Bulletins de Sécurité Microsoftmai 2007

9 mai 2007

France Direction Technique et Sécurité

Bienvenue !

• Présentation des bulletins de mai> Nouveaux bulletins de sécurité

• Information concernant MS07-029

> Mise à jour non relatives à la sécurité

• Informations connexes> Windows Malicious Software Removal Tool

> Cycle de support produits - fin de support sécurité

> Informations importantes complémentaires

• Ressources

• Questions - Réponses

Bulletins de Sécurité - mai 2007Résumé

• Nouveaux bulletins de sécurité> Critique : 7

Questions - Réponses

Vous pouvez poser vos questions à tout moment en indiquant le numéro du bulletin concerné et en utilisant le bouton « Poser une question »

Bulletins de Sécurité - mai 2007 Présentation

Numéro Titre Indice de gravité maximal

Produits affectés

MS07-023 Des vulnérabilités dans Microsoft Excel pourraient permettre l’exécution de code à distance (934233)

Critique Toutes versions d'Excel en cours de support

MS07-024 Des vulnérabilités dans Microsoft Word pourraient permettre l'exécution de code à distance (934232)

Critique Microsoft Word 2000, 2002, 2003

MS07-025 Une vulnérabilité dans Microsoft Office pourrait permettre l'exécution de code à distance (934873)

Critique Toutes versions d'Office en cours de support

MS07-026 Des vulnérabilités dans Microsoft Exchange pourraient permettre l’exécution de code à distance (931832)

Critique Toutes versions d'Exchange en cours de support

MS07-027 Mise à jour de sécurité cumulative pour Internet Explorer (931768)

Critique Toutes versions d'Internet Explorer sur toutes les versions de Windows en cours de support

MS07-028 Une vulnérabilité dans CAPICOM pourrait permettre l'exécution de code à distance (931906)

Critique CAPICOM, BizTalk Server

MS07-029 Une vulnérabilité dans l'interface RPC du serveur DNS Windows pourrait permettre l'exécution de code à distance (935966)

Critique Windows 2000 Server, Windows Server 2003

Bulletins de Sécurité - mai 2007Résumé des niveaux de criticité

Numéro Microsoft Excel 2000

Microsoft Excel 2002

Microsoft Excel 2003

Excel 2007

MS07-023 Critique Important Important Important

Microsoft Word 2000

Microsoft Word 2002

Microsoft Word 2003

Microsoft Word 2007

Microsoft Word 2004 pour Mac

MS07-024 Critique Important Important Non concerné Important

Microsoft Office 2000

Microsoft Office XP

Microsoft Office 2003

Microsoft Office 2007

Microsoft Office 2004 pour Mac

MS07-025 Critique Important Important Important Important

Bulletins de Sécurité - mai 2007Résumé des niveaux de criticité (2)

Numéro Internet Explorer 5.01 SP 4

Internet Explorer 6 SP 1

Internet Explorer 6 et 7 pour Windows Server 2003 SP1 ou SP2

IE 6.0 pour Windows XP SP 2

IE 7.0 pour Windows XP SP2

IE 7.0 pour Windows Vista

MS07-027 Critique Critique Modéré Critique Critique Critique

Microsoft Exchange 2000 Server

Microsoft Exchange Server 2003 SP1 et SP2

Microsoft Exchange Server 2007

MS06-026 Critique Critique Critique

CAPICOM BizTalk Server 2004

MS07-028 Critique Critique

Windows 2000 SP4

Windows Server 2003 SP1 et SP2

MS07-029 Critique Critique

MS07-023 – Des vulnérabilités dans Microsoft Excel pourraient permettre l’exécution de code à distance (934233) – Critique

Vulnérabilités Trois vulnérabilités d'exécution de code dans Excel liées à la gestion d'éléments de données malformés.

Vecteurs d'attaque possibles

• L'attaquant crée un document Excel spécifique

• L'attaquant poste le document sur un site Web ou l'envoie par email

• L'attaquant persuade l'utilisateur de consulter le site Web ou d'ouvrir la pièce jointe

Impact Exécution de code dans le contexte de l'utilisateur

Facteurs atténuants • Limitations en vigueur sur le compte de l'utilisateur

• Excel 2002, Excel 2003 et Excel 2007 : Ne peut pas être exploitée automatiquement par le biais des messages électroniques. L'utilisateur doit ouvrir la pièce jointe à un email.

• Excel 2002, Excel 2003 et Excel 2007 : Ne peut pas être exploitée automatiquement par le biais d'une page Web. L'utilisateur doit accepter les risques présentés par la boîte de dialogue d'avertissement.

> La boîte de dialogue ne s'affiche pas sous Office 2000.

> La boîte de dialogue peut être ajoutée à Office 2000 en installant l'Outil de confirmation à l'ouverture pour Office.

• L'utilisateur doit visiter un site malveillant manuellement ou en cliquant sur un lien dans un email ou dans un message instantané. L'accès aux sites ne peut être automatisé.

•Excel 2007 : problème affectant le traitement du format de fichier Excel précédent. Le blocage des fichiers peut aider à protéger

• http://technet2.microsoft.com/Office/en-us/library/fe3f431c-8d7a-45c8-954f-1268f3b533161033.mspx?mfr=true

MS07-024 – Des vulnérabilités dans Microsoft Word pourraient permettre l’exécution de code à distance (934232) – Critique

Vulnérabilités Trois vulnérabilités d'exécution de code dans Word liées à la gestion d'éléments de données malformés.

Vecteurs d'attaque possibles

• L'attaquant crée un document Word spécifique

• L'attaquant poste le document sur un site Web ou l'envoie par email

• L'attaquant persuade l'utilisateur de consulter le site Web ou d'ouvrir la pièce jointe

Impact Exécution de code dans le contexte de l'utilisateur

Facteurs atténuants • Limitations en vigueur sur le compte de l'utilisateur

• Word 2002 ou Word 2003 : Ne peut pas être exploitée automatiquement par le biais des messages électroniques. L'utilisateur doit ouvrir la pièce jointe à un email.

• Word 2002 ou Word 2003 : Ne peut pas être exploitée automatiquement par le biais d'une page Web. L'utilisateur doit accepter les risques présentés par la boîte de dialogue d'avertissement.

> La boîte de dialogue ne s'affiche pas sous Office 2000.

> La boîte de dialogue peut être ajoutée à Office 2000 en installant l'Outil de confirmation à l'ouverture pour Office.

• L'utilisateur doit visiter un site malveillant manuellement ou en cliquant sur un lien dans un email ou dans un message instantané. L'accès aux sites ne peut être automatisé.

Informations connexes

•Résout le problème décrit dans l'Avis de sécurité Microsoft 933052.

MS07-025 – Une vulnérabilité dans Microsoft Office pourrait permettre l'exécution de code à distance (934873) – Critique

Vulnérabilité Une vulnérabilité d'exécution de code existe dans la manière dont Microsoft Office traite un objet dessin spécialement conçu.

Vecteurs d'attaque possibles

• L'attaquant crée un document Office spécifique

• L'attaquant poste le document sur un site Web ou l'envoie par email

• L'attaquant persuade l'utilisateur de consulter le site Web ou d'ouvrir la pièce jointe

Impact Exécution de code dans le contexte de l'utilisateur

Facteurs atténuants • Limitations en vigueur sur le compte de l'utilisateur

• Office XP ou Office 2003 : Ne peut pas être exploitée automatiquement par le biais des messages électroniques. L'utilisateur doit ouvrir la pièce jointe à un email.

• Office XP ou Office 2003 : Ne peut pas être exploitée automatiquement par le biais d'une page Web. L'utilisateur doit accepter les risques présentés par la boîte de dialogue d'avertissement.

> La boîte de dialogue ne s'affiche pas sous Office 2000.

> La boîte de dialogue peut être ajoutée à Office 2000 en installant l'Outil de confirmation à l'ouverture pour Office.

• L'utilisateur doit visiter un site malveillant manuellement ou en cliquant sur un lien dans un email ou dans un message instantané. L'accès aux sites ne peut être automatisé

Informations connexes

•Vulnérabilité présente uniquement dans Excel, Publisher, FrontPage/SharePoint Designer

•Tous les utilisateurs d'Office devraient appliquer la mise à jour.

MS07-026 – Des vulnérabilités dans Microsoft Exchange pourraient permettre l’exécution de code à distance (931832) – Critique

Vulnérabilités Une vulnérabilité d'exécution de code à distance, une vulnérabilité de divulgation d'informations et deux vulnérabilités de déni de service.

Vecteurs d'attaque possibles

• L'attaquant crée un email spécifique

• L'attaquant envoie l'email à un serveur Exchange

Impact Exécution de code dans le contexte de "LocalSystem"

Facteurs atténuants Aucun.

MS07-027 – Mise à jour de sécurité cumulative pour Internet Explorer (931768) – Critique

Vulnérabilités Cinq vulnérabilités d'exécution de code

Vecteurs d'attaque possibles

• L'attaquant crée une page Web malveillante.

• L'attaquant poste la page sur un site Web ou l'envoie par email au format HTML

• L'attaquant persuade l'utilisateur de consulter le site Web ou d'ouvrir l'email

Impact Exécution de code dans le contexte de l'utilisateur

Facteurs atténuants • Limitations en vigueur sur le compte de l'utilisateur

• La vulnérabilité ne peut être exploitée automatiquement. L'utilisateur doit visiter un site malveillant manuellement ou en cliquant sur un lien dans un email ou dans un message instantané.

•Par défaut, dans toutes les versions de Microsoft Outlook et d'Outlook Express prises en charge, les messages au format HTML sont ouverts dans la zone Sites sensibles.

• Sur Windows Server 2003, la Configuration de sécurité améliorée d'Internet Explorer aide à réduire ce risque en modifiant de nombreux paramètres liés à la sécurité.

Informations connexes

• Définit le killbit pour le contrôle ActiveX LaunchApp fourni par Acer Incorporated

• Consultez http://global.acer.com/support/patch20070101.htm pour plus d'informations

• Définit le killbit pour un contrôle ActiveX développé par Research In Motion (RIM)

• Consultez http://na.blackberry.com/eng/ataglance/security/news.jsp pour plus d'informations

MS07-028 – Une vulnérabilité dans CAPICOM pourrait permettre l'exécution de code à distance (931906) – Critique

Vulnérabilité Une vulnérabilité d'exécution de code dans CAPICOM (Cryptographic API Component Object Model) liée au traitement des entrées dans le contrôle ActiveX

Vecteurs d'attaque possibles

• L'attaquant crée une page Web malveillante.

• L'attaquant poste la page sur un site Web ou l'envoie par email au format HTML

• L'attaquant persuade l'utilisateur de consulter le site Web ou d'ouvrir l'email

Impact Exécution de code dans le contexte de l'utilisateur

Facteurs atténuants • Limitations en vigueur sur le compte de l'utilisateur

• La vulnérabilité ne peut être exploitée automatiquement. L'utilisateur doit visiter un site malveillant manuellement ou en cliquant sur un lien dans un email ou dans un message instantané.

•Par défaut, dans toutes les versions de Microsoft Outlook et d'Outlook Express prises en charge, les messages au format HTML sont ouverts dans la zone Sites sensibles.

• Sur Windows Server 2003, la Configuration de sécurité améliorée d'Internet Explorer aide à réduire ce risque en modifiant de nombreux paramètres liés à la sécurité.

•Le contrôle n'est pas dans la liste « ActiveX Opt-in » d'Internet Explorer 7 : l'utilisateur doit accepter de manière explicite la première exécution du contrôle

MS07-029 – Une vulnérabilité dans l'interface RPC du serveur DNS Windows pourrait permettre l'exécution de code à distance (935966) – Critical

Vulnérabilité Vulnérabilité d'exécution de code dans l'interface RPC de gestion du serveur DNS

Vecteurs d'attaque possibles

• L'attaquant crée un paquet réseau spécifique

• L'attaquant envoie le paquet à un système vulnérable

Impact Exécution de code dans le contexte du compte Système local

Informations connexes

• Résout le problème décrit dans l'Avis de sécurité Microsoft 935964

• La mise à jour de sécurité ne rétablit aucune des solutions de contournement qui ont pu être mises en place : elles doivent être rétablies manuellement

Information concernant MS07-029

• Informations partielles sur des attaques limitées reçues le 6 avril 2007

• Enquête permettant la découverte d'informations terminée le 11 avril 2007

• Solutions de contournement identifiées et Avis de sécurité 935964 publié le 12 avril 2007

• Informations transmises aux partenaires de la Microsoft Security Alliance (MSRA) afin de permettre la mise en place de protections au sens large

• Surveillance en continu ayant permis de déterminer que les attaques restaient limitées

Détection et déploiement

WinUpdate, SUS, AutoUpdates

Office Update et Outil d'inventaire des mises à jour d'Office pour SMS

MBSA 1.2 et Outil d'inventaire des mises à jour de sécurité pour SMS (SUIT)

Outil d'analyse des mises à jour pour entreprise (EST) et Outils d'analyse des mises à jour de sécurité SMS

MSUpdate/WSUS/AutoUpdatesOutil d'inventaire SMS 2003 et MBSA 2.0

MS07-023 - Oui (sauf 2007) Oui (local sauf 2007) Non Oui (sauf 2000)

MS07-024 - Oui Oui (local) Non Oui (sauf 2000)

MS07-025 - Oui (sauf 2007) Oui (local sauf 2007) Non Oui (sauf 2000)

MS07-026 - - Oui (sauf 2007) Non Oui

MS07-027 Oui - Oui (sauf Vista) Non Oui

MS07-028 Oui - Non Oui Oui

MS07-029 Oui - Oui Non Oui

Informations de mise à jour (suite)

BulletinRédémarrage requis

HotPatching Désinstallation Remplace

MS07-023 Non - Oui (sauf 2000) MS07-002

MS07-024 Non - Oui (sauf 2000) MS07-014

MS07-025 Non - Oui (sauf 2000) MS07-015

MS07-026 Non - Oui MS06-019, MS06-029

MS07-027 Oui - Oui MS07-016

MS07-028 Non - Oui -

MS07-029 Oui Non Oui -

Mai 2007 - Mises à jour non relatives à la sécurité

Numéro Titre Distribution

930916 Mise à jour pour Windows XP (KB930916) WinUpdate, MSUpdate

934708 Mise à jour du filtre de courrier indésirable Outlook 2003 (KB934708) MSUpdate

934655 Mise à jour du filtre de courrier indésirable Outlook 2007 (KB934655) MSUpdate

933669 Mise à jour pour PowerPoint 2003 (KB933669) MSUpdate

934173 Mise à jour pour Word 2007 (KB934173) MSUpdate

934393 Mise à jour pour Office 2007 (KB934393) MSUpdate

Windows Malicious Software Removal Tool

• Ajoute la possibilité de supprimer :> Win32/Renos

• Disponible en tant que mise à jour prioritaire sous Windows Update et Microsoft Update pour les utilisateurs de Windows XP et Windows Vista.

> Disponible par WSUS. Non disponible par SUS 1.0.

• Également disponible en téléchargement à http://www.microsoft.com/france/securite/malwareremove/default.mspx

Cycle de support produits - fin de support sécurité

• Windows Server 2003 RTM (SP0) a expiré avec la publication d'avril 2007> Windows Server 2003 SP1 et SP2 pris en charge

• 10 juillet 2007 > Software Update Services 1.0

• WSUS 2.0 et 3.0 pris en charge

> SQL Server 2000 Service Pack 3a

• SQL Server 2000 Service Pack 4 pris en charge

> SQL Server 2005 RTM (SP0)

• SQL Server 2005 SP1 pris en charge

Informations importantes complémentaires

• Windows Server Update Services (WSUS) 3.0 disponible> Informations disponibles sur :

http://www.microsoft.com/france/technet/produits/win2003/WSUS.mspx

• Windows Server 2003 SP2 sera disponible par les Mises à jour automatiques à partir du 12 juin 2007

> Informations disponibles sur :http://www.microsoft.com/france/technet/Produits/Win2003/sp2.mspx

Ressources

• Webcast des bulletins de sécurité de juin 2007

• Résumé des bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletin/ms07-may.mspx

• Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletin

• Programme de conseils sécurité Microsoft : Glossairehttp://www.microsoft.com/france/technet/security/bulletin/glossary.mspx

• Avis de sécuritéhttp://www.microsoft.com/france/technet/security/advisory

• Blog du MSRC (Microsoft Security Response Center)http://blogs.technet.com/msrc

• Notificationshttp://www.microsoft.com/france/securite/newsletters.mspx

• TechNet Radio (en anglais)http://www.microsoft.com/tnradio

• Microsoft France sécurité http://www.microsoft.com/france/securite

• Lettre d'information mensuellehttp://www.microsoft.com/france/securite/newsletters.mspx

• TechNet sécuritéhttp://www.microsoft.com/france/technet/security

Informations légales

L’OBJET DU PRESENT DOCUMENT EST DE VOUS FOURNIR L’INFORMATION QUE VOUS AVEZ DEMANDEE CONCERNANT LA SECURITE. GENERALEMENT, L’INFORMATION PROVOQUE UNE PRISE DE CONSCIENCE AUTOUR DE LA SECURITE ET IDENTIFIE LE PERSONNEL, LES PROCEDES, RESSOURCES ET TECHNOLOGIES QUI SONT DESTINES A PROMOUVOIR DE BONNES REGLES DE SECURITE DANS VOTRE ORGANISATION. LES VIRUS ET AUTRES TECHNOLOGIES NUISIBLES DESTINES A ATTAQUER VOTRE ENVIRONNEMENT INFORMATIQUE CHANGENT CONTINUELLEMENT AFIN DE CONTOURNER LES MESURES DE SECURITE EXISTANTES. DES LORS, MAINTENIR UN ENVIRONNEMENT INFORMATIQUE FIABLE EST UN PROCESSUS CONTINU QUI EXIGE QUE VOUS MAINTENIEZ UN PERSONNEL, DES PROCEDES, RESSOURCES ET TECHNOLOGIES ADEQUATS AFIN DE VOUS PROTEGER CONTRE TOUTE ATTEINTE A LA SECURITE. AUCUNE DISPOSITION CONTENUE DANS LES PRESENTES NE DOIT ETRE INTERPRETEE OU CONSIDEREE COMME UNE CERTIFICATION, UNE GARANTIE OU TOUTE AUTRE FORME DE VALIDATION QUE VOTRE ENVIRONNEMENT INFORMATIQUE EST ET DEMEURERA PROTEGE CONTRE DES ATTEINTES A LA SECURITE ET NOUS N’ASSUMONS AUCUNE RESPONSABILITE POUR TOUTE ATTEINTE A LA SECURITE OU TOUT DOMMAGE OU PERTE SUBSEQUENT. TOUTES COMMUNICATIONS OU TRANSMISSIONS D’INFORMATION QUI VOUS SONT ADRESSEES AU SUJET DE MICROSOFT ET CONCERNANT LA SECURITE INCLUANT NOTAMMENT TOUTES SUGGESTIONS, ANALYSES, OU COMMENTAIRES QUI VOUS SONT FOURNIS DURANT UNE ANALYSE RELATIVE A LA SECURITE OU TOUTE AUTRE INFORMATION PASSEE, PRESENTE OU FUTURE RELATIVE NOTAMMENT AUX TESTS DE SECURITE, EVALUATIONS, DISPONIBILITES, HORAIRES OU OBJECTIFS (CI-APRES COLLECTIVEMENT DENOMMES « INFORMATIONS SUR LA SECURITE »), SONT FOURNIS CONFORMEMENT AUX CONDITIONS DU CONTRAT DE SERVICE EXISTANT ENTRE VOUS ET MICROSOFT ET UNIQUEMENT AFIN DE VOUS PERMETTRE DE VOUS ORGANISER FACE A D’EVENTUELS PROBLEMES DE SECURITE. TOUTES LES INFORMATIONS SUR LA SECURITE CONTIENNENT TOUTES LES DONNEES QUI NOUS SONT ACTUELLEMENT ACCESSIBLES MAIS QUI SONT SUSCEPTIBLES DE CHANGER EN RAISON DU CHANGEMENT CONSTANT DE CES DONNEES SANS QUE MICROSOFT VOUS AIT PREALABLEMENT INFORME DE CES CHANGEMENTS. NOUS VOUS RECOMMANDONS DONC DE VERIFIER REGULIEREMENT AUPRES DE NOUS ET SUR LE SITE INTERNET DE SECURITE SITUE A L’ADRESSE SUIVANTE WWW.MICROSOFT.COM/SECURITY SI LES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES FONT L’OBJET DE MISES A JOUR. VEUILLEZ NOUS CONTACTER SI VOUS AVEZ D’AUTRES QUESTIONS CONCERNANT DES PROBLEMES DE SECURITE OU SI VOUS AVEZ BESOIN D’UNE MISE A JOUR DES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES.