Bulletin de sécurité Microsoft MS07-054 - Important

Comment sera distribuée cette mise à niveau ?  
Dès qu'ils se connectent au service MSN Messenger, les utilisateurs de MSN Messenger 6.2 et MSN Messenger 7.0 utilisant des éditions du système d'exploitation Windows antérieures à Windows XP seront invités, par le biais du mécanisme de déploiement des clients du service MSN Messenger, à accepter la mise à niveau vers MSN Messenger 7.0.0820.

Les utilisateurs qui souhaitent télécharger immédiatement la mise à niveau vers MSN Messenger 7.0.0820 peuvent le faire en utilisant le lien vers le Centre de téléchargement disponible dans le tableau « Logiciels concernés ». Veuillez noter que ceci concerne uniquement les utilisateurs de MSN Messenger 6.2 et MSN Messenger 7.0 sur les éditions prises en charge de Microsoft Windows 2000 Service Pack 4.

Dès qu'ils se connectent au service MSN Messenger ou Windows Live Messenger, les utilisateurs de MSN Messenger 6.2, MSN Messenger 7.0, MSN Messenger 7.5 et Windows Live Messenger 8.0 sur Windows XP et éditions ultérieures seront invités, par le biais du mécanisme de déploiement des clients du service MSN Messenger ou Windows Live Messenger, à accepter la mise à niveau vers Windows Live Messenger 8.1.

Les utilisateurs qui souhaitent télécharger immédiatement la mise à niveau vers Windows Live Messenger 8.1 peuvent le faire en utilisant le lien vers le Centre de téléchargement disponible dans le tableau « Logiciels concernés ». Veuillez noter que ceci concerne uniquement les utilisateurs de MSN Messenger 6.2, MSN Messenger 7.0, MSN Messenger 7.5 et Windows Live Messenger 8.0 sur les éditions prises en charge de Microsoft Windows XP Service Pack 2 et éditions ultérieures.

Les utilisateurs de versions vulnérables de MSN Messenger ou Windows Live Messenger ne seront pas autorisés à se connecter au service MSN Messenger ou Windows Live Messenger.

Pourquoi Microsoft publie-t-il cette mise à niveau par l'intermédiaire du service MSN Messenger ou Windows Live Messenger et par téléchargement ?  
Microsoft publie actuellement les mises à niveau pour MSN Messenger ou Windows Live Messenger en utilisant le service MSN Messenger ou Windows Live Messenger car ces services en ligne ont leur propre mécanisme de déploiement des clients. Toutefois, les liens de téléchargement sont également disponibles, parce que les utilisateurs peuvent vouloir télécharger les mises à niveau immédiatement.

S'il s'agit d'une mise à niveau, comment puis-je détecter si j'ai une version vulnérable de MSN Messenger ou Windows Live Messenger ?  
Lorsque vous essayez de vous connecter au service MSN Messenger ou Windows Live Messenger, le mécanisme de déploiement des clients détermine automatiquement votre version et votre plate-forme actuelles et recommande, le cas échéant, la mise à niveau appropriée. Vous pouvez également vouloir vérifier la version de votre client MSN Messenger ou Windows Live Messenger client en cliquant sur Aide et sur À propos.

Que se passe-t-il si je ne mets pas à niveau vers MSN Messenger 7.0.0820 ou Windows Live Messenger 8.1 ?  
Si vous n'effectuez pas de mise à niveau vers une version non affectée de MSN Messenger ou de Windows Live Messenger en fonction de votre plate-forme, une demande de mise à niveau apparaîtra à chaque fois que vous essaierez de vous connecter. Si vous n'acceptez pas la mise à niveau, vous pourrez ne pas être autorisé à accéder au service MSN Messenger ou Windows Live Messenger. Consultez la liste « Logiciels non concernés » de cette section pour obtenir des détails sur les plates-formes et les versions à niveau des clients MSN Messenger et Windows Live Messenger.

Les autres applications de collaboration en temps réel de Microsoft telles que Windows Messenger ou Office Communicator sont-elles concernées par cette vulnérabilité ?  
Non. Les autres applications de messagerie ne sont pas concernées car elles ne contiennent pas le composant vulnérable.

Il existe une vulnérabilité d'exécution de code à distance dans MSN Messenger 6.2, MSN Messenger 7.0, MSN Messenger 7.5 et Windows Live Messenger 8.0. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un utilisateur acceptait une invitation à une conversation vidéo ou par Webcam envoyée par un attaquant. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Pour afficher cette vulnérabilité en tant qu'entrée standard dans la liste « Common Vulnerabilities and Exposures », consultez la référence CVE-2007-2931.

Une atténuation fait référence à un paramètre, une configuration générale ou à des préférences existant dans un état par défaut qui pourraient diminuer l'impact de l'exploitation d'une vulnérabilité. Les facteurs atténuants suivants peuvent être utiles, selon votre situation :

•	Pour pouvoir exploiter cette vulnérabilité, un attaquant devrait inciter un utilisateur à accepter une invitation de conversation vidéo ou par Webcam dans un message MSN Messenger ou Windows Live Messenger. Un attaquant n'aurait aucun moyen de forcer un utilisateur à accepter l'invitation de conversation vidéo ou de conversation par Webcam. Il devrait l'inciter à accepter l'invitation de conversation vidéo ou de conversation par Webcam.
•	Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
•	Les utilisateurs de Windows Live Messenger 8.1, publié en janvier 2007, sont déjà protégés contre cette vulnérabilité. Les utilisateurs de MSN Messenger 7.0.0820, publié récemment, sont déjà protégés contre cette vulnérabilité.

Top of section

Une solution de contournement fait référence à une modification de paramètre ou de configuration qui ne corrige pas la vulnérabilité sous-jacente mais qui pourrait contribuer à bloquer certains vecteurs d'attaque connus jusqu'à ce que la mise à niveau soit effectuée. Microsoft a testé les solutions de contournement suivantes et indique le cas échéant si une solution réduit certaines fonctionnalités :

•	Bloquer le trafic MSN Messenger ou Windows Live Messenger en utilisant ISA Server. Consultez l’Article 925120 de la Base de connaissances Microsoft. Impact de cette solution de contournement : Ceci empêche le trafic MSN Messenger ou Windows Live Messenger d'entrer ou de quitter votre entreprise.
•	Bloquer les ports réseau concernant MSN Messenger ou Windows Live Messenger. Consultez l’Article 927847 de la Base de connaissances Microsoft. Impact de cette solution de contournement : Ceci permet aux administrateurs de bloquer les conversations vidéo ou par Webcam sans bloquer la totalité du trafic MSN Messenger ou Windows Live Messenger.

Top of section

Quelle est la portée de cette vulnérabilité ?  
Il s'agit d'une vulnérabilité d'exécution de code à distance. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Quelle est la cause de cette vulnérabilité ?  
Il existe une vulnérabilité dans la manière dont MSN Messenger ou Windows Live Messenger traite des sessions de conversation vidéo ou par Webcam spécialement conçues. Par conséquent, la mémoire pourrait être corrompue et permettre à un attaquant d'exécuter du code arbitraire dans le contexte d'un utilisateur connecté.

Que pourrait faire un attaquant en exploitant cette vulnérabilité ?  
Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Comment un attaquant peut-il exploiter cette vulnérabilité ?  
Un attaquant pourrait envoyer une invitation à participer à une session de conversation vidéo ou par Webcam spécialement conçue pour exploiter cette vulnérabilité. Cependant, un attaquant n'aurait aucun moyen de forcer un utilisateur à accepter une invitation de conversation vidéo ou de conversation par Webcam. Il devrait l'inciter à accepter l'invitation de conversation vidéo ou de conversation par Webcam.

Quels sont les systèmes les plus exposés à cette vulnérabilité ?  
L'exploitation de cette vulnérabilité nécessite qu'un utilisateur soit se connecté au service MSN Messenger ou Windows Live Messenger et qu'il accepte une invitation de conversation vidéo ou de conversation par Webcam. Par conséquent, tous les systèmes sur lesquels MSN Messenger 6.2, MSN Messenger 7.0, MSN Messenger 7.5 ou Windows Live Messenger 8.0 sont utilisés, tels que les postes de travail ou les serveurs, sont exposés à cette vulnérabilité.

Que fait cette mise à jour ?  
Les versions MSN Messenger 7.0.0820 et Windows Live Messenger 8.1 ont été mises à jour pour gérer correctement les sessions de conversation vidéo ou par Webcam.

Je n'utilise pas de webcam. Dois-je toujours procéder à une mise à niveau ?  
Oui. Lorsque vous ouvrez une session, le service MSN Messenger ou Windows Live Messenger vous demande, le cas échéant, d'effectuer une mise à niveau vers le client MSN Messenger ou Windows Live Messenger approprié à votre plate-forme.

Lors de la parution de ce bulletin de sécurité, cette vulnérabilité avait-elle été dévoilée ?  
Oui. Cette vulnérabilité a été révélée publiquement. Elle a reçu le numéro « Common Vulnerability and Exposure » CVE-2007-2931.

Lors de la parution de ce bulletin de sécurité, Microsoft avait-il été informé d’une éventuelle exploitation de cette vulnérabilité ?  
Non. Lors de la première publication de ce bulletin, Microsoft avait vu des exemples et des preuves de la publication d’un tel code, mais n’avait reçu aucune information indiquant que cette vulnérabilité avait été utilisée pour attaquer des clients.

Top of section

Logiciels concernés

Pour obtenir des informations sur la mise à jour de sécurité spécifique aux Logiciels concernés, cliquez sur le lien approprié :

Tableau de référence

Le tableau suivant contient des informations sur la mise à niveau vers MSN Messenger 7.0.0820 :

Conditions requises	MSN Messenger 6.2 sur Microsoft Windows 2000 Service Pack 4 MSN Messenger 7.0 sur Microsoft Windows 2000 Service Pack 4
Déploiement	Lors de la connexion au service MSN Messenger, acceptez la mise à niveau vers MSN Messenger 7.0.0820. Les utilisateurs qui souhaitent télécharger immédiatement la mise à niveau vers MSN Messenger 7.0.0820 peuvent le faire en utilisant le lien vers le Centre de téléchargement disponible dans le tableau « Logiciels concernés ». Veuillez noter que ceci concerne uniquement les utilisateurs de MSN Messenger 6.2 et MSN Messenger 7.0 sur les éditions prises en charge de Microsoft Windows 2000 Service Pack 4.
Nécessité de redémarrer	Oui, vous devrez probablement redémarrer votre système après l'avoir mis à niveau si, des utilisateurs possèdent des sessions MSN Messenger actives sur le système.
Informations de désinstallation	Utilisez Ajout/Suppression de programmes dans le Panneau de configuration.
Vérification de la mise à niveau	Dans MSN Messenger, cliquez sur Aide, puis sur À propos de. Vérifiez que le numéro de version est 7.0.0820.

Top of section

Tableau de référence

Le tableau suivant contient des informations pour procéder à une mise à niveau vers Windows Live Messenger 8.1 :

Conditions requises	MSN Messenger 6.2 sur Windows XP Service Pack 2 MSN Messenger 7.0 sur Windows XP Service Pack 2 MSN Messenger 7.5 sur Windows XP Service Pack 2 Windows Live Messenger 8.0 sur Windows XP Service Pack 2 MSN Messenger 6.2 sur Windows XP Professionnel Édition x64 MSN Messenger 7.0 sur Windows XP Professionnel Édition x64 MSN Messenger 7.5 sur Windows XP Professionnel Édition x64 Windows Live Messenger 8.0 sur Windows XP Professionnel Édition x64 MSN Messenger 6.2 sur Windows XP Professionnel Édition x64 Service Pack 2 MSN Messenger 7.0 sur Windows XP Professionnel Édition x64 Service Pack 2 MSN Messenger 7.5 sur Windows XP Professionnel Édition x64 Service Pack 2 Windows Live Messenger 8.0 sur Windows XP Professionnel Édition x64 Service Pack 2 MSN Messenger 6.2 sur Windows Server 2003 Service Pack 1 et Windows Server 2003 Service Pack 2 MSN Messenger 7.0 sur Windows Server 2003 Service Pack 1 et Windows Server 2003 Service Pack 2 MSN Messenger 7.5 sur Windows Server 2003 Service Pack 1 et Windows Server 2003 Service Pack 2 Windows Live Messenger 8.0 sur Windows Server 2003 Service Pack 1 et Windows Server 2003 Service Pack 2 MSN Messenger 6.2 sur Windows Server 2003 Édition x64 MSN Messenger 7.0 sur Windows Server 2003 Édition x64 MSN Messenger 7.5 sur Windows Server 2003 Édition x64 Windows Live Messenger 8.0 sur Windows Server 2003 Édition x64 MSN Messenger 6.2 sur Windows Server 2003 Édition x64 Service Pack 2 MSN Messenger 7.0 sur Windows Server 2003 Édition x64 Service Pack 2 MSN Messenger 7.5 sur Windows Server 2003 Édition x64 Service Pack 2 Windows Live Messenger 8.0 sur Windows Server 2003 Édition x64 Service Pack 2 MSN Messenger 6.2 sur Windows Vista MSN Messenger 7.0 sur Windows Vista MSN Messenger 7.5 sur Windows Vista Windows Live Messenger 8.0 sur Windows Vista MSN Messenger 6.2 sur Windows Vista Édition x64 MSN Messenger 7.0 sur Windows Vista Édition x64 MSN Messenger 7.5 sur Windows Vista Édition x64 Windows Live Messenger 8.0 sur Windows Vista Édition 64
Déploiement	Lors de la connexion au service MSN Messenger ou au service Windows Live Messenger, acceptez la mise à niveau vers Windows Live Messenger 8.1. Les utilisateurs qui souhaitent télécharger immédiatement la mise à niveau vers Windows Live Messenger 8.1 peuvent le faire en utilisant le lien vers le Centre de téléchargement disponible dans le tableau « Logiciels concernés ». Veuillez noter que ceci concerne uniquement les utilisateurs de MSN Messenger 6.2, MSN Messenger 7.0, MSN Messenger 7.5 et Windows Live Messenger 8.0 sur les éditions prises en charge de Microsoft Windows 2000 Service Pack 4.
Nécessité de redémarrer	Oui, vous devrez probablement redémarrer votre système après l'avoir mis à niveau si, des utilisateurs possèdent des sessions MSN Messenger ou Windows Live Messenger actives sur le système.
Informations de désinstallation	Utilisez Ajout/Suppression de programmes dans le Panneau de configuration.
Vérification de la mise à niveau	Dans Windows Live Messenger, cliquez sur Aide, puis sur À propos de. Vérifiez que le numéro de version est 8.1.0178.00.

Top of section