au format HTML sont ouverts dans la zone Sites sensibles. La zone Sites sensibles contribue à réduire les attaques qui tenteraient d'exploiter cette vulnérabilité en empêchant Active Scripting et les contrôles ActiveX d'être utilisés lors de la lecture de messages au format HTML. Cependant, en cliquant sur un lien figurant dans un message électronique, l'utilisateur s'expose toujours à une attaque Web. |
| • | Par défaut, Internet Explorer sur Windows Server 2003 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. Ce mode définit le niveau de sécurité pour la zone Internet sur Élevé. C'est un facteur atténuant pour les sites Web qui n'ont pas été ajoutés à la zone Sites de confiance d'Internet Explorer. Pour plus d'informations sur la Configuration de sécurité améliorée d'Internet Explorer, reportez-vous à la section Forum aux questions sur cette vulnérabilité. |
| • | Windows Internet Explorer 7 pour Windows XP Service Pack 2, Windows Internet Explorer 7 pour Windows XP Professionnel Édition x64, Windows Internet Explorer 7 pour Windows Server 2003 Service Pack 1, Windows Internet Explorer 7 pour Windows Server 2003 avec SP1 pour les systèmes Itanium, Windows Internet Explorer 7 pour Windows Server 2003 Édition x64 et Windows Internet Explorer 7 dans Windows Vista ne sont pas affectés par cette vulnérabilité. |
| • | Microsoft Internet Explorer 5.01 Service Pack 4 sur Windows 2000 Service Pack 4 n'est pas affecté par cette vulnérabilité. |
Solutions de contournement concernant la vulnérabilité de corruption de la mémoire liée à des fonctions script DHTML - CVE-2006-5581 : |
Microsoft a testé les solutions de contournement ci-dessous. Elles ne corrigent pas la vulnérabilité sous-jacente, mais elles permettent de bloquer les vecteurs d'attaque connus. Lorsqu'une solution de contournement réduit une fonctionnalité, elle est identifiée dans la section suivante :
| • | Configurer Internet Explorer de manière à ce qu'il désactive Active Scripting ou à ce qu'il vous avertisse avant de l'exécuter dans la zone de sécurité Intranet local et Internet. Vous pouvez vous protéger de cette vulnérabilité en modifiant vos paramètres afin d’être averti avant l’exécution d’Active Scripting ou afin de désactiver Active Scripting dans les zones de sécurité Intranet local et Internet. Procédez comme suit :
Remarque : La désactivation d'Active Scripting dans les zones de sécurité Intranet local et Internet risque de perturber le fonctionnement de certains sites Web. Si vous rencontrez des difficultés lors de la visite d’un site Web après avoir modifié ce paramètre et que vous êtes certain de la fiabilité de ce site, vous pouvez ajouter ce dernier à votre liste de sites de confiance. Il pourra ainsi s'afficher correctement. Impact de cette solution de contournement : L’affichage d’un message de confirmation avant l’exécution d'Active Scripting comporte des effets secondaires. De nombreux sites Web situés sur Internet ou sur un intranet utilisent Active Scripting pour offrir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peuvent utiliser Active Scripting pour proposer des menus, des bons de commande ou même des relevés de compte. L’affichage d’un message de confirmation avant l’exécution d'Active Scripting est un paramètre global qui affecte tous les sites Internet et intranet. De nombreux messages s’affichent lorsque vous mettez en œuvre cette solution de contournement. Pour chacun d’eux, si vous pensez que le site que vous visitez est un site de confiance, cliquez sur Oui afin d’exécuter Active Scripting. Si vous ne voulez pas recevoir d'invite pour tous ces sites, suivez les étapes décrites dans la section "Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer". Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer. Après avoir configuré Internet Explorer de telle sorte que des messages de confirmation s’affichent avant l’exécution des contrôles ActiveX et d'Active Scripting dans les zones Internet et Intranet local, vous pouvez ajouter des sites de confiance dans la zone Sites de confiance d’Internet Explorer. Cette opération vous permettra de continuer à utiliser vos sites de confiance exactement comme vous le faites aujourd’hui, tout en vous protégeant contre cette attaque sur les autres sites. Nous vous recommandons d’ajouter uniquement des sites de confiance à la zone Sites de confiance. Procédez comme suit :
Remarque : Ajoutez les sites dont vous savez qu’ils n'effectueront pas d’action malveillante sur votre ordinateur. Vous pouvez notamment ajouter les sites "*.windowsupdate.microsoft.com" et “*.update.microsoft.com” (sans les guillemets). Il s’agit des sites qui hébergent la mise à jour et ils requièrent un contrôle ActiveX pour leur installation. |
| • | Définissez les paramètres des zones Intranet local et Internet sur la valeur "Élevé" afin d'afficher un message de confirmation avant d'exécuter les contrôles ActiveX et Active Scripting dans ces zones Vous pouvez vous protéger contre cette vulnérabilité en modifiant les paramètres de la zone de sécurité Internet afin d’afficher un message de confirmation avant l’exécution des contrôles ActiveX et Active Scripting. Réglez la sécurité de votre navigateur sur la valeur Élevé. Pour augmenter le niveau de sécurité de navigation dans Microsoft Internet Explorer :
Remarque : Si aucun curseur n'est visible, cliquez sur Niveau par défaut, puis déplacez le curseur sur Élevé. Remarque : La définition du niveau de sécurité sur Élevé risque de perturber le fonctionnement de certains sites Web. Si vous rencontrez des difficultés lors de la visite d’un site Web après avoir modifié ce paramètre et que vous êtes certain de la fiabilité de ce site, vous pouvez ajouter ce dernier à votre liste de sites de confiance. Cela permettra à ce site de s'afficher correctement même si le niveau de sécurité est défini sur Élevé. Impact de cette solution de contournement : L’affichage d’un message de confirmation avant l’exécution des contrôles ActiveX et d'Active Scripting comporte des effets secondaires. De nombreux sites Web situés sur Internet ou sur un intranet utilisent ActiveX ou Active Scripting pour offrir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peuvent utiliser des contrôles ActiveX pour proposer des menus, des bons de commande ou même des relevés de compte. L’affichage d’un message de confirmation avant l’exécution d'Active Scripting ou de contrôles ActiveX est un paramètre global qui affecte tous les sites Internet et intranet. De nombreux messages s’affichent lorsque vous mettez en œuvre cette solution de contournement. Pour chacun d’eux, si vous pensez que le site que vous visitez est un site de confiance, cliquez sur Oui afin d’exécuter les contrôles ActiveX ou Active Scripting. Si vous ne voulez pas recevoir d'invite pour tous ces sites, suivez les étapes décrites dans la section "Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer". Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer. Après avoir configuré Internet Explorer de telle sorte que des messages de confirmation s’affichent avant l’exécution des contrôles ActiveX et d'Active Scripting dans les zones Internet et Intranet local, vous pouvez ajouter des sites de confiance dans la zone Sites de confiance d’Internet Explorer. Cette opération vous permettra de continuer à utiliser vos sites de confiance exactement comme vous le faites aujourd’hui, tout en vous protégeant contre cette attaque sur les autres sites. Nous vous recommandons d’ajouter uniquement des sites de confiance à la zone Sites de confiance. Procédez comme suit :
Remarque : Ajoutez les sites dont vous savez qu’ils n'effectueront pas d’action malveillante sur votre ordinateur. Vous pouvez notamment ajouter les sites "*.windowsupdate.microsoft.com" et “*.update.microsoft.com” (sans les guillemets). Il s’agit des sites qui hébergent la mise à jour et ils requièrent un contrôle ActiveX pour leur installation. |
Forum aux questions sur la vulnérabilité de corruption de la mémoire liée à des fonctions script DHTML - CVE-2006-5581 : |
Quelle est la portée de cette vulnérabilité ?
Il s'agit d'une vulnérabilité d'exécution de code à distance. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral d'un système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges.
Si un utilisateur a ouvert une session avec des privilèges d'administrateur, un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral d'un système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Quelle est la cause de cette vulnérabilité ?
Lorsqu'Internet Explorer interprète certains appels de fonctions script DHTML à des éléments non correctement créés, il peut corrompre la mémoire système et permettre à un attaquant d'exécuter du code arbitraire.
Que pourrait faire un attaquant en exploitant cette vulnérabilité ?
Tout attaquant parvenant à exploiter ces vulnérabilités pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Comment un attaquant peut-il exploiter cette vulnérabilité ?
Un attaquant pourrait héberger un site Web malveillant conçu pour exploiter ces vulnérabilités d'Internet Explorer, puis inciter un utilisateur à consulter ce site Web. Ceci pourrait également inclure des sites qui acceptent ou hébergent des publicités ou du contenu soumis par des internautes ou tout autre site compromis. Ces sites Web pourraient contenir du code spécialement conçu capable d'exploiter ces vulnérabilités. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l’utilisateur, généralement en l’incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site. Il pourrait également afficher un contenu Web spécialement conçu en imitant des panneaux publicitaires ou d'autres moyens afin d'envoyer du contenu Web aux systèmes affectés.
Quels sont les systèmes les plus exposés à cette vulnérabilité ?
Cette vulnérabilité permet l’exécution d’une action nuisible si et seulement si un utilisateur a ouvert une session et consulte un site Web. C’est pourquoi les systèmes sur lesquels Internet Explorer est fréquemment utilisé (comme les postes de travail des utilisateurs ou les serveurs de terminaux) sont les plus exposés à ces vulnérabilités.
J’utilise Internet Explorer sur Windows Server 2003. Ceci atténue-t-il ces vulnérabilités ?
Oui. Par défaut, Internet Explorer sur Windows Server 2003 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. Ce mode définit le niveau de sécurité pour la zone Internet sur Élevé. C'est un facteur atténuant pour les sites Web qui n'ont pas été ajoutés à la zone Sites de confiance d'Internet Explorer.
Qu'est-ce que la Configuration de sécurité améliorée d'Internet Explorer ?
La Configuration de sécurité améliorée d'Internet Explorer est un groupe de paramètres Internet Explorer pré-configurés qui réduit le risque qu'un utilisateur ou qu'un administrateur ne télécharge et n'exécute un contenu Web malveillant sur un serveur. La Configuration de sécurité améliorée d'Internet Explorer réduit ce risque en modifiant de nombreux paramètres liés à la sécurité. Ceci inclut les paramètres des onglets Sécurité et Avancé dans la boîte de dialogue Options Internet. Parmi les principales modifications :
| • | Le Niveau de sécurité pour la zone Internet est réglé à Élevé. Ce paramètre désactive les scripts, les contrôles ActiveX, la machine virtuelle Java de Microsoft et les téléchargements de fichiers. |
| • | La détection automatique des sites intranet est désactivée. Ce paramètre assigne à la zone Internet tous les sites Web intranet et les chemins d'accès UNC (Universal Naming Convention) qui ne figurent pas explicitement dans la zone Intranet local. |
| • | L’installation à la demande et les extensions non Microsoft sont désactivées. Ce paramétrage empêche les pages Web d'installer automatiquement des composants, et empêche les extensions non Microsoft de s'exécuter. |
| • | Le contenu multimédia est désactivé. Cela empêche l'exécution de musique, d'animations et de clips vidéo. |
Pour plus d’informations sur la Configuration de sécurité améliorée d'Internet Explorer, consultez le guide "Managing Internet Explorer Enhanced Security Configuration" (Gestion de la configuration de sécurité améliorée d’Internet Explorer), sur ce site Web.
Que fait cette mise à jour ?
La mise à jour supprime la vulnérabilité en modifiant la façon dont Internet Explorer traite l'appel de fonctions script DHTML.
Lors de la parution de ce bulletin de sécurité, cette vulnérabilité avait-elle été dévoilée ?
Non. Microsoft a été informé de cette vulnérabilité par une divulgation responsable.
Lors de la parution de ce bulletin de sécurité, Microsoft avait-il été informé d’une éventuelle exploitation de cette vulnérabilité ?
Non. Lors de la première publication de ce bulletin, Microsoft n’avait reçu aucune information indiquant que cette vulnérabilité avait été utilisée pour attaquer des clients, et n’avait pas la connaissance de la publication d’un tel code.
Vulnérabilité de divulgation d'informations du dossier Temporary Internet Files (TIFF) - CVE-2006-5578 |
Il existe dans Internet Explorer une vulnérabilité de divulgation d'informations liée au traitement des opérations Glisser-déplacer dans certaines situations. Un attaquant pourrait exploiter cette vulnérabilité en créant une page Web spécialement conçue qui pourrait permettre la divulgation d'informations lorsqu'un utilisateur l'affiche et interagit avec elle. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait récupérer des fichiers du dossier Temporary Internet Files (TIFF) sur le système d'un utilisateur.
Facteurs atténuants concernant la vulnérabilité de divulgation d'informations du dossier Temporary Internet Files (TIFF) - CVE-2006-5578 : |
| • | Cependant, l’exploitation de cette vulnérabilité nécessite une interaction avec l’utilisateur. |
| • | Pour une attaque Web, l'attaquant devrait héberger un site Web qui contiendrait une page Web spécialement conçue pour exploiter ces vulnérabilités. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent des contenus ou des annonces provenant d'utilisateurs pourraient contenir un contenu malveillant susceptible d'exploiter ces vulnérabilités. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l’utilisateur, généralement en l’incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site. |
| • | Par défaut, dans toutes les versions de Microsoft Outlook prises en charge et dans Microsoft Outlook Express, les messages au format HTML sont ouverts dans la zone Sites sensibles. La zone Sites sensibles contribue à réduire les attaques qui tenteraient d'exploiter cette vulnérabilité en empêchant Active Scripting et les contrôles ActiveX d'être utilisés lors de la lecture de messages au format HTML. Cependant, en cliquant sur un lien figurant dans un message électronique, l'utilisateur s'expose toujours à une attaque Web. |
| • | Par défaut, Internet Explorer sur Windows Server 2003 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. Ce mode définit le niveau de sécurité pour la zone Internet sur Élevé. C'est un facteur atténuant pour les sites Web qui n'ont pas été ajoutés à la zone Sites de confiance d'Internet Explorer. Pour plus d'informations sur la Configuration de sécurité améliorée d'Internet Explorer, reportez-vous à la section Forum aux questions sur cette vulnérabilité. |
| • | Windows Internet Explorer 7 pour Windows XP Service Pack 2, Windows Internet Explorer 7 pour Windows XP Professionnel Édition x64, Windows Internet Explorer 7 pour Windows Server 2003 Service Pack 1, Windows Internet Explorer 7 pour Windows Server 2003 avec SP1 pour les systèmes Itanium, Windows Internet Explorer 7 pour Windows Server 2003 Édition x64 et Windows Internet Explorer 7 dans Windows Vista ne sont pas affectés par cette vulnérabilité. |
Solutions de contournement concernant la vulnérabilité de divulgation d'informations du dossier Temporary Internet Files (TIFF) - CVE-2006-5578 : |
Microsoft a testé les solutions de contournement ci-dessous. Elles ne corrigent pas la vulnérabilité sous-jacente, mais elles permettent de bloquer les vecteurs d'attaque connus. Lorsqu'une solution de contournement réduit une fonctionnalité, elle est identifiée dans la section suivante :
| • | Désactiver l'option « Glisser-déplacer ou copier-coller les fichiers » dans Internet Explorer Désactiver l'option the Glisser-déplacer ou copier-coller les fichiers dans les zones Internet et Intranet. Procédez comme suit :
Remarque : Répétez ces étapes pour la zone Intranet local en cliquant sur Intranet local au lieu d'Internet à l'étape 2. |
| • | Configurer Internet Explorer de manière à ce qu'il désactive Active Scripting ou à ce qu'il vous avertisse avant de l'exécuter dans la zone de sécurité Intranet local et Internet. Vous pouvez vous protéger de cette vulnérabilité en modifiant vos paramètres afin d’être averti avant l’exécution d’Active Scripting ou afin de désactiver Active Scripting dans les zones de sécurité Intranet local et Internet. Procédez comme suit :
Remarque : La désactivation d'Active Scripting dans les zones de sécurité Intranet local et Internet risque de perturber le fonctionnement de certains sites Web. Si vous rencontrez des difficultés lors de la visite d’un site Web après avoir modifié ce paramètre et que vous êtes certain de la fiabilité de ce site, vous pouvez ajouter ce dernier à votre liste de sites de confiance. Il pourra ainsi s'afficher correctement. Impact de cette solution de contournement : L’affichage d’un message de confirmation avant l’exécution d'Active Scripting comporte des effets secondaires. De nombreux sites Web situés sur Internet ou sur un intranet utilisent Active Scripting pour offrir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peuvent utiliser Active Scripting pour proposer des menus, des bons de commande ou même des relevés de compte. L’affichage d’un message de confirmation avant l’exécution d'Active Scripting est un paramètre global qui affecte tous les sites Internet et intranet. De nombreux messages s’affichent lorsque vous mettez en œuvre cette solution de contournement. Pour chacun d’eux, si vous pensez que le site que vous visitez est un site de confiance, cliquez sur Oui afin d’exécuter Active Scripting. Si vous ne voulez pas recevoir d'invite pour tous ces sites, suivez les étapes décrites dans la section "Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer". |
| • | Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer Après avoir configuré Internet Explorer de telle sorte que des messages de confirmation s’affichent avant l’exécution des contrôles ActiveX et d'Active Scripting dans les zones Internet et Intranet local, vous pouvez ajouter des sites de confiance dans la zone Sites de confiance d’Internet Explorer. Cette opération vous permettra de continuer à utiliser vos sites de confiance exactement comme vous le faites aujourd’hui, tout en vous protégeant contre cette attaque sur les autres sites. Nous vous recommandons d’ajouter uniquement des sites de confiance à la zone Sites de confiance. Procédez comme suit :
Remarque : Ajoutez les sites dont vous savez qu’ils n'effectueront pas d’action malveillante sur votre ordinateur. Vous pouvez notamment ajouter les sites "*.windowsupdate.microsoft.com" et “*.update.microsoft.com” (sans les guillemets). Il s’agit des sites qui hébergent la mise à jour et ils requièrent un contrôle ActiveX pour leur installation. |
| • | Définissez les paramètres des zones Intranet local et Internet sur la valeur "Élevé" afin d'afficher un message de confirmation avant d'exécuter les contrôles ActiveX et Active Scripting dans ces zones Vous pouvez vous protéger contre cette vulnérabilité en modifiant vos paramètres pour la zone de sécurité Internet afin d'afficher un message de confirmation avant l’exécution des contrôles ActiveX. Réglez la sécurité de votre navigateur sur la valeur Élevé. Pour augmenter le niveau de sécurité de navigation dans Microsoft Internet Explorer :
Remarque : Si aucun curseur n'est visible, cliquez sur Niveau par défaut, puis déplacez le curseur sur Élevé. Remarque : La définition du niveau de sécurité sur Élevé risque de perturber le fonctionnement de certains sites Web. Si vous rencontrez des difficultés lors de la visite d’un site Web après avoir modifié ce paramètre et que vous êtes certain de la fiabilité de ce site, vous pouvez ajouter ce dernier à votre liste de sites de confiance. Cela permettra à ce site de s'afficher correctement même si le niveau de sécurité est défini sur Élevé. Impact de cette solution de contournement : L’affichage d’un message de confirmation avant l’exécution des contrôles ActiveX et d'Active Scripting comporte des effets secondaires. De nombreux sites Web situés sur Internet ou sur un intranet utilisent ActiveX ou Active Scripting pour offrir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peuvent utiliser des contrôles ActiveX pour proposer des menus, des bons de commande ou même des relevés de compte. L’affichage d’un message de confirmation avant l’exécution d'Active Scripting ou de contrôles ActiveX est un paramètre global qui affecte tous les sites Internet et intranet. De nombreux messages s’affichent lorsque vous mettez en œuvre cette solution de contournement. Pour chacun d’eux, si vous pensez que le site que vous visitez est un site de confiance, cliquez sur Oui afin d’exécuter les contrôles ActiveX ou Active Scripting. Si vous ne voulez pas recevoir d'invite pour tous ces sites, suivez les étapes décrites dans la section "Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer". |
| • | Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer Après avoir configuré Internet Explorer de telle sorte que des messages de confirmation s’affichent avant l’exécution des contrôles ActiveX et d'Active Scripting dans les zones Internet et Intranet local, vous pouvez ajouter des sites de confiance dans la zone Sites de confiance d’Internet Explorer. Cette opération vous permettra de continuer à utiliser vos sites de confiance exactement comme vous le faites aujourd’hui, tout en vous protégeant contre cette attaque sur les autres sites. Nous vous recommandons d’ajouter uniquement des sites de confiance à la zone Sites de confiance. Procédez comme suit :
Remarque : Ajoutez les sites dont vous savez qu’ils n'effectueront pas d’action malveillante sur votre ordinateur. Vous pouvez notamment ajouter les sites "*.windowsupdate.microsoft.com" et “*.update.microsoft.com” (sans les guillemets). Il s’agit des sites qui hébergent la mise à jour et ils requièrent un contrôle ActiveX pour leur installation. |
Forum aux questions sur la vulnérabilité de divulgation d'informations du dossier Temporary Internet Files (TIFF) - CVE-2006-5578 : |
Quelle est la portée de cette vulnérabilité ?
Il s'agit d'une vulnérabilité de divulgation d'informations. Un attaquant pourrait exploiter la vulnérabilité en créant une page Web spécialement conçue qui pourrait permettre la divulgation d'informations du contenu mis en cache dans le dossier Temporary Internet Files (TIFF) si un utilisateur a affiché la page Web et interagi avec elle.
Quelle est la cause de cette vulnérabilité ?
La vulnérabilité est liée à la manière dont Internet Explorer traite les opérations Glisser-déplacer dans les certaines situations.
Que pourrait faire un attaquant en exploitant cette vulnérabilité ?
Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait récupérer des fichiers du dossier Temporary Internet Files (TIFF) sur le système d'un utilisateur.
Comment un attaquant peut-il exploiter cette vulnérabilité ?
Un attaquant pourrait héberger un site Web malveillant conçu pour exploiter cette vulnérabilité d'Internet Explorer, puis inciter un utilisateur à consulter ce site Web. Ceci pourrait également inclure des sites qui acceptent ou hébergent des publicités ou du contenu soumis par des internautes ou tout autre site compromis. Ces sites Web pourraient contenir du code spécialement conçu capable d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l’utilisateur, généralement en l’incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site. Il pourrait également afficher un contenu Web spécialement conçu en imitant des panneaux publicitaires ou d'autres moyens afin d'envoyer du contenu Web aux systèmes affectés.
Quels sont les systèmes les plus exposés à cette vulnérabilité ?
Cette vulnérabilité permet l’exécution d’une action nuisible si et seulement si un utilisateur a ouvert une session et consulte un site Web. C’est pourquoi les systèmes sur lesquels Internet Explorer est fréquemment utilisé (comme les postes de travail des utilisateurs ou les serveurs de terminaux) sont les plus exposés à cette vulnérabilité.
J’utilise Internet Explorer sur Windows Server 2003. Ceci atténue-t-il ces vulnérabilités ?
Oui. Par défaut, Internet Explorer sur Windows Server 2003 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. Ce mode définit le niveau de sécurité pour la zone Internet sur Élevé. C'est un facteur atténuant pour les sites Web qui n'ont pas été ajoutés à la zone Sites de confiance d'Internet Explorer.
Qu'est-ce que la Configuration de sécurité améliorée d'Internet Explorer ?
La Configuration de sécurité améliorée d'Internet Explorer est un groupe de paramètres Internet Explorer pré-configurés qui réduit le risque qu'un utilisateur ou qu'un administrateur ne télécharge et n'exécute un contenu Web malveillant sur un serveur. La Configuration de sécurité améliorée d'Internet Explorer réduit ce risque en modifiant de nombreux paramètres liés à la sécurité. Ceci inclut les paramètres des onglets Sécurité et Avancé dans la boîte de dialogue Options Internet. Parmi les principales modifications :
| • | Le Niveau de sécurité pour la zone Internet est réglé à Élevé. Ce paramètre désactive les scripts, les contrôles ActiveX, la machine virtuelle Java de Microsoft et les téléchargements de fichiers. |
| • | La détection automatique des sites intranet est désactivée. Ce paramètre assigne à la zone Internet tous les sites Web intranet et les chemins d'accès UNC (Universal Naming Convention) qui ne figurent pas explicitement dans la zone Intranet local. |
| • | L’installation à la demande et les extensions non Microsoft sont désactivées. Ce paramétrage empêche les pages Web d'installer automatiquement des composants, et empêche les extensions non Microsoft de s'exécuter. |
| • | Le contenu multimédia est désactivé. Cela empêche l'exécution de musique, d'animations et de clips vidéo. |
Pour plus d’informations sur la Configuration de sécurité améliorée d'Internet Explorer, consultez le guide "Managing Internet Explorer Enhanced Security Configuration" (Gestion de la configuration de sécurité améliorée d’Internet Explorer), sur ce site Web.
Que fait cette mise à jour ?
La mise à jour supprime la vulnérabilité en s'assurant que l'opération Glisser-déplacer n'expose pas l'emplacement du contenu mis en cache dans le dossier Temporary Internet Files (TIFF).
Lors de la parution de ce bulletin de sécurité, cette vulnérabilité avait-elle été dévoilée ?
Non. Microsoft a été informé de cette vulnérabilité par une divulgation responsable. Lors de la première publication de ce bulletin, Microsoft n’avait reçu aucune information faisant état d'une divulgation publique de cette vulnérabilité.
Lors de la parution de ce bulletin de sécurité, Microsoft avait-il été informé d’une éventuelle exploitation de cette vulnérabilité ?
Non. Lors de la première publication de ce bulletin, Microsoft n’avait reçu aucune information indiquant que cette vulnérabilité avait été utilisée pour attaquer des clients, et n’avait pas la connaissance de la publication d’un tel code.
Vulnérabilité de divulgation d'informations du dossier Temporary Internet Files (TIFF) - CVE-2006-5577 : |
Il existe dans Internet Explorer une vulnérabilité de divulgation d'informations, pour certains scénarios où le chemin d'accès au contenu mis en cache dans le dossier Temporary Internet Files (TIFF) pourrait être divulgué. Un attaquant pourrait exploiter cette vulnérabilité en créant une page Web qui pourrait autoriser la divulgation d'informations lorsqu'un utilisateur l'affiche. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait récupérer des fichiers du dossier Temporary Internet Files (TIFF) sur le système d'un utilisateur. Toutefois, l’exploitation de cette vulnérabilité nécessite une action de l’utilisateur.
Facteurs atténuants concernant la vulnérabilité de divulgation d'informations du dossier Temporary Internet Files (TIFF) - CSV-2006-5577 : |
| • | Pour une attaque Web, l'attaquant devrait héberger un site Web qui contiendrait une page Web spécialement conçue pour exploiter ces vulnérabilités. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent des contenus ou des annonces provenant d'utilisateurs pourraient contenir un contenu malveillant susceptible d'exploiter ces vulnérabilités. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l’utilisateur, généralement en l’incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site. |
| • | Par défaut, dans toutes les versions de Microsoft Outlook prises en charge et dans Microsoft Outlook Express, les messages au format HTML sont ouverts dans la zone Sites sensibles. La zone Sites sensibles contribue à réduire les attaques qui tenteraient d'exploiter cette vulnérabilité en empêchant Active Scripting et les contrôles ActiveX d'être utilisés lors de la lecture de messages au format HTML. Cependant, en cliquant sur un lien figurant dans un message électronique, l'utilisateur s'expose toujours à une attaque Web. |
| • | Par défaut, Internet Explorer sur Windows Server 2003 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. Ce mode définit le niveau de sécurité pour la zone Internet sur Élevé. C'est un facteur atténuant pour les sites Web qui n'ont pas été ajoutés à la zone Sites de confiance d'Internet Explorer. Pour plus d'informations sur la Configuration de sécurité améliorée d'Internet Explorer, reportez-vous à la section Forum aux questions sur cette vulnérabilité. |
| • | Windows Internet Explorer 7 pour Windows XP Service Pack 2, Windows Internet Explorer 7 pour Windows XP Professionnel Édition x64, Windows Internet Explorer 7 pour Windows Server 2003 Service Pack 1, Windows Internet Explorer 7 pour Windows Server 2003 avec SP1 pour les systèmes Itanium, Windows Internet Explorer 7 pour Windows Server 2003 Édition x64 et Windows Internet Explorer 7 dans Windows Vista ne sont pas affectés par cette vulnérabilité. |
Solutions de contournement concernant la vulnérabilité de divulgation d'informations du dossier Temporary Internet Files (TIFF) - CVE-2006-5577 : |
Microsoft a testé les solutions de contournement ci-dessous. Elles ne corrigent pas la vulnérabilité sous-jacente, mais elles permettent de bloquer les vecteurs d'attaque connus. Lorsqu'une solution de contournement réduit une fonctionnalité, elle est identifiée dans la section suivante :
| • | Configurer Internet Explorer de manière à ce qu'il désactive les contrôles ActiveX ou à ce qu'il vous avertisse avant de les exécuter dans la zone de sécurité Intranet local et Internet Vous pouvez vous protéger contre ces vulnérabilités en modifiant vos paramètres Internet Explorer afin d’afficher un message de confirmation avant l’exécution des contrôles ActiveX. Procédez comme suit :
Impact de cette solution de contournement : L’affichage d’un message de confirmation avant l’exécution des contrôles ActiveX comporte des effets secondaires. De nombreux sites Web situés sur Internet ou sur un intranet utilisent les contrôles ActiveX pour offrir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peuvent utiliser des contrôles ActiveX pour proposer des menus, des bons de commande ou même des relevés de compte. L'affichage d'un message de confirmation avant l'exécution des contrôles ActiveX est un paramètre global qui affecte tous les sites Internet et intranet. De nombreux messages s’affichent lorsque vous mettez en œuvre cette solution de contournement. Pour chacun d'eux, si vous pensez que le site que vous visitez est un site de confiance, cliquez sur Oui afin d’exécuter les contrôles ActiveX. Si vous ne voulez pas recevoir d'invite pour tous ces sites, suivez les étapes décrites dans la section "Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer". Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer Après avoir configuré Internet Explorer de telle sorte que des messages de confirmation s’affichent avant l’exécution des contrôles ActiveX et d'Active Scripting dans les zones Internet et Intranet local, vous pouvez ajouter des sites de confiance dans la zone Sites de confiance d’Internet Explorer. Cette opération vous permettra de continuer à utiliser vos sites de confiance exactement comme vous le faites aujourd’hui, tout en vous protégeant contre cette attaque sur les autres sites. Nous vous recommandons d’ajouter uniquement des sites de confiance à la zone Sites de confiance. Procédez comme suit :
Remarque : Ajoutez les sites dont vous savez qu’ils n'effectueront pas d’action malveillante sur votre ordinateur. Vous pouvez notamment ajouter les sites "*.windowsupdate.microsoft.com" et “*.update.microsoft.com” (sans les guillemets). Il s’agit des sites qui hébergent la mise à jour et ils requièrent un contrôle ActiveX pour leur installation. |
| • | Définissez les paramètres des zones Intranet local et Internet sur la valeur "Élevé" afin d'afficher un message de confirmation avant d'exécuter les contrôles ActiveX et Active Scripting dans ces zones Vous pouvez vous protéger contre ces vulnérabilités en modifiant vos paramètres pour la zone de sécurité Internet afin d'afficher un message de confirmation avant l’exécution des contrôles ActiveX. Réglez la sécurité de votre navigateur sur la valeur Élevé. Pour augmenter le niveau de sécurité de navigation dans Microsoft Internet Explorer :
Remarque : Si aucun curseur n'est visible, cliquez sur Niveau par défaut, puis déplacez le curseur sur Élevé. Remarque : La définition du niveau de sécurité sur Élevé risque de perturber le fonctionnement de certains sites Web. Si vous rencontrez des difficultés lors de la visite d’un site Web après avoir modifié ce paramètre et que vous êtes certain de la fiabilité de ce site, vous pouvez ajouter ce dernier à votre liste de sites de confiance. Cela permettra à ce site de s'afficher correctement même si le niveau de sécurité est défini sur Élevé. Impact de cette solution de contournement : L’affichage d’un message de confirmation avant l’exécution des contrôles ActiveX comporte des effets secondaires. De nombreux sites Web situés sur Internet ou sur un intranet utilisent les contrôles ActiveX pour offrir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peuvent utiliser des contrôles ActiveX pour proposer des menus, des bons de commande ou même des relevés de compte. L'affichage d'un message de confirmation avant l'exécution des contrôles ActiveX est un paramètre global qui affecte tous les sites Internet et intranet. De nombreux messages s’affichent lorsque vous mettez en œuvre cette solution de contournement. Pour chacun d'eux, si vous pensez que le site que vous visitez est un site de confiance, cliquez sur Oui afin d’exécuter les contrôles ActiveX. Si vous ne voulez pas recevoir d'invite pour tous ces sites, suivez les étapes décrites dans la section "Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer". Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer Après avoir configuré Internet Explorer de telle sorte que des messages de confirmation s’affichent avant l’exécution des contrôles ActiveX et d'Active Scripting dans les zones Internet et Intranet local, vous pouvez ajouter des sites de confiance dans la zone Sites de confiance d’Internet Explorer. Cette opération vous permettra de continuer à utiliser vos sites de confiance exactement comme vous le faites aujourd’hui, tout en vous protégeant contre cette attaque sur les autres sites. Nous vous recommandons d’ajouter uniquement des sites de confiance à la zone Sites de confiance. Procédez comme suit :
Remarque : Ajoutez les sites dont vous savez qu’ils n'effectueront pas d’action malveillante sur votre ordinateur. Vous pouvez notamment ajouter les sites "*.windowsupdate.microsoft.com" et “*.update.microsoft.com” (sans les guillemets). Il s’agit des sites qui hébergent la mise à jour et ils requièrent un contrôle ActiveX pour leur installation. |