Bulletin de sécurité Microsoft MS07-069 - Critique
Mise à jour de sécurité cumulative pour Internet Explorer (942615)
Version : 1.3
Informations générales
Synthèse
Cette mise à jour de sécurité de niveau « critique » corrige quatre vulnérabilités signalées confidentiellement. La vulnérabilité dont l'impact sur la sécurité est le plus élevé pourrait permettre l'exécution de code à distance si un utilisateur affichait une page Web spécialement conçue en utilisant Internet Explorer. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Il s'agit d'une mise à jour de sécurité de niveau « modéré » pour Internet Explorer 6 et 7 sur Windows Server 2003. Pour toutes les autres versions prises en charge d'Internet Explorer, cette mise à jour de sécurité est de niveau « critique ». Pour plus d'informations, reportez-vous à la sous-section « Logiciels concernés et non concernés », dans cette section.
Cette mise à jour de sécurité corrige ces vulnérabilités en modifiant la façon dont Internet Explorer traite les accès à la mémoire libérée. Pour obtenir plus d'informations sur les vulnérabilités, consultez la sous-section « Forum aux questions » spécifique à chaque vulnérabilité, dans la section « Informations par vulnérabilité ».
Recommandation : Microsoft recommande à ses clients d’appliquer cette mise à jour immédiatement.
Problèmes connus : L'Article 942615 de la Base de connaissances Microsoft décrit les problèmes connus liés à l'installation de cette mise à jour de sécurité. Cet article documente également les solutions palliatives recommandées.
Logiciels concernés et non concernés
Microsoft a testé les logiciels répertoriés dans ce bulletin afin de déterminer les versions ou éditions concernées. Toute autre version ou édition a atteint la fin de son cycle de vie ou n'est pas affectée. Consultez le site Web Politique de Support Microsoft afin de connaître la politique de support Microsoft pour votre version ou édition.
Logiciels concernés
| Système d’exploitation | Composant | Impact de sécurité maximal | Indice de gravité cumulée | Bulletins remplacés par cette mise à jour |
| Internet Explorer 5.01 et Internet Explorer 6 Service Pack 1 | ||||
Microsoft Windows 2000 Service Pack 4 | Exécution de code à distance | Critique | ||
Microsoft Windows 2000 Service Pack 4 | Exécution de code à distance | Critique | ||
| Internet Explorer 6 | ||||
Windows XP Service Pack 2 | Exécution de code à distance | Critique | ||
Windows XP Professionnel Édition x64 et Windows XP Professionnel Édition x64 Service Pack 2 : | Exécution de code à distance | Critique | ||
Windows Server 2003 Service Pack 1 et Windows Server 2003 Service Pack 2 | Exécution de code à distance | Modéré | ||
Windows Server 2003 Édition x64 et Windows Server 2003 Édition x64 Service Pack 2 | Exécution de code à distance | Modéré | ||
Windows Server 2003 avec SP1 pour les systèmes Itanium et Windows Server 2003 avec SP2 pour les systèmes Itanium | Exécution de code à distance | Modéré | ||
| Internet Explorer 7 | ||||
Windows XP Service Pack 2 | Exécution de code à distance | Critique | ||
Windows XP Professionnel Édition x64 et Windows XP Professionnel Édition x64 Service Pack 2 : | Exécution de code à distance | Critique | ||
Windows Server 2003 Service Pack 1 et Windows Server 2003 Service Pack 2 | Exécution de code à distance | Modéré | ||
Windows Server 2003 Édition x64 et Windows Server 2003 Édition x64 Service Pack 2 | Exécution de code à distance | Modéré | ||
Windows Server 2003 avec SP1 pour les systèmes Itanium et Windows Server 2003 avec SP2 pour les systèmes Itanium | Exécution de code à distance | Modéré | ||
Windows Vista | Exécution de code à distance | Critique | ||
Windows Vista Édition x64 | Exécution de code à distance | Critique |
Forum aux questions concernant la présente mise à jour de sécurité |
Pourquoi les détails concernant l'information sur les fichiers ont été enlevés de ce Bulletin ?
Certains de nos clients subissaient une attente importante lors de l'affichage de ce Bulletin en raison de la taille de la section « Informations sur les fichiers ». Afin d'éviter cette attente, l'information sur les fichiers a été déplacée dans l'Article 942615 de la Base de connaissances Microsoft.
Les prochains Bulletins pour Internet Explorer contiendront-ils l'information sur les fichiers ?
Non, cette modification est prévue pour être permanente. Toutes les informations sur les fichiers des prochains Bulletins pour Internet Explorer seront publiés dans l'Article de la Base de connaissances correspondant.
Quels sont les problèmes connus auxquels les clients peuvent être confrontés lorsqu'ils installent cette mise à jour de sécurité ?
L'Article 942615 de la Base de connaissances Microsoft décrit les problèmes connus liés à l'installation de cette mise à jour de sécurité. Cet article documente également les solutions palliatives recommandées.
Problèmes connus depuis la publication de ce Bulletin :
| • | Article 946627 de la Base de connaissances : Internet Explorer 6 termine de manière inattendue après l'installation de la mise à jour de sécurité 942615 sur un ordinateur exécutant Windows XP Service Pack 2. |
Quel est le lien entre l'Article 946627 de la Base de connaissances et cette publication ?
L'Article 946627 de la Base de connaissances traite d'un problème connu lié à cette mise à jour de sécurité. Ce package ajoute une valeur DWORD appelée * ayant pour valeur 1 à la clé de registre suivante :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_PROTECT_DECOMPRESSION_FILTER_FROM_ABORT_KB942367
Pourquoi cette mise à jour corrige-t-elle plusieurs vulnérabilités de sécurité ?
Cette mise à jour concerne plusieurs vulnérabilités, car les modifications nécessaires pour les corriger se situent dans des fichiers apparentés. Nos clients n’ont ainsi qu’une mise à jour à installer, plutôt que plusieurs mises à jour presque identiques.
Cette mise à jour comporte-t-elle d'autres modifications de sécurité affectant les fonctionnalités ?
Oui. Outre les changements indiqués dans la section "Précisions sur la vulnérabilité" de ce bulletin, cette mise à jour apporte les modifications de sécurité suivantes :
| • | Cette mise à jour paramètre un kill bit pour le contrôle ActiveX DXTLIPI.DLL, lequel ne bénéficie plus de notre support :
| ||||||
| • | Cette mise à jour paramètre un kill bit pour les versions antérieures du contrôle ActiveX HRTBEAT.OCX, lesquelles ne bénéficient plus de notre support :
|
Cette mise à jour comprend des kill bits permettant d'empêcher l'exécution des contrôles ActiveX suivants dans Internet Explorer :
| • | Cette mise à jour de sécurité paramètre un kill bit pour les contrôles ActiveX disponibles auprès de Intuit. Intuit a publié un bulletin de sécurité et une mise à jour qui corrigent une vulnérabilité dans les composants affectés. Pour obtenir plus d'informations et connaître les adresses de téléchargement, consultez le bulletin de sécurité d'Intuit. La mise en place de ce kill-bit est réalisée à la demande du propriétaire du contrôle ActiveX. Les identificateurs de classe (CLSID) de ce contrôle ActiveX sont les suivants :
| ||||||||||||||||||||||||||||||
| • | Cette mise à jour de sécurité paramètre un kill bit pour les contrôles ActiveX disponibles auprès de Vantage. Vantage a publié un bulletin de sécurité et une mise à jour qui corrigent une vulnérabilité dans les composants affectés. Pour obtenir plus d'informations et connaître les adresses de téléchargement, consultez le Bulletin de sécurité de Vantage. La mise en place de ce kill-bit est réalisée à la demande du propriétaire du contrôle ActiveX. Les identificateurs de classe (CLSID) de ce contrôle ActiveX sont les suivants :
|
Cette mise à jour de sécurité inclut-elle la mise à jour KB921090 « Internet Explorer génère un message d'erreur indiquant qu'une page ne peut pas être affichée sur un ordinateur exécutant Windows Server 2003 ou Windows XP » ?
Oui, cette mise à jour de sécurité inclut la mise à jour KB921090.
Cette mise à jour de sécurité inclut-elle la mise à jour KB945007 « Prévisualisation automatique de l'activation des composants d'Internet Explorer » ?
Non, cette mise à jour de sécurité n'inclut pas la mise à jour KB945007. Toutefois, la mise à jour KB945007 sera incluse dans une future mise à jour cumulative pour Internet Explorer. Actuellement, Internet Explorer demande aux utilisateurs d'activer manuellement les contrôles dans certaines pages Web, en affichant l'info-bulle « Cliquer pour activer ». Ce comportement de type « Cliquer pour activer » sera définitivement supprimé en avril 2008.
De quoi ai-je besoin pour me préparer à cette modification ?
Nous recommandons aux clients d'utiliser la prévisualisation de l'activation automatique des composants d'Internet Explorer (IE ACA) pour tester leurs sites et applications Web. La prévisualisation de l'activation automatique des composants d'Internet Explorer (IE ACA - KB945007) doit être appliquée uniquement après avoir installé cette mise à jour de sécurité. Les clients souhaitant davantage de renseignements et des conseils détaillés sur la manière de se préparer à cette modification sont encouragés à consulter régulièrement l'article « Prévisualisation de l'activation automatique des composants d'Internet Explorer », lequel sera mis à jour afin de garder les clients informés de cette version à venir.
J'utilise une version antérieure du logiciel décrit dans ce Bulletin de sécurité. Que dois-je faire ?
Microsoft a testé les logiciels répertoriés dans ce bulletin afin de déterminer quelles versions sont concernées. Les autres versions ont atteint la fin de leurs cycles de vie. Consultez le site Web Politique de Support Microsoft afin de connaître les modalités de support de votre version de logiciel.
Les clients qui utilisent une version ancienne de ces logiciels doivent prioritairement passer à une version prise en charge, afin de prévenir leur exposition potentielle aux vulnérabilités. Pour plus d’informations sur le cycle de support des produits Windows, visitez le site Web Politique de Support Microsoft. Pour plus d'informations sur la période de support étendu des mises à jour de sécurité pour ces versions des logiciels, consultez le site Web des services de support technique de Microsoft.
Les clients nécessitant un support supplémentaire pour des logiciels plus anciens doivent prendre contact avec leur responsable de compte Microsoft, leur responsable technique de compte ou le partenaire Microsoft approprié pour connaître les options de support personnalisé. Les clients ne bénéficiant pas d'un Contrat Alliance, Premier ou Authorized peuvent appeler leur agence commerciale locale Microsoft. Pour les informations de contact, visitez le site Web Microsoft Worldwide Information, sélectionnez le pays puis cliquez sur Go pour afficher une liste de numéros de téléphone. Pour plus d'informations, consultez le Forum aux questions sur la politique de support des systèmes d'exploitation Windows.
Informations par vulnérabilité
Indices de gravité et identificateurs de vulnérabilité |
| Indice de gravité par vulnérabilité et Impact de sécurité maximal par logiciel concerné | |||||
| Logiciels concernés | Vulnérabilité de corruption de mémoire non initialisée - CVE-2007-3902 | Vulnérabilité de corruption de mémoire non initialisée - CVE-2007-3903 | Vulnérabilité de corruption de mémoire non initialisée - CVE-2007-5344 | Vulnérabilité de corruption de la mémoire liée à un objet DHTML - CVE-2007-5347 | Indice de gravité cumulée |
| Internet Explorer 5.01 et Internet Explorer 6 Service Pack 1 | |||||
Internet Explorer 5.01 Service Pack 4 pour Microsoft Windows 2000 Service Pack 4 | Critique | Non concerné | Non concerné | Non concerné | Critique |
Internet Explorer 6 Service Pack 1 sur Windows 2000 Service Pack 4 | Critique | Critique | Critique | Critique | Critique |
| Internet Explorer 6 | |||||
Internet Explorer 6 sur Windows XP Service Pack 2 | Critique | Critique | Critique | Critique | Critique |
Internet Explorer 6 sur Windows XP Professionnel Édition x64 et Windows XP Professionnel Édition x64 Service Pack 2 | Critique | Critique | Critique | Critique | Critique |
Internet Explorer 6 sur Windows Server 2003 Service Pack 1 et Windows Server 2003 Service Pack 2 | Modéré | Modéré | Modéré | Modéré | Modéré |
Internet Explorer 6 sur Windows Server 2003 Édition x64 et Windows Server 2003 Édition x64 Service Pack 2 | Modéré | Modéré | Modéré | Modéré | Modéré |
Internet Explorer 6 pour Windows Server 2003 avec SP1 pour les systèmes Itanium et Windows Server 2003 avec SP2 pour les systèmes Itanium | Modéré | Modéré | Modéré | Modéré | Modéré |
| Internet Explorer 7 | |||||
Internet Explorer 7 sur Windows XP Service Pack 2 | Critique | Critique | Critique | Critique | Critique |
Internet Explorer 7 sur Windows XP Professionnel Édition x64 et Windows XP Professionnel Édition x64 Service Pack 2 | Critique | Critique | Critique | Critique | Critique |
Internet Explorer 7 sur Windows Server 2003 Service Pack 1 et Windows Server 2003 Service Pack 2 | Modéré | Modéré | Modéré | Modéré | Modéré |
Internet Explorer 7 sur Windows Server 2003 Édition x64 et Windows Server 2003 Édition x64 Service Pack 2 | Modéré | Modéré | Modéré | Modéré | Modéré |
Internet Explorer 7 pour Windows Server 2003 avec SP1 pour les systèmes Itanium et Windows Server 2003 avec SP2 pour les systèmes Itanium | Modéré | Modéré | Modéré | Modéré | Modéré |
Internet Explorer 7 dans Windows Vista | Critique | Critique | Critique | Critique | Critique |
Internet Explorer 7 dans Windows Vista Édition x64 | Critique | Critique | Critique | Critique | Critique |
Vulnérabilité de corruption de mémoire non initialisée - CVE-2007-3902 |
Une vulnérabilité d'exécution de code à distance existe dans la manière dont Internet Explorer accède à un objet qui n'a pas été correctement initialisé ou a été supprimé. Un attaquant pourrait exploiter cette vulnérabilité en créant une page Web malveillante. Lorsqu'un utilisateur affiche cette page Web, cette vulnérabilité pourrait permettre l'exécution de code à distance. Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté.
Pour afficher cette vulnérabilité en tant qu'entrée standard dans la liste « Common Vulnerabilities and Exposures », consultez la référence CVE-2007-3902.
Facteurs atténuants concernant la vulnérabilité de corruption de mémoire non initialisée - CVE-2007-3902 |
Une atténuation fait référence à un paramètre, une configuration générale ou à des préférences existant dans un état par défaut qui pourraient diminuer l'impact de l'exploitation d'une vulnérabilité. Les facteurs atténuants suivants peuvent être utiles, selon votre situation :
| • | Pour une attaque Web, l'attaquant devrait héberger un site Web qui contiendrait une page Web spécialement conçue pour exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent des contenus ou des annonces provenant d'utilisateurs pourraient contenir un contenu malveillant susceptible d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l’utilisateur, généralement en l’incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site. |
| • | Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur. |
| • | Par défaut, dans toutes les versions de Microsoft Outlook prises en charge et dans Microsoft Outlook Express, les messages au format HTML sont ouverts dans la zone Sites sensibles. La zone Sites sensibles contribue à atténuer les attaques qui tenteraient d’exploiter cette vulnérabilité en empêchant les contrôles Active Scripting et ActiveX d'être utilisés lors de la lecture de message au format HTML. Cependant, en cliquant sur un lien figurant dans un message, l'utilisateur s'expose toujours à une attaque Web. |
| • | Par défaut, Internet Explorer sur Windows Server 2003 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. Ce mode définit le niveau de sécurité pour la zone Internet sur Élevé. C'est un facteur atténuant pour les sites Web qui n'ont pas été ajoutés à la zone Sites de confiance d'Internet Explorer. Pour plus d'informations sur la Configuration de sécurité améliorée d'Internet Explorer, reportez-vous à la section du Forum aux questions concernant cette vulnérabilité. |
Solutions de contournement concernant la vulnérabilité de corruption de mémoire non initialisée - CVE-2007-3902 |
Une solution de contournement fait référence à une modification de paramètre ou de configuration qui ne corrige pas la vulnérabilité sous-jacente mais qui pourrait contribuer à bloquer certains vecteurs d'attaque connus jusqu'à ce que la mise à jour soit appliquée. Microsoft a testé les solutions de contournement suivantes et indique le cas échéant si une solution réduit certaines fonctionnalités :
| • | Configurer Internet Explorer de manière à ce qu'il désactive Active Scripting ou à ce qu'il vous avertisse avant de l'exécuter dans la zone de sécurité Intranet local et Internet. Vous pouvez vous protéger de cette vulnérabilité en modifiant vos paramètres afin d’être averti avant l’exécution d’Active Scripting ou afin de désactiver Active Scripting dans les zones de sécurité Intranet local et Internet. Procédez comme suit :
Remarque : La désactivation d'Active Scripting dans les zones de sécurité Intranet local et Internet risque de perturber le fonctionnement de certains sites Web. Si vous rencontrez des difficultés lors de la visite d’un site Web après avoir modifié ce paramètre et que vous êtes certain de la fiabilité de ce site, vous pouvez ajouter ce dernier à votre liste de sites de confiance. Il pourra ainsi s'afficher correctement. Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer Après avoir configuré Internet Explorer de telle sorte que des messages de confirmation s’affichent avant l’exécution des contrôles ActiveX et d'Active Scripting dans les zones Internet et Intranet local, vous pouvez ajouter des sites de confiance dans la zone Sites de confiance d’Internet Explorer. Cette opération vous permettra de continuer à utiliser vos sites de confiance exactement comme vous le faites aujourd’hui, tout en vous protégeant contre cette attaque sur les autres sites. Nous vous recommandons d’ajouter uniquement des sites de confiance à la zone Sites de confiance. Procédez comme suit :
Remarque : Ajoutez les sites dont vous savez qu’ils n'effectueront pas d’action malveillante sur votre système. Vous pouvez notamment ajouter les sites "*.windowsupdate.microsoft.com" et “*.update.microsoft.com” (sans les guillemets). Il s’agit des sites qui hébergent la mise à jour et ils requièrent un contrôle ActiveX pour leur installation. Impact de cette solution de contournement : L’affichage d’un message de confirmation avant l’exécution d'Active Scripting comporte des effets secondaires. De nombreux sites Web situés sur Internet ou sur un intranet utilisent Active Scripting pour offrir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peuvent utiliser Active Scripting pour proposer des menus, des bons de commande ou même des relevés de compte. L’affichage d’un message de confirmation avant l’exécution d'Active Scripting est un paramètre global qui affecte tous les sites Internet et intranet. De nombreux messages s’affichent lorsque vous mettez en œuvre cette solution de contournement. Pour chacun d’eux, si vous pensez que le site que vous visitez est un site de confiance, cliquez sur Oui afin d’exécuter Active Scripting. Si vous ne voulez pas recevoir d'invite pour tous ces sites, suivez les étapes décrites dans la section "Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer". |
| • | Définissez les paramètres des zones Intranet local et Internet sur la valeur "Élevé" afin d'afficher un message de confirmation avant d'exécuter les contrôles ActiveX et Active Scripting dans ces zones Vous pouvez vous protéger contre cette vulnérabilité en modifiant les paramètres de la zone de sécurité Internet afin d’afficher un message de confirmation avant l’exécution des contrôles ActiveX et Active Scripting. Réglez la sécurité de votre navigateur sur la valeur Élevé. Pour augmenter le niveau de sécurité de navigation dans Internet Explorer :
Remarque : Si aucun curseur n'est visible, cliquez sur Niveau par défaut, puis déplacez le curseur sur Élevé. Remarque : La définition du niveau de sécurité sur Élevé risque de perturber le fonctionnement de certains sites Web. Si vous rencontrez des difficultés lors de la visite d’un site Web après avoir modifié ce paramètre et que vous êtes certain de la fiabilité de ce site, vous pouvez ajouter ce dernier à votre liste de sites de confiance. Cela permettra à ce site de s'afficher correctement même si le niveau de sécurité est défini sur Élevé. Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer Après avoir configuré Internet Explorer de telle sorte que des messages de confirmation s’affichent avant l’exécution des contrôles ActiveX et d'Active Scripting dans les zones Internet et Intranet local, vous pouvez ajouter des sites de confiance dans la zone Sites de confiance d’Internet Explorer. Cette opération vous permettra de continuer à utiliser vos sites de confiance exactement comme vous le faites aujourd’hui, tout en vous protégeant contre cette attaque sur les autres sites. Nous vous recommandons d’ajouter uniquement des sites de confiance à la zone Sites de confiance. Procédez comme suit :
Remarque : Ajoutez les sites dont vous savez qu’ils n'effectueront pas d’action malveillante sur votre système. Vous pouvez notamment ajouter les sites "*.windowsupdate.microsoft.com" et “*.update.microsoft.com” (sans les guillemets). Il s’agit des sites qui hébergent la mise à jour et ils requièrent un contrôle ActiveX pour leur installation. Impact de cette solution de contournement : L’affichage d’un message de confirmation avant l’exécution des contrôles ActiveX et d'Active Scripting comporte des effets secondaires. De nombreux sites Web situés sur Internet ou sur un intranet utilisent ActiveX ou Active Scripting pour offrir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peuvent utiliser des contrôles ActiveX pour proposer des menus, des bons de commande ou même des relevés de compte. L’affichage d’un message de confirmation avant l’exécution d'Active Scripting ou de contrôles ActiveX est un paramètre global qui affecte tous les sites Internet et intranet. De nombreux messages s’affichent lorsque vous mettez en œuvre cette solution de contournement. Pour chacun d’eux, si vous pensez que le site que vous visitez est un site de confiance, cliquez sur Oui afin d’exécuter les contrôles ActiveX ou Active Scripting. Si vous ne voulez pas recevoir d'invite pour tous ces sites, suivez les étapes décrites dans la section "Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer". |
Forum aux questions concernant la vulnérabilité de corruption de mémoire non initialisée - CVE-2007-3902 |
Quelle est la portée de cette vulnérabilité ?
Il s'agit d'une vulnérabilité d'exécution de code à distance. Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté.
Si un utilisateur a ouvert une session avec des privilèges d'administrateur, un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral d'un système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Quelle est la cause de cette vulnérabilité ?
Internet Explorer tente d'accéder à un objet qui n'a pas été correctement initialisé ou a été supprimé. Cette tentative pourrait corrompre la mémoire et permettre à un attaquant d'exécuter du code arbitraire dans le contexte d'un utilisateur connecté.
Que pourrait faire un attaquant en exploitant cette vulnérabilité ?
Tout attaquant parvenant à exploiter ces vulnérabilités pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Comment un attaquant peut-il exploiter cette vulnérabilité ?
Un attaquant pourrait héberger un site Web malveillant conçu pour exploiter ces vulnérabilités d'Internet Explorer, puis inciter un utilisateur à consulter ce site Web. Peuvent également être concernés les sites Web compromis et les sites Web acceptant ou hébergeant des contenus ou des annonces provenant d'utilisateurs. Ces sites Web pourraient contenir du code spécialement conçu capable d'exploiter ces vulnérabilités. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l’utilisateur, généralement en l’incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site. Il pourrait également afficher un contenu Web spécialement conçu en imitant des panneaux publicitaires ou d'autres moyens afin d'envoyer du contenu Web aux systèmes affectés.
Quels sont les systèmes les plus exposés à cette vulnérabilité ?
Cette vulnérabilité permet l’exécution d’une action nuisible si et seulement si un utilisateur a ouvert une session et consulte un site Web. C’est pourquoi les systèmes sur lesquels Internet Explorer est fréquemment utilisé (comme les postes de travail des utilisateurs ou les serveurs de terminaux) sont les plus exposés à ces vulnérabilités.
J'utilise Internet Explorer pour Windows Server 2003. Ceci limite-t-il cette vulnérabilité ?
Oui. Par défaut, Internet Explorer sur Windows Server 2003 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. La Configuration de sécurité améliorée d'Internet Explorer est un groupe de paramètres Internet Explorer préconfigurés qui réduit le risque qu'un utilisateur ou qu'un administrateur ne télécharge et n'exécute un contenu Web spécialement conçu sur un serveur. C'est un facteur atténuant pour les sites Web qui n'ont pas été ajoutés à la zone Sites de confiance d'Internet Explorer. Consultez également le guide « Gestion de la configuration de sécurité améliorée d'Internet Explorer ».
Que fait cette mise à jour ?
Cette mise à jour supprime cette vulnérabilité en modifiant la façon dont Internet Explorer traite les erreurs lors des appels d'objets qui ne sont plus initialisés.
Lors de la parution de ce bulletin de sécurité, cette vulnérabilité avait-elle été dévoilée ?
Non. Microsoft a été informé de cette vulnérabilité par une divulgation responsable.
Lors de la parution de ce bulletin de sécurité, Microsoft avait-il été informé d’une éventuelle exploitation de cette vulnérabilité ?
Non. Lors de la première publication de ce bulletin, Microsoft n’avait reçu aucune information indiquant que cette vulnérabilité avait été utilisée pour attaquer des clients, et n’avait pas la connaissance de la publication d’un tel code.
Vulnérabilité de corruption de mémoire non initialisée - CVE-2007-3903 |
Une vulnérabilité d'exécution de code à distance existe dans la manière dont Internet Explorer accède à un objet qui n'a pas été correctement initialisé ou a été supprimé. Un attaquant pourrait exploiter cette vulnérabilité en créant une page Web malveillante. Lorsqu'un utilisateur affiche cette page Web, cette vulnérabilité pourrait permettre l'exécution de code à distance. Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté.
Pour afficher cette vulnérabilité en tant qu'entrée standard dans la liste « Common Vulnerabilities and Exposures », consultez la référence CVE-2007-3903.
Facteurs atténuants concernant la vulnérabilité de corruption de mémoire non initialisée - CVE-2007-3903 |
Une atténuation fait référence à un paramètre, une configuration générale ou à des préférences existant dans un état par défaut qui pourraient diminuer l'impact de l'exploitation d'une vulnérabilité. Les facteurs atténuants suivants peuvent être utiles, selon votre situation :
| • | Pour une attaque Web, l'attaquant devrait héberger un site Web qui contiendrait une page Web spécialement conçue pour exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent des contenus ou des annonces provenant d'utilisateurs pourraient contenir un contenu malveillant susceptible d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l’utilisateur, généralement en l’incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site. |
| • | Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur. |
| • | Par défaut, dans toutes les versions de Microsoft Outlook prises en charge et dans Microsoft Outlook Express, les messages au format HTML sont ouverts dans la zone Sites sensibles. La zone Sites sensibles contribue à réduire les attaques qui tenteraient d’exploiter cette vulnérabilité en empêchant les contrôles Active Scripting et ActiveX d'être utilisés lors de la lecture de message au format HTML. Cependant, en cliquant sur un lien figurant dans un message, l'utilisateur s'expose toujours à une attaque Web. |
| • | Par défaut, Internet Explorer sur Windows Server 2003 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. Ce mode définit le niveau de sécurité pour la zone Internet sur Élevé. C'est un facteur atténuant pour les sites Web qui n'ont pas été ajoutés à la zone Sites de confiance d'Internet Explorer. Pour plus d'informations sur la Configuration de sécurité améliorée d'Internet Explorer, reportez-vous à la section du Forum aux questions concernant cette vulnérabilité. |
Solutions de contournement concernant la vulnérabilité de corruption de mémoire non initialisée - CVE-2007-3903 |
Une solution de contournement fait référence à une modification de paramètre ou de configuration qui ne corrige pas la vulnérabilité sous-jacente mais qui pourrait contribuer à bloquer certains vecteurs d'attaque connus jusqu'à ce que la mise à jour soit appliquée. Microsoft a testé les solutions de contournement suivantes et indique le cas échéant si une solution réduit certaines fonctionnalités :
| • | Configurer Internet Explorer de manière à ce qu'il désactive Active Scripting ou à ce qu'il vous avertisse avant de l'exécuter dans la zone de sécurité Intranet local et Internet. Vous pouvez vous protéger de cette vulnérabilité en modifiant vos paramètres afin d’être averti avant l’exécution d’Active Scripting ou afin de désactiver Active Scripting dans les zones de sécurité Intranet local et Internet. Procédez comme suit :
Remarque : La désactivation d'Active Scripting dans les zones de sécurité Intranet local et Internet risque de perturber le fonctionnement de certains sites Web. Si vous rencontrez des difficultés lors de la visite d’un site Web après avoir modifié ce paramètre et que vous êtes certain de la fiabilité de ce site, vous pouvez ajouter ce dernier à votre liste de sites de confiance. Il pourra ainsi s'afficher correctement. Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer Après avoir configuré Internet Explorer de telle sorte que des messages de confirmation s’affichent avant l’exécution des contrôles ActiveX et d'Active Scripting dans les zones Internet et Intranet local, vous pouvez ajouter des sites de confiance dans la zone Sites de confiance d’Internet Explorer. Cette opération vous permettra de continuer à utiliser vos sites de confiance exactement comme vous le faites aujourd’hui, tout en vous protégeant contre cette attaque sur les autres sites. Nous vous recommandons d’ajouter uniquement des sites de confiance à la zone Sites de confiance. Procédez comme suit :
Remarque : Ajoutez les sites dont vous savez qu’ils n'effectueront pas d’action malveillante sur votre système. Vous pouvez notamment ajouter les sites "*.windowsupdate.microsoft.com" et “*.update.microsoft.com” (sans les guillemets). Il s’agit des sites qui hébergent la mise à jour et ils requièrent un contrôle ActiveX pour leur installation. Impact de cette solution de contournement : L’affichage d’un message de confirmation avant l’exécution d'Active Scripting comporte des effets secondaires. De nombreux sites Web situés sur Internet ou sur un intranet utilisent Active Scripting pour offrir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peuvent utiliser Active Scripting pour proposer des menus, des bons de commande ou même des relevés de compte. L’affichage d’un message de confirmation avant l’exécution d'Active Scripting est un paramètre global qui affecte tous les sites Internet et intranet. De nombreux messages s’affichent lorsque vous mettez en œuvre cette solution de contournement. Pour chacun d’eux, si vous pensez que le site que vous visitez est un site de confiance, cliquez sur Oui afin d’exécuter Active Scripting. Si vous ne voulez pas recevoir d'invite pour tous ces sites, suivez les étapes décrites dans la section "Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer". |
| • | Définissez les paramètres des zones Intranet local et Internet sur la valeur "Élevé" afin d'afficher un message de confirmation avant d'exécuter les contrôles ActiveX et Active Scripting dans ces zones Vous pouvez vous protéger contre cette vulnérabilité en modifiant les paramètres de la zone de sécurité Internet afin d’afficher un message de confirmation avant l’exécution des contrôles ActiveX et Active Scripting. Réglez la sécurité de votre navigateur sur la valeur Élevé. Pour augmenter le niveau de sécurité de navigation dans Internet Explorer :
Remarque : Si aucun curseur n'est visible, cliquez sur Niveau par défaut, puis déplacez le curseur sur Élevé. Remarque : La définition du niveau de sécurité sur Élevé risque de perturber le fonctionnement de certains sites Web. Si vous rencontrez des difficultés lors de la visite d’un site Web après avoir modifié ce paramètre et que vous êtes certain de la fiabilité de ce site, vous pouvez ajouter ce dernier à votre liste de sites de confiance. Cela permettra à ce site de s'afficher correctement même si le niveau de sécurité est défini sur Élevé. Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer Après avoir configuré Internet Explorer de telle sorte que des messages de confirmation s’affichent avant l’exécution des contrôles ActiveX et d'Active Scripting dans les zones Internet et Intranet local, vous pouvez ajouter des sites de confiance dans la zone Sites de confiance d’Internet Explorer. Cette opération vous permettra de continuer à utiliser vos sites de confiance exactement comme vous le faites aujourd’hui, tout en vous protégeant contre cette attaque sur les autres sites. Nous vous recommandons d’ajouter uniquement des sites de confiance à la zone Sites de confiance. Procédez comme suit :
Remarque : Ajoutez les sites dont vous savez qu’ils n'effectueront pas d’action malveillante sur votre système. Vous pouvez notamment ajouter les sites "*.windowsupdate.microsoft.com" et “*.update.microsoft.com” (sans les guillemets). Il s’agit des sites qui hébergent la mise à jour et ils requièrent un contrôle ActiveX pour leur installation. Impact de cette solution de contournement : L’affichage d’un message de confirmation avant l’exécution des contrôles ActiveX et d'Active Scripting comporte des effets secondaires. De nombreux sites Web situés sur Internet ou sur un intranet utilisent ActiveX ou Active Scripting pour offrir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peuvent utiliser des contrôles ActiveX pour proposer des menus, des bons de commande ou même des relevés de compte. L’affichage d’un message de confirmation avant l’exécution d'Active Scripting ou de contrôles ActiveX est un paramètre global qui affecte tous les sites Internet et intranet. De nombreux messages s’affichent lorsque vous mettez en œuvre cette solution de contournement. Pour chacun d’eux, si vous pensez que le site que vous visitez est un site de confiance, cliquez sur Oui afin d’exécuter les contrôles ActiveX ou Active Scripting. Si vous ne voulez pas recevoir d'invite pour tous ces sites, suivez les étapes décrites dans la section "Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer". |
Forum aux questions concernant la vulnérabilité de corruption de mémoire non initialisée - CVE-2007-3903 |
Quelle est la portée de cette vulnérabilité ?
Il s'agit d'une vulnérabilité d'exécution de code à distance. Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté.
Si un utilisateur a ouvert une session avec des privilèges d'administrateur, un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral d'un système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Quelle est la cause de cette vulnérabilité ?
Internet Explorer tente d'accéder à un objet qui n'a pas été correctement initialisé ou a été supprimé. Cette tentative pourrait corrompre la mémoire et permettre à un attaquant d'exécuter du code arbitraire dans le contexte d'un utilisateur connecté.
Que pourrait faire un attaquant en exploitant cette vulnérabilité ?
Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Comment un attaquant peut-il exploiter cette vulnérabilité ?
Un attaquant pourrait héberger un site Web malveillant conçu pour exploiter ces vulnérabilités d'Internet Explorer, puis inciter un utilisateur à consulter ce site Web. Sont également concernés les sites Web compromis et les sites Web acceptant ou hébergeant des contenus ou des publicités provenant d'utilisateurs. Ces sites Web pourraient contenir du code spécialement conçu capable d'exploiter ces vulnérabilités. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l’utilisateur, généralement en l’incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site. Il pourrait également afficher un contenu Web spécialement conçu en imitant des panneaux publicitaires ou d'autres moyens afin d'envoyer du contenu Web aux systèmes affectés.
Quels sont les systèmes les plus exposés à cette vulnérabilité ?
Cette vulnérabilité permet l’exécution d’une action nuisible si et seulement si un utilisateur a ouvert une session et consulte un site Web. C’est pourquoi les systèmes sur lesquels Internet Explorer est fréquemment utilisé (comme les postes de travail des utilisateurs ou les serveurs de terminaux) sont les plus exposés à ces vulnérabilités.
J'utilise Internet Explorer pour Windows Server 2003. Ceci limite-t-il cette vulnérabilité ?
Oui. Par défaut, Internet Explorer sur Windows Server 2003 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. La Configuration de sécurité améliorée d'Internet Explorer est un groupe de paramètres Internet Explorer préconfigurés qui réduit le risque qu'un utilisateur ou qu'un administrateur ne télécharge et n'exécute un contenu Web spécialement conçu sur un serveur. C'est un facteur atténuant pour les sites Web qui n'ont pas été ajoutés à la zone Sites de confiance d'Internet Explorer. Consultez également le guide « Gestion de la configuration de sécurité améliorée d'Internet Explorer ».
Que fait cette mise à jour ?
Cette mise à jour supprime cette vulnérabilité en modifiant la façon dont Internet Explorer traite les erreurs lors des appels d'objets qui ne sont plus initialisés.
Lors de la parution de ce bulletin de sécurité, cette vulnérabilité avait-elle été dévoilée ?
Non. Microsoft a été informé de cette vulnérabilité par une divulgation responsable.
Lors de la parution de ce bulletin de sécurité, Microsoft avait-il été informé d’une éventuelle exploitation de cette vulnérabilité ?
Non. Lors de la première publication de ce bulletin, Microsoft n’avait reçu aucune information indiquant que cette vulnérabilité avait été utilisée pour attaquer des clients, et n’avait pas la connaissance de la publication d’un tel code.
Vulnérabilité de corruption de mémoire non initialisée - CVE-2007-5344 |
Une vulnérabilité d'exécution de code à distance existe dans la manière dont Internet Explorer accède à un objet qui n'a pas été correctement initialisé ou a été supprimé. Un attaquant pourrait exploiter cette vulnérabilité en créant une page Web malveillante. Lorsqu'un utilisateur affiche cette page Web, cette vulnérabilité pourrait permettre l'exécution de code à distance. Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté.
Pour afficher cette vulnérabilité en tant qu'entrée standard dans la liste « Common Vulnerabilities and Exposures », consultez la référence CVE-2007-5344.
Facteurs atténuants concernant la vulnérabilité de corruption de mémoire non initialisée - CVE-2007-5344 |
Une atténuation fait référence à un paramètre, une configuration générale ou à des préférences existant dans un état par défaut qui pourraient diminuer l'impact de l'exploitation d'une vulnérabilité. Les facteurs atténuants suivants peuvent être utiles, selon votre situation :
| • | Pour une attaque Web, l'attaquant devrait héberger un site Web qui contiendrait une page Web spécialement conçue pour exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent des contenus ou des annonces provenant d'utilisateurs pourraient contenir un contenu malveillant susceptible d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l’utilisateur, généralement en l’incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site. |
| • | Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur. |
| • | Par défaut, dans toutes les versions de Microsoft Outlook prises en charge et dans Microsoft Outlook Express, les messages au format HTML sont ouverts dans la zone Sites sensibles. La zone Sites sensibles contribue à réduire les attaques qui tenteraient d’exploiter cette vulnérabilité en empêchant les contrôles Active Scripting et ActiveX d'être utilisés lors de la lecture de message au format HTML. Cependant, en cliquant sur un lien figurant dans un message, l'utilisateur s'expose toujours à une attaque Web. |
| • | Par défaut, Internet Explorer sur Windows Server 2003 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. Ce mode définit le niveau de sécurité pour la zone Internet sur Élevé. C'est un facteur atténuant pour les sites Web qui n'ont pas été ajoutés à la zone Sites de confiance d'Internet Explorer. Pour plus d'informations sur la Configuration de sécurité améliorée d'Internet Explorer, reportez-vous à la section du Forum aux questions concernant cette vulnérabilité. |
Solutions de contournement concernant la vulnérabilité de corruption de mémoire non initialisée - CVE-2007-5344 |
Une solution de contournement fait référence à une modification de paramètre ou de configuration qui ne corrige pas la vulnérabilité sous-jacente mais qui pourrait contribuer à bloquer certains vecteurs d'attaque connus jusqu'à ce que la mise à jour soit appliquée. Microsoft a testé les solutions de contournement suivantes et indique le cas échéant si une solution réduit certaines fonctionnalités :
| • | Configurer Internet Explorer de manière à ce qu'il désactive Active Scripting ou à ce qu'il vous avertisse avant de l'exécuter dans la zone de sécurité Intranet local et Internet. Vous pouvez vous protéger de cette vulnérabilité en modifiant vos paramètres afin d’être averti avant l’exécution d’Active Scripting ou afin de désactiver Active Scripting dans les zones de sécurité Intranet local et Internet. Procédez comme suit :
Remarque : La désactivation d'Active Scripting dans les zones de sécurité Intranet local et Internet risque de perturber le fonctionnement de certains sites Web. Si vous rencontrez des difficultés lors de la visite d’un site Web après avoir modifié ce paramètre et que vous êtes certain de la fiabilité de ce site, vous pouvez ajouter ce dernier à votre liste de sites de confiance. Il pourra ainsi s'afficher correctement. Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer Après avoir configuré Internet Explorer de telle sorte que des messages de confirmation s’affichent avant l’exécution des contrôles ActiveX et d'Active Scripting dans les zones Internet et Intranet local, vous pouvez ajouter des sites de confiance dans la zone Sites de confiance d’Internet Explorer. Cette opération vous permettra de continuer à utiliser vos sites de confiance exactement comme vous le faites aujourd’hui, tout en vous protégeant contre cette attaque sur les autres sites. Nous vous recommandons d’ajouter uniquement des sites de confiance à la zone Sites de confiance. Procédez comme suit :
Remarque : Ajoutez les sites dont vous savez qu’ils n'effectueront pas d’action malveillante sur votre système. Vous pouvez notamment ajouter les sites "*.windowsupdate.microsoft.com" et “*.update.microsoft.com” (sans les guillemets). Il s’agit des sites qui hébergent la mise à jour et ils requièrent un contrôle ActiveX pour leur installation. Impact de cette solution de contournement : L’affichage d’un message de confirmation avant l’exécution d'Active Scripting comporte des effets secondaires. De nombreux sites Web situés sur Internet ou sur un intranet utilisent Active Scripting pour offrir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peuvent utiliser Active Scripting pour proposer des menus, des bons de commande ou même des relevés de compte. L’affichage d’un message de confirmation avant l’exécution d'Active Scripting est un paramètre global qui affecte tous les sites Internet et intranet. De nombreux messages s’affichent lorsque vous mettez en œuvre cette solution de contournement. Pour chacun d’eux, si vous pensez que le site que vous visitez est un site de confiance, cliquez sur Oui afin d’exécuter Active Scripting. Si vous ne voulez pas recevoir d'invite pour tous ces sites, suivez les étapes décrites dans la section "Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer". |
| • | Définissez les paramètres des zones Intranet local et Internet sur la valeur "Élevé" afin d'afficher un message de confirmation avant d'exécuter les contrôles ActiveX et Active Scripting dans ces zones Vous pouvez vous protéger contre cette vulnérabilité en modifiant les paramètres de la zone de sécurité Internet afin d’afficher un message de confirmation avant l’exécution des contrôles ActiveX et Active Scripting. Réglez la sécurité de votre navigateur sur la valeur Élevé. Pour augmenter le niveau de sécurité de navigation dans Internet Explorer :
Remarque : Si aucun curseur n'est visible, cliquez sur Niveau par défaut, puis déplacez le curseur sur Élevé. Remarque : La définition du niveau de sécurité sur Élevé risque de perturber le fonctionnement de certains sites Web. Si vous rencontrez des difficultés lors de la visite d’un site Web après avoir modifié ce paramètre et que vous êtes certain de la fiabilité de ce site, vous pouvez ajouter ce dernier à votre liste de sites de confiance. Cela permettra à ce site de s'afficher correctement même si le niveau de sécurité est défini sur Élevé. Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer Après avoir configuré Internet Explorer de telle sorte que des messages de confirmation s’affichent avant l’exécution des contrôles ActiveX et d'Active Scripting dans les zones Internet et Intranet local, vous pouvez ajouter des sites de confiance dans la zone Sites de confiance d’Internet Explorer. Cette opération vous permettra de continuer à utiliser vos sites de confiance exactement comme vous le faites aujourd’hui, tout en vous protégeant contre cette attaque sur les autres sites. Nous vous recommandons d’ajouter uniquement des sites de confiance à la zone Sites de confiance. Procédez comme suit :
Remarque : Ajoutez les sites dont vous savez qu’ils n'effectueront pas d’action malveillante sur votre système. Vous pouvez notamment ajouter les sites "*.windowsupdate.microsoft.com" et “*.update.microsoft.com” (sans les guillemets). Il s’agit des sites qui hébergent la mise à jour et ils requièrent un contrôle ActiveX pour leur installation. Impact de cette solution de contournement : L’affichage d’un message de confirmation avant l’exécution des contrôles ActiveX et d'Active Scripting comporte des effets secondaires. De nombreux sites Web situés sur Internet ou sur un intranet utilisent ActiveX ou Active Scripting pour offrir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peuvent utiliser des contrôles ActiveX pour proposer des menus, des bons de commande ou même des relevés de compte. L’affichage d’un message de confirmation avant l’exécution d'Active Scripting ou de contrôles ActiveX est un paramètre global qui affecte tous les sites Internet et intranet. De nombreux messages s’affichent lorsque vous mettez en œuvre cette solution de contournement. Pour chacun d’eux, si vous pensez que le site que vous visitez est un site de confiance, cliquez sur Oui afin d’exécuter les contrôles ActiveX ou Active Scripting. Si vous ne voulez pas recevoir d'invite pour tous ces sites, suivez les étapes décrites dans la section "Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer". |
Forum aux questions concernant la vulnérabilité de corruption de mémoire non initialisée - CVE-2007-5344 |
Quelle est la portée de cette vulnérabilité ?
Il s'agit d'une vulnérabilité d'exécution de code à distance. Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté.
Si un utilisateur a ouvert une session avec des privilèges d'administrateur, un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral d'un système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Quelle est la cause de cette vulnérabilité ?
Internet Explorer tente d'accéder à un objet qui n'a pas été correctement initialisé ou a été supprimé. Cette tentative pourrait corrompre la mémoire et permettre à un attaquant d'exécuter du code arbitraire dans le contexte d'un utilisateur connecté.
Que pourrait faire un attaquant en exploitant cette vulnérabilité ?
Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Comment un attaquant peut-il exploiter cette vulnérabilité ?
Un attaquant pourrait héberger un site Web malveillant conçu pour exploiter ces vulnérabilités d'Internet Explorer, puis inciter un utilisateur à consulter ce site Web. Sont également concernés les sites Web compromis et les sites Web acceptant ou hébergeant des contenus ou des publicités provenant d'utilisateurs. Ces sites Web pourraient contenir du code spécialement conçu capable d'exploiter ces vulnérabilités. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l’utilisateur, généralement en l’incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site. Il pourrait également afficher un contenu Web spécialement conçu en imitant des panneaux publicitaires ou d'autres moyens afin d'envoyer du contenu Web aux systèmes affectés.
Quels sont les systèmes les plus exposés à cette vulnérabilité ?
Cette vulnérabilité permet l’exécution d’une action nuisible si et seulement si un utilisateur a ouvert une session et consulte un site Web. C’est pourquoi les systèmes sur lesquels Internet Explorer est fréquemment utilisé (comme les postes de travail des utilisateurs ou les serveurs de terminaux) sont les plus exposés à ces vulnérabilités.
J'utilise Internet Explorer pour Windows Server 2003. Ceci limite-t-il cette vulnérabilité ?
Oui. Par défaut, Internet Explorer sur Windows Server 2003 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. La Configuration de sécurité améliorée d'Internet Explorer est un groupe de paramètres Internet Explorer préconfigurés qui réduit le risque qu'un utilisateur ou qu'un administrateur ne télécharge et n'exécute un contenu Web spécialement conçu sur un serveur. C'est un facteur atténuant pour les sites Web qui n'ont pas été ajoutés à la zone Sites de confiance d'Internet Explorer. Consultez également le guide « Gestion de la configuration de sécurité améliorée d'Internet Explorer ».
Que fait cette mise à jour ?
Cette mise à jour supprime cette vulnérabilité en modifiant la façon dont Internet Explorer traite les erreurs lors des appels d'objets qui ne sont plus initialisés.
Lors de la parution de ce bulletin de sécurité, cette vulnérabilité avait-elle été dévoilée ?
Non. Microsoft a été informé de cette vulnérabilité par une divulgation responsable.
Lors de la parution de ce bulletin de sécurité, Microsoft avait-il été informé d’une éventuelle exploitation de cette vulnérabilité ?
Non. Lors de la première publication de ce bulletin, Microsoft n’avait reçu aucune information indiquant que cette vulnérabilité avait été utilisée pour attaquer des clients, et n’avait pas la connaissance de la publication d’un tel code.
Vulnérabilité de corruption de la mémoire liée à un objet DHTML - CVE-2007-5347 |
Une vulnérabilité d'exécution de code à distance existe dans la manière dont Internet Explorer affiche une page Web qui contient certains appels de méthode inattendus vers des objets HTML. La mémoire système pourrait alors être corrompue et permettre à un attaquant d'exécuter un code arbitraire si un utilisateur visitait un site Web malveillant. Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté.
Pour afficher cette vulnérabilité en tant qu'entrée standard dans la liste « Common Vulnerabilities and Exposures », consultez la référence CVE-2007-5347.
Facteurs atténuants concernant la vulnérabilité de corruption de la mémoire liée à un objet DHTML - CVE-2007-5347 |
Une atténuation fait référence à un paramètre, une configuration générale ou à des préférences existant dans un état par défaut qui pourraient diminuer l'impact de l'exploitation d'une vulnérabilité. Les facteurs atténuants suivants peuvent être utiles, selon votre situation :
| • | Pour une attaque Web, l'attaquant doit héberger un site Web qui contiendrait une page Web conçue pour exploiter cette vulnérabilité. En outre, les sites Web acceptant ou hébergeant des contenus provenant d'utilisateurs ou les sites Web compromis pourraient contenir du code spécialement conçu afin d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l’utilisateur, généralement en l’incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site. |
| • | Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur. |
| • | Par défaut, dans toutes les versions de Microsoft Outlook prises en charge et dans Microsoft Outlook Express, les messages au format HTML sont ouverts dans la zone Sites sensibles. La zone Sites sensibles contribue à réduire les attaques qui tenteraient d'exploiter cette vulnérabilité en empêchant Active Scripting et les contrôles ActiveX d'être utilisés lors de la lecture de messages au format HTML. Cependant, en cliquant sur un lien figurant dans un message, l'utilisateur s'expose toujours à une attaque Web. |
| • | Par défaut, Internet Explorer sur Windows Server 2003 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. Ce mode définit le niveau de sécurité pour la zone Internet sur Élevé. C'est un facteur atténuant pour les sites Web qui n'ont pas été ajoutés à la zone Sites de confiance d'Internet Explorer. Pour plus d'informations sur la Configuration de sécurité améliorée d'Internet Explorer, reportez-vous à la section du Forum aux questions concernant cette vulnérabilité. |
Solutions de contournement concernant la vulnérabilité de corruption de la mémoire liée à un objet DHTML - CVE-2007-5347 |
Une solution de contournement fait référence à une modification de paramètre ou de configuration qui ne corrige pas la vulnérabilité sous-jacente mais qui pourrait contribuer à bloquer certains vecteurs d'attaque connus jusqu'à ce que la mise à jour soit appliquée. Microsoft a testé les solutions de contournement suivantes et indique le cas échéant si une solution réduit certaines fonctionnalités :
| • | Configurer Internet Explorer de manière à ce qu'il désactive Active Scripting ou à ce qu'il vous avertisse avant de l'exécuter dans la zone de sécurité Intranet local et Internet. Vous pouvez vous protéger de cette vulnérabilité en modifiant vos paramètres afin d’être averti avant l’exécution d’Active Scripting ou afin de désactiver Active Scripting dans les zones de sécurité Intranet local et Internet. Procédez comme suit :
Remarque : La désactivation d'Active Scripting dans les zones de sécurité Intranet local et Internet risque de perturber le fonctionnement de certains sites Web. Si vous rencontrez des difficultés lors de la visite d’un site Web après avoir modifié ce paramètre et que vous êtes certain de la fiabilité de ce site, vous pouvez ajouter ce dernier à votre liste de sites de confiance. Il pourra ainsi s'afficher correctement. Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer Après avoir configuré Internet Explorer de telle sorte que des messages de confirmation s’affichent avant l’exécution des contrôles ActiveX et d'Active Scripting dans les zones Internet et Intranet local, vous pouvez ajouter des sites de confiance dans la zone Sites de confiance d’Internet Explorer. Cette opération vous permettra de continuer à utiliser vos sites de confiance exactement comme vous le faites aujourd’hui, tout en vous protégeant contre cette attaque sur les autres sites. Nous vous recommandons d’ajouter uniquement des sites de confiance à la zone Sites de confiance. Procédez comme suit :
Remarque : Ajoutez les sites dont vous savez qu’ils n'effectueront pas d’action malveillante sur votre système. Vous pouvez notamment ajouter les sites "*.windowsupdate.microsoft.com" et “*.update.microsoft.com” (sans les guillemets). Il s’agit des sites qui hébergent la mise à jour et ils requièrent un contrôle ActiveX pour leur installation. Impact de cette solution de contournement : L’affichage d’un message de confirmation avant l’exécution d'Active Scripting comporte des effets secondaires. De nombreux sites Web situés sur Internet ou sur un intranet utilisent Active Scripting pour offrir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peuvent utiliser Active Scripting pour proposer des menus, des bons de commande ou même des relevés de compte. L’affichage d’un message de confirmation avant l’exécution d'Active Scripting est un paramètre global qui affecte tous les sites Internet et intranet. De nombreux messages s’affichent lorsque vous mettez en œuvre cette solution de contournement. Pour chacun d’eux, si vous pensez que le site que vous visitez est un site de confiance, cliquez sur Oui afin d’exécuter Active Scripting. Si vous ne voulez pas recevoir d'invite pour tous ces sites, suivez les étapes décrites dans la section "Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer". |
| • | Définissez les paramètres des zones Intranet local et Internet sur la valeur "Élevé" afin d'afficher un message de confirmation avant d'exécuter les contrôles ActiveX et Active Scripting dans ces zones Vous pouvez vous protéger contre cette vulnérabilité en modifiant les paramètres de la zone de sécurité Internet afin d’afficher un message de confirmation avant l’exécution des contrôles ActiveX et Active Scripting. Réglez la sécurité de votre navigateur sur la valeur Élevé. Pour augmenter le niveau de sécurité de navigation dans Microsoft Internet Explorer :
Remarque : Si aucun curseur n'est visible, cliquez sur Niveau par défaut, puis déplacez le curseur sur Élevé. Remarque : La définition du niveau de sécurité sur Élevé risque de perturber le fonctionnement de certains sites Web. Si vous rencontrez des difficultés lors de la visite d’un site Web après avoir modifié ce paramètre et que vous êtes certain de la fiabilité de ce site, vous pouvez ajouter ce dernier à votre liste de sites de confiance. Cela permettra à ce site de s'afficher correctement même si le niveau de sécurité est défini sur Élevé. Impact de cette solution de contournement : L’affichage d’un message de confirmation avant l’exécution des contrôles ActiveX et d'Active Scripting comporte des effets secondaires. De nombreux sites Web situés sur Internet ou sur un intranet utilisent ActiveX ou Active Scripting pour offrir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peuvent utiliser des contrôles ActiveX pour proposer des menus, des bons de commande ou même des relevés de compte. L’affichage d’un message de confirmation avant l’exécution d'Active Scripting ou de contrôles ActiveX est un paramètre global qui affecte tous les sites Internet et intranet. De nombreux messages s’affichent lorsque vous mettez en œuvre cette solution de contournement. Pour chacun d’eux, si vous pensez que le site que vous visitez est un site de confiance, cliquez sur Oui afin d’exécuter les contrôles ActiveX ou Active Scripting. Si vous ne voulez pas recevoir d'invite pour tous ces sites, suivez les étapes décrites dans la section "Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer". Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer Après avoir configuré Internet Explorer de telle sorte que des messages de confirmation s’affichent avant l’exécution des contrôles ActiveX et d'Active Scripting dans les zones Internet et Intranet local, vous pouvez ajouter des sites de confiance dans la zone Sites de confiance d’Internet Explorer. Cette opération vous permettra de continuer à utiliser vos sites de confiance exactement comme vous le faites aujourd’hui, tout en vous protégeant contre cette attaque sur les autres sites. Nous vous recommandons d’ajouter uniquement des sites de confiance à la zone Sites de confiance. Procédez comme suit :
Remarque : Ajoutez les sites dont vous savez qu’ils n'effectueront pas d’action malveillante sur votre ordinateur. Vous pouvez notamment ajouter les sites « *.windowsupdate.microsoft.com » et « *.update.microsoft.com ». Il s’agit des sites qui hébergent la mise à jour et ils requièrent un contrôle ActiveX pour leur installation. Impact de cette solution de contournement : L’affichage d’un message de confirmation avant l’exécution des contrôles ActiveX et d'Active Scripting comporte des effets secondaires. De nombreux sites Web situés sur Internet ou sur un intranet utilisent ActiveX ou Active Scripting pour offrir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peuvent utiliser des contrôles ActiveX pour proposer des menus, des bons de commande ou même des relevés de compte. L’affichage d’un message de confirmation avant l’exécution d'Active Scripting ou de contrôles ActiveX est un paramètre global qui affecte tous les sites Internet et intranet. De nombreux messages s’affichent lorsque vous mettez en œuvre cette solution de contournement. Pour chacun d’eux, si vous pensez que le site que vous visitez est un site de confiance, cliquez sur Oui afin d’exécuter les contrôles ActiveX ou Active Scripting. Si vous ne voulez pas recevoir d'invite pour tous ces sites, suivez les étapes décrites dans la section "Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer". |
Forum aux questions concernant la vulnérabilité de corruption de la mémoire liée à un objet DHTML - CVE-2007-5347 |
Quelle est la portée de cette vulnérabilité ?