Bulletin de sécurité Microsoft MS07-049 - Important

Une vulnérabilité dans Virtual PC et Virtual Server pourrait permettre une élévation de privilèges (937986)

Paru le: | Mis(e) à jour:

Version: 2.0

Informations générales

Synthèse

Cette mise à jour de sécurité de niveau « important » corrige une vulnérabilité signalée confidentiellement. Il s’agit d’une vulnérabilité d’élévation de privilèges. La vulnérabilité dans Microsoft Virtual PC et Microsoft Virtual Server pourrait permettre à un utilisateur d'un système d'exploitation invité d'exécuter du code sur le système d'exploitation hôte ou sur un autre système d'exploitation invité. Seuls les utilisateurs du système d'exploitation invité qui disposent des autorisations administratives pour le système d'exploitation invité pourraient exploiter cette vulnérabilité. Les utilisateurs du système d'exploitation invité qui ne disposent pas des autorisations administratives pour le système d'exploitation invité ne peuvent pas exploiter cette vulnérabilité.

Il s’agit d’une mise à jour de sécurité de niveau « important » pour les versions prises en charge de Microsoft Virtual PC 2004, Microsoft Virtual Server 2005, Microsoft Virtual Server 2005 R2, Microsoft Virtual PC pour Mac version 6.1 et Microsoft Virtual PC pour Mac Version 7. Pour plus d'informations, consultez la sous-section « Logiciels concernés et non concernés » plus loin dans ce bulletin.

Cette mise à jour de sécurité corrige cette vulnérabilité en améliorant l'interaction et l'initialisation des composants qui communiquent avec le système d'exploitation hôte pour les machines virtuelles s'exécutant sous Microsoft Virtual PC et Microsoft Virtual Server. Pour obtenir plus d'informations sur les vulnérabilités, consultez la sous-section « Forum aux questions » spécifique à chaque vulnérabilité, dans la section « Informations par vulnérabilité ».

Recommandation : Microsoft recommande à ses clients d’installer cette mise à jour dès que possible.

Problèmes connus : L'Article 937986 de la Base de connaissances Microsoft décrit les problèmes connus auxquels les clients peuvent être confrontés lors de l'installation de cette mise à jour de sécurité. Cet article documente également les solutions palliatives recommandées.

Logiciels concernés et non concernés

Microsoft a testé les logiciels répertoriés dans ce bulletin afin de déterminer les versions ou éditions concernées. Toute autre version ou édition a atteint la fin de son cycle de vie ou n'est pas affectée. Consultez le site Web Politique de Support Microsoft afin de connaître la politique de support Microsoft pour votre version ou édition.

Logiciels concernés

Logiciels concernésImpact de sécurité maximalIndice de gravité cumuléeBulletins remplacés par cette mise à jour
Microsoft Virtual PC 2004Élévation de privilègesImportantAucun.
Microsoft Virtual PC 2004 Service Pack 1Élévation de privilègesImportantAucun.
Microsoft Virtual Server 2005 Standard EditionÉlévation de privilègesImportantAucun.
Microsoft Virtual Server 2005 Enterprise EditionÉlévation de privilègesImportantAucun.
Microsoft Virtual Server 2005 R2 Standard EditionÉlévation de privilègesImportantAucun.
Microsoft Virtual Server 2005 R2 Enterprise EditionÉlévation de privilègesImportantAucun.
Microsoft Virtual PC pour Mac version 6.1Élévation de privilègesImportantAucun.
Microsoft Virtual PC pour Mac version 7Élévation de privilègesImportantAucun.

Logiciels non concernés

Logiciels non concernés
Microsoft Virtual PC 2007
Microsoft Virtual Server 2005 R2 Service Pack 1

Forum aux questions concernant la présente mise à jour de sécurité

Informations par vulnérabilité

Indices de gravité et identificateurs de vulnérabilité

Vulnérabilité de dépassement de capacité du tas dans Virtual PC et Virtual Server - CVE-2007-0948

Informations concernant la mise à jour

Outils de détection, de déploiement et Conseils

Déploiement de la mise à jour de sécurité

Autres informations

Remerciements

Microsoft remercie les organismes ci-dessous pour avoir contribué à la protection de ses clients :

  • Rafal Wojtczuk de McAfee Avert Lab pour avoir travaillé en collaboration avec Microsoft sur la vulnérabilité d'élévation de privilèges dans Virtual PC et Virtual Server – (CVE-2007-0948).

Support technique

  • En cas de problème, contactez les services de support technique de Microsoft. Les appels au Support technique concernant les mises à jour de sécurité ne sont pas facturés par Microsoft.
  • Nos clients internationaux peuvent joindre le Support technique de leur filiale Microsoft locale. Le support technique ayant trait aux mises à jour de sécurité n'est pas facturé par Microsoft. Pour savoir comment contacter le Support Microsoft, consultez le site International Support.

Dédit de responsabilité

Les informations contenues dans la Base de connaissances Microsoft sont fournies "en l'état", sans garantie d'aucune sorte. Microsoft exclut toute garantie, expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.

Révisions

  • V1.0 (14 août 2007) : Bulletin publié.
  • V2.0 (13 novembre 2007) : La mise à jour de sécurité pour Microsoft Virtual PC 2004, Microsoft Virtual PC 2004 Service Pack 1, Microsoft Virtual Server 2005 Standard Edition, Microsoft Virtual Server 2005 Enterprise Edition, Microsoft Virtual Server 2005 R2 Standard Edition, Microsoft Virtual Server 2005 R2 Enterprise Edition ne s'installait pas correctement dans certains cas. Microsoft recommande à ses clients d’installer cette mise à jour dès que possible. Aucune action n'est requise sur les systèmes sur lesquels la mise à jour de sécurité a été correctement installée. Pour plus de détails, consultez la section « Forum aux questions sur la présente mise à jour de sécurité ».