Bulletin de sécurité Microsoft MS12-046 - Important

Pourquoi ce Bulletin a-t-il été mis à jour le 13 novembre 2012 ? 
Microsoft a réédité ce Bulletin pour remplacer la mise à jour KB2598361 par la mise à jour KB2687626 pour Microsoft Office 2003 Service Pack 3 afin de corriger un problème impliquant des certificats numériques spécifiques générés par Microsoft sans attributs d'horodatage corrects. Pour plus d'informations, consultez l'Avis de sécurité Microsoft 2749655.

Bien que la mise à jour rééditée (KB2687626) remplace la mise à jour d'origine (KB2598361) pour Microsoft Office 2003 Service Pack 3, les clients ayant déjà installé la mise à jour KB2598361 n'ont pas besoin d'installer la mise à jour KB2687626.

J'ai déjà installé la mise à jour KB2598361 d'origine pour Microsoft Office 2003. Dois-je appliquer le package de mise à jour rééditée (KB2687626) publié le 13 novembre 2012 ? 
Non. La mise à jour rééditée (KB2687626) s'applique uniquement aux systèmes exécutant Microsoft Office 2003 sur lesquels la mise à jour d'origine (KB2598361) n'a pas été installée. Les clients ayant déjà installé la mise à jour KB2598361 d'origine pour Microsoft Office 2003 Service Pack 3 n'ont pas besoin d'entreprendre de nouvelle action. Par ailleurs, la mise à jour rééditée (KB2687626) ne sera pas proposée aux clients si ces derniers ont déjà installé la mise à jour d'origine (KB2598361) sur leurs systèmes.

Remarque : Si la mise à jour KB2598361 est déjà installée, et que la mise à jour KB2687626 est ensuite installée sur le même système, le programme d'installation génère un message indiquant que la mise à jour est déjà installée. Une fois le message généré, la mise à jour KB2687626 remplacera la mise à jour KB2598361 dans la liste des mises à jour installées. Pour plus d'informations sur ce sujet, consultez l'Article 2707960 de la Base de connaissances Microsoft.

Cette mise à jour est-elle liée à l'Avis de sécurité Microsoft 2269637 ? 
Oui, la vulnérabilité de chargement de bibliothèque non sécurisé dans Visual Basic pour Applications (CVE-2012-1854) corrigée par cette mise à jour est liée à la classe de vulnérabilités décrite dans l'Avis de sécurité Microsoft 2269637, qui affecte la façon dont les applications chargent les bibliothèques externes. Cette mise à jour de sécurité corrige une instance particulière de ce type de vulnérabilité.

La mise à jour est à un composant partagé utilisé par Microsoft Office. La mise à jour sera-t-elle proposée aux logiciels Microsoft Office incluant le composant partagé, même si ces logiciels n'accèdent pas au code vulnérable ? 
Oui, la mise à jour sera proposée aux systèmes dans lesquels le composant Office partagé vulnérable est détecté. Ceci est également vrai lorsque les logiciels Office incluent VBE6.dll mais n'accèdent pas au code vulnérable.

Pourquoi plusieurs packages de mises à jour sont-ils disponibles pour Microsoft Office 2010 et Microsoft Office 2010 Service Pack 1 ?  
Les mises à jour requises pour corriger la vulnérabilité décrite dans ce Bulletin sont proposées dans différents packages de mises à jour comme indiqué dans le tableau « Logiciels concernés » en raison du modèle de service, basé sur des composants distincts, de Microsoft Office 2010. Afin d'être protégés de la vulnérabilité, les deux mises à jour sont nécessaires, mais il n'y a pas d'ordre d'installation à respecter.

Où se trouvent les informations sur les fichiers ? 
Reportez-vous aux tableaux de référence de la section « Déploiement de la mise à jour de sécurité » pour obtenir l'emplacement des informations sur les fichiers.

Où se trouvent les mots de passe hachés des mises à jour de sécurité ?  
Les mots de passe hachés SHA1 et SHA2 des mises à jour de sécurité peuvent être utilisés pour vérifier l'authenticité de packages de mise à jour de sécurité téléchargés. Pour obtenir les informations de hachage qui se rapportent à cette mise à jour, consultez l'Article 2707960 de la Base de connaissances Microsoft.

J'ai appliqué les mises à jour de sécurité Microsoft requises, mais j'ai toujours une version affectée du module d'exécution de Visual Basic for Applications (VBE6.dll) sur mon système. Comment mettre à jour cette DLL ? 
Il existe certaines situations dans lesquelles votre système peut disposer d'une version affectée de VBE6.dll même après avoir installé les mises à jour de sécurité requises pour Microsoft Office et la mise à jour pour Microsoft Visual Basic pour Applications indiquées dans ce Bulletin.

Si VBE6.dll a été installé sur votre système par une version en cours de support de Microsoft Office, l'application de cette mise à jour de sécurité pour la version affectée de Microsoft Office remplacera VBE6.dll par la version mise à jour corrigeant la vulnérabilité décrite dans ce Bulletin. Cependant, si VBE6.dll a été installé sur votre système par une application tierce, il se peut que vous deviez installer une mise à jour pour ce programme.

Pour mettre à jour VBE6.dll pour des applications tierces, deux scénarios sont possibles, selon l'implémentation de VBA de l'application tierce. Si vous savez que l'application tierce respecte les meilleures pratiques recommandées concernant l'utilisation d'un composant partagé en tant qu'assembly côte à côté, l'application de la mise à jour de Microsoft Visual Basic pour Applications (KB2688865) remplacera VBE6.dll dans l'emplacement partagé par la version mise à jour corrigeant la vulnérabilité décrite dans ce Bulletin.

En revanche, si l'application tierce ne place pas VBE6.dll dans l'emplacement partagé conformément aux meilleures pratiques recommandées, contactez le développeur de l'application tierce pour lui demander de vous fournir une version mise à jour de son application intégrant une version plus récente de VBE6.dll qui corrige la vulnérabilité décrite dans ce Bulletin.

Cette mise à jour de sécurité s'applique uniquement aux logiciels Microsoft. Comment puis-je détecter si des applications tierces ont déployé une version affectée du module d'exécution de Visual Basic pour Applications (VBE6.dll) sur mon système ? 
Les applications tierces prenant en charge VBA pourraient déployer VBE6.dll dans un emplacement qui n'est pas mis à jour par cette mise à jour de sécurité. Si une application tierce a été fournie avec sa propre copie de VBE6.dll, afin de garantir la protection de votre système contre la vulnérabilité décrite dans ce Bulletin, contactez directement le développeur ou le fournisseur responsable de l'assistance pour cette application tierce.

Pour savoir comment rechercher les copies de VBE6.dll sur votre système, consultez l'Article 978213 de la Base de connaissances Microsoft. La recherche de toutes les copies de VBE6.dll sur votre système peut contribuer à identifier des copies potentiellement vulnérables qui pourraient avoir été installées par des applications tierces.

Je suis développeur de logiciels tiers et j'utilise le module d'exécution de Microsoft Visual Basic pour Applications dans mon application. Mon application est-elle vulnérable et comment puis-je la mettre à jour ?  
Les développeurs redistribuant le module d'exécution VBE6.dll de Microsoft Visual Basic pour Applications doivent télécharger une version mise à jour de Microsoft Visual Basic pour Applications SDK auprès de Summit Software Company. Ils doivent ensuite mettre à jour le programme d'installation d'application avec le module d'exécution VBA mis à jour. Pour plus d'informations sur les meilleures pratiques relatives à l'utilisation d'un composant redistribué, veuillez consulter l'Article 835322 de la Base de connaissances Microsoft et l'article MSDN consacré aux applications isolées et assemblys côte à côte (en anglais).

Je suis fournisseur de logiciels indépendant (ISV). Où trouver la mise à jour de Microsoft Visual Basic pour Applications SDK ?  
Cette mise à jour est disponible auprès de Summit Software Company. Summit Software Company est un fournisseur international de produits logiciels de personnalisation d'applications et de services d'assistance à l'intégration pour les fournisseurs de logiciels indépendants (ISV) et les développeurs d'entreprise. Au mois de juin 1996, Summit Software Company a conclu un accord avec Microsoft pour vendre Microsoft Visual Basic pour Applications ainsi que les services et la technologie à valeur ajoutée associés. Summit Software Company continue à vendre et prendre en charge Microsoft VBA.

Comment les programmes autonomes Microsoft Office sont-ils affectés par cette vulnérabilité ? 
Un programme autonome Microsoft Office est affecté avec le même indice de gravité que le composant correspondant dans une suite Microsoft Office. Par exemple, une installation autonome de Microsoft Excel est affectée avec le même indice de gravité qu'une installation de Microsoft Excel fournie avec une suite Microsoft Office.

J'utilise une version antérieure du logiciel décrit dans ce Bulletin de sécurité. Que dois-je faire ? 
Microsoft a testé les logiciels répertoriés dans ce Bulletin afin de déterminer quelles versions sont concernées. Les autres versions ont atteint la fin de leurs cycles de vie. Pour plus d'informations sur le cycle de vie des produits, visitez le site Web Politique de Support Microsoft.

Les clients qui utilisent une version antérieure de ces logiciels doivent prioritairement passer à une version en cours de support, afin de prévenir leur exposition potentielle aux vulnérabilités. Consultez le site Web Politique de Support Microsoft afin de connaître les modalités de support de la version de votre logiciel. Pour plus d'informations à propos des Service Packs pour ces versions logicielles, consultez la page Politique de support relative aux Service Packs.

Les clients nécessitant un support supplémentaire pour des logiciels plus anciens doivent prendre contact avec leur responsable de compte Microsoft, leur responsable technique de compte ou le partenaire Microsoft approprié pour connaître les options de support personnalisé. Les clients ne bénéficiant pas d'un Contrat Alliance, Premier ou Authorized peuvent appeler leur agence commerciale locale Microsoft. Pour les informations de contact, visitez le site Web Microsoft Worldwide Information, sélectionnez le pays dans la liste Informations de contact, puis cliquez sur Go pour afficher une liste de numéros de téléphone. Lorsque vous appelez, demandez à parler au directeur commercial local de Support Premier. Pour plus d'informations, consultez le Forum aux questions sur la politique de support Microsoft.

Les indices de gravité suivants considèrent l'impact potentiel maximal de la vulnérabilité. Pour plus d'informations sur les risques dans les 30 jours suivant la publication d'un Bulletin concernant l'exploitabilité de la vulnérabilité par rapport à son indice de gravité et à son impact, consultez l'Indice d'exploitabilité dans la synthèse des Bulletins de sécurité de juillet. Pour plus d'informations, consultez l'Indice d'exploitabilité Microsoft.

^[1]Ce package de mise à jour s'applique aux versions en cours de support du module d'exécution de Microsoft Visual Basic pour Applications (Vbe6.dll) et est uniquement disponible à partir du Centre de téléchargement Microsoft.

^[2]Les versions en cours de support de VBA SDK sont Microsoft Visual Basic pour Applications SDK 6.3, Microsoft Visual Basic pour Applications SDK 6.4 et Microsoft Visual Basic pour Applications SDK 6.5.

Il existe une vulnérabilité d'exécution de code à distance dans la façon dont Microsoft Visual Basic pour Applications traite le chargement des fichiers DLL. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Pour afficher cette vulnérabilité en tant qu'entrée standard dans la liste « Common Vulnerabilities and Exposures », consultez la référence CVE-2012-1854.

Protégez votre ordinateur

Gérez les mises à jour logicielles et de sécurité que vous avez besoin de déployer vers vos serveurs, ordinateurs de bureau et ordinateurs portables dans votre organisation. Pour plus d'informations, consultez le site TechNet Update Management Center. Le site Web Espace Sécurité TechNet fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.

Les mises à jour de sécurité sont disponibles sur Microsoft Update et Windows Update. Les mises à jour de sécurité sont également disponibles sur le Centre de téléchargement Microsoft. La méthode la plus simple est celle qui consiste à effectuer une recherche sur le mot-clé « security update ».

Pour les clients de Microsoft Office pour Mac, Microsoft AutoUpdate pour Mac peut vous aider à maintenir à jour votre logiciel Microsoft. Pour plus d'informations à propos de l'utilisation de Microsoft AutoUpdate pour Mac, consultez la Vérification automatique des mises à jour logicielles.

Enfin, les mises à jour de sécurité peuvent être téléchargées à partir du Catalogue Microsoft Update. Le Catalogue Microsoft Update permet de rechercher les contenus mis à disposition sur Windows Update et Microsoft Update, comme par exemple les mises à jour de sécurité, les pilotes de périphériques et les Service Packs. En utilisant le numéro de Bulletin comme critère de recherche (par exemple "MS07-036"), vous pouvez ajouter toutes les mises à jour concernées à votre panier (ainsi que plusieurs langues pour une même mise à jour) et les télécharger dans le dossier de votre choix. Pour plus d'informations sur le Catalogue Microsoft Update, consultez le Forum aux questions du Catalogue Microsoft Update.

Conseils sur la détection et le déploiement

Microsoft a mis à votre disposition des conseils sur la détection et le déploiement des mises à jour de sécurité. Ces conseils contiennent des recommandations et des informations susceptibles d'aider les professionnels de l'informatique à comprendre comment utiliser divers outils pour la détection et le déploiement de mises à jour de sécurité. Pour plus d'informations, consultez l'Article 961747 de la Base de connaissances Microsoft.

Microsoft Baseline Security Analyzer

Microsoft Baseline Security Analyzer (MBSA) permet aux administrateurs de rechercher les mises à jour manquantes et les erreurs de configuration de sécurité sur les systèmes locaux et distants. Pour plus d'informations sur l'outil MBSA, consultez le site Web Microsoft Baseline Security Analyzer.

Le tableau suivant fournit le résumé de détection MBSA pour cette mise à jour de sécurité.

Remarque : Pour les clients utilisant des logiciels d'ancienne génération non pris en charge par la dernière version de MBSA, Microsoft Update et Windows Server Update Services, consultez la page Microsoft Baseline Security Analyzer et lisez la section « Prise en charge des produits d'ancienne génération » pour savoir comment créer une détection complète des mises à jour de sécurité avec des outils d'ancienne génération.

Windows Server Update Services

Windows Server Update Services (WSUS) permet à des administrateurs informatiques de déployer les dernières mises à jour de produit Microsoft sur les ordinateurs exécutant le système d'exploitation Windows. Pour plus d'informations sur le déploiement de ces mises à jour de sécurité avec Windows Server Update Services, consultez l'article TechNet Windows Server Update Services (en anglais).

Systems Management Server

Le tableau suivant présente les capacités de détection et de déploiement par SMS pour cette mise à jour de sécurité.

Remarque : Microsoft n'assure plus le support pour SMS 2.0 depuis le 12 avril 2011. Pour SMS 2003, Microsoft n'assure plus non plus le support pour l'Outil d'inventaire des mises à jour de sécurité (SUIT) depuis le 12 avril 2011. Les clients sont encouragés à procéder à une mise à niveau vers System Center Configuration Manager. Pour les clients qui restent sur SMS 2003 Service Pack 3, l'Outil d'Inventaire pour Microsoft Update (ITMU) est également une option.

SMS 2003 peut utiliser l'Outil d'inventaire SMS 2003 pour les mises à jour Microsoft (SMS 2003 Inventory Tool for Microsoft Updates - ITMU) afin de détecter les mises à jour de sécurité proposées par Microsoft Update et prises en charge par Windows Server Update Services. Pour plus d'informations concernant l'Outil d'inventaire SMS 2003 pour les mises à jour Microsoft (SMS 2003 Inventory Tool for Microsoft Updates - ITMU), veuillez consulter le site Web suivant. Pour plus d'informations à propos des outils d'analyse SMS, voir l'article consacré aux Outils d'analyse de SMS 2003 Software Update (en anglais). Consultez également les Téléchargements pour Systems Management Server 2003.

System Center Configuration Manager utilise WSUS 3.0 pour la détection des mises à jour. Pour obtenir plus d'informations sur la gestion des mises à jour logicielles de System Center Configuration Manager, rendez-vous sur le site System Center.

Pour plus d'informations sur SMS, consultez le site Web SMS.

Pour plus d'informations, consultez l'Article 910723 de la Base de connaissances Microsoft : Synthèse des articles mensuels prodiguant des conseils sur la détection et le déploiement.

Remarque : Si vous avez utilisé un point d'installation administrative (AIP) pour déployer Office XP ou Office 2003, il se peut que vous ne puissiez pas déployer cette mise à jour à l'aide de SMS si vous avez mis à jour ce point d'installation administrative depuis la référence d'origine. Pour plus d'informations, reportez-vous au titre « Point d'installation administrative d'Office » de cette section.

Point d'installation administrative d'Office

Si vous avez installé votre application depuis un emplacement sur un serveur, l'administrateur du serveur doit mettre à jour cet emplacement avec la mise à jour administrative et déployer cette mise à jour sur votre système.

• Pour les versions de Microsoft Office XP en cours de support, consultez « Création d'un point d'installation administrative ». Pour plus d'informations sur la manière de modifier la source pour un client depuis une installation administrative mise à jour vers une source de référence Office XP d'origine, consultez l'Article 922665 de la Base de connaissances Microsoft.
  
  Remarque : Si vous prévoyez de gérer des mises à jour logicielles de façon centralisée à partir d'une image administrative mise à jour, des informations complémentaires sont disponibles dans l'article « Mise à jour des clients Office XP à partir d'une image administrative corrigée ».
• Pour les versions de Microsoft Office 2003 en cours de support, voir « Création d'un point d'installation administrative ». Pour plus d'informations sur la manière de modifier la source pour un client depuis une installation administrative mise à jour vers une source de référence Office 2003 d'origine ou vers le Service Pack 3 (SP3), consultez l'Article 902349 de la Base de connaissances Microsoft.
  
  Remarque : Si vous prévoyez de gérer des mises à jour logicielles de façon centralisée à partir d'une image administrative mise à jour, des informations complémentaires sont disponibles dans l'article Distribution de mises à jour du produit Office 2003.
• Pour créer un point d'installation réseau pour les versions en cours de support de Microsoft Office, consultez « Création d'un point d'installation réseau pour Microsoft Office ».
  
  Remarque : Pour gérer les mises à jour de sécurité de façon centralisée, utilisez Windows Server Update Services. Pour plus d'informations sur la manière de déployer des mises à jour de sécurité pour Microsoft Office, consultez le site Web Windows Server Update Services.

Outils d'évaluation de la compatibilité des mises à jour et des applications

Les mises à jour écrivent souvent sur les mêmes fichiers et paramètres de Registre nécessaires à l'exécution de vos applications. Ceci peut déclencher des incompatibilités et augmenter le temps nécessaire au déploiement des mises à jour de sécurité. Vous pouvez rationaliser le test et la validation des mises à jour Windows par rapport aux applications installées avec les composants d'Évaluation de compatibilité des mises à jour fournis avec les Outils d'analyse de compatibilité des applications.

Les outils d'analyse de compatibilité des applications comprennent les outils et la documentation nécessaires pour évaluer et limiter les problèmes de compatibilité des applications avant le déploiement de Windows Vista, d'une mise à jour Windows, d'une mise à jour de sécurité Microsoft ou d'une nouvelle version de Windows Internet Explorer dans votre environnement.

Logiciels concernés

Pour obtenir des informations sur la mise à jour de sécurité spécifique aux Logiciels concernés, cliquez sur le lien approprié :