Bulletin de sécurité Microsoft MS11-061 - Important

J'ai personnalisé mes pages ASP d'inscription par le Web. Suis-je concerné par les problèmes connus identifiés dans l'Article 2546250 de la Base de connaissances Microsoft ?  
Oui, Microsoft recommande que les clients ayant modifié leurs pages ASP d'enrôlement par le Web consultent l'Article 2546250 de la Base de connaissances Microsoft pour prendre connaissance d'informations importantes à propos des problèmes connus susceptibles de concerner leurs systèmes.

Où se trouvent les informations sur les fichiers ?  
Reportez-vous aux tableaux de référence de la section « Déploiement de la mise à jour de sécurité » pour obtenir l'emplacement des informations sur les fichiers.

J'utilise une version antérieure du logiciel décrit dans ce Bulletin de sécurité. Que dois-je faire ?  
Microsoft a testé les logiciels répertoriés dans ce Bulletin afin de déterminer quelles versions sont concernées. Les autres versions ont atteint la fin de leurs cycles de vie. Pour plus d'informations sur le cycle de vie des produits, visitez le site Web Politique de Support Microsoft.

Les clients qui utilisent une version ancienne de ces logiciels doivent prioritairement passer à une version prise en charge, afin de prévenir leur exposition potentielle aux vulnérabilités. Consultez le site Web Politique de Support Microsoft afin de connaître les modalités de support de la version de votre logiciel. Pour plus d'informations sur les Service Packs de ces versions des logiciels, consultez Service Packs pris en charge par la Politique de Support.

Les clients nécessitant un support supplémentaire pour des logiciels plus anciens doivent prendre contact avec leur responsable de compte Microsoft, leur responsable technique de compte ou le partenaire Microsoft approprié pour connaître les options de support personnalisé. Les clients ne bénéficiant pas d'un Contrat Alliance, Premier ou Authorized peuvent appeler leur agence commerciale locale Microsoft. Pour les informations de contact, visitez le site Web Microsoft Worldwide Information, sélectionnez le pays dans la liste Informations de contact, puis cliquez sur Go pour afficher une liste de numéros de téléphone. Pour plus d'informations, consultez le Forum aux questions sur la politique de support Microsoft.

Les indices de gravité suivants considèrent l'impact potentiel maximal de la vulnérabilité. Pour plus d'informations sur les risques dans les 30 jours suivant la publication d'un Bulletin concernant l'exploitabilité de la vulnérabilité par rapport à son indice de gravité et à son impact, consultez l'Indice d'exploitabilité dans la synthèse des Bulletins de sécurité d'août. Pour plus d'informations, consultez l'Indice d'exploitabilité Microsoft.

**Installation Server Core non concernée. Les vulnérabilités corrigées par cette mise à jour ne concernent pas les éditions en cours de support de Windows Server 2008 ou Windows Server 2008 R2 lorsqu'elles ont été installées à l'aide de l'option d'installation Server Core. Pour plus d'informations sur cette option d'installation, consultez les articles TechNet consacrés à la gestion d'une installation Server Core (en anglais) et à l'entretien d'une installation Server Core (en anglais). Sachez que l'option d'installation Server Core ne s'applique pas à certaines éditions de Windows Server 2008 et Windows Server 2008 R2. Reportez-vous à la page Option d'installation Server Core.

Il existe une vulnérabilité de script inter-sites (XSS ou cross-site scripting) à répétition dans l'accès Web aux services Bureau à distance qui pourrait permettre à un attaquant d'injecter un script côté client dans l'instance d'Internet Explorer de l'utilisateur. Ce script pourrait usurper du contenu, divulguer des informations ou entreprendre toute action autorisée pour cet utilisateur sur le site d'accès Web aux services Bureau à distance.

Pour afficher cette vulnérabilité en tant qu'entrée standard dans la liste « Common Vulnerabilities and Exposures », consultez la référence CVE-2011-1263.

Protégez votre ordinateur

Gérez les mises à jour logicielles et de sécurité que vous avez besoin de déployer vers vos serveurs, ordinateurs de bureau et ordinateurs portables dans votre organisation. Pour plus d'informations, consultez le site TechNet Update Management Center. Le site Web Espace Sécurité TechNet fournit des informations complémentaires sur la sécurité dans les produits Microsoft.

Les mises à jour de sécurité sont disponibles sur Microsoft Update et Windows Update. Les mises à jour de sécurité sont également disponibles sur le Centre de téléchargement Microsoft. La méthode la plus simple est celle qui consiste à effectuer une recherche sur le mot-clé « security update ».

Enfin, les mises à jour de sécurité peuvent être téléchargées à partir du Catalogue Microsoft Update. Le Catalogue Microsoft Update permet de rechercher les contenus mis à disposition sur Windows Update et Microsoft Update, comme par exemple les mises à jour de sécurité, les pilotes de périphériques et les Service Packs. En utilisant le numéro de Bulletin comme critère de recherche (par exemple "MS07-036"), vous pouvez ajouter toutes les mises à jour concernées à votre panier (ainsi que plusieurs langues pour une même mise à jour) et les télécharger dans le dossier de votre choix. Pour plus d'informations sur le Catalogue Microsoft Update, consultez le Forum aux questions du Catalogue Microsoft Update.

Conseils sur la détection et le déploiement

Microsoft a mis à votre disposition des conseils sur la détection et le déploiement des mises à jour de sécurité. Ces conseils contiennent des recommandations et des informations susceptibles d'aider les professionnels de l'informatique à comprendre comment utiliser divers outils pour la détection et le déploiement de mises à jour de sécurité. Pour plus d'informations, consultez l'Article 961747 de la Base de connaissances Microsoft.

Microsoft Baseline Security Analyzer

Microsoft Baseline Security Analyzer (MBSA) permet aux administrateurs de rechercher les mises à jour manquantes et les erreurs de configuration de sécurité sur les systèmes locaux et distants. Pour plus d'informations sur l'outil MBSA, consultez le site Web Microsoft Baseline Security Analyzer.

Le tableau suivant fournit le résumé de détection MBSA pour cette mise à jour de sécurité.

Remarque : Pour les clients utilisant des logiciels d'ancienne génération non pris en charge par la dernière version de MBSA, Microsoft Update et Windows Server Update Services, consultez la page Microsoft Baseline Security Analyzer et lisez la section « Prise en charge des produits d'ancienne génération » pour savoir comment créer une détection complète des mises à jour de sécurité avec des outils d'ancienne génération.

Windows Server Update Services

Windows Server Update Services (WSUS) permet à des administrateurs informatiques de déployer les dernières mises à jour de produit Microsoft sur les ordinateurs exécutant le système d'exploitation Windows. Pour plus d'informations sur le déploiement de ces mises à jour de sécurité avec Windows Server Update Services, consultez l'article TechNet consacré à Windows Server Update Services (en anglais).

Systems Management Server

Le tableau suivant présente les capacités de détection et de déploiement par SMS pour cette mise à jour de sécurité.

Remarque : Microsoft n'assure plus le support pour SMS 2.0 depuis le 12 avril 2011. Pour SMS 2003, Microsoft n'assure plus non plus le support pour l'Outil d'inventaire des mises à jour de sécurité (SUIT) depuis le 12 avril 2011. Les clients sont encouragés à procéder à une mise à niveau vers System Center Configuration Manager 2007. Pour les clients qui restent sur SMS 2003 Service Pack 3, l'Outil d'Inventaire pour Microsoft Update (ITMU) est également une option.

SMS 2003 peut utiliser l'Outil d'inventaire SMS 2003 pour les mises à jour Microsoft (SMS 2003 Inventory Tool for Microsoft Updates - ITMU) afin de détecter les mises à jour de sécurité proposées par Microsoft Update et prises en charge par Windows Server Update Services. Pour plus d'informations concernant l'Outil d'inventaire SMS 2003 pour les mises à jour Microsoft (SMS 2003 Inventory Tool for Microsoft Updates - ITMU), veuillez consulter le site Web suivant. Pour plus d'informations à propos des outils d'analyse SMS, voir l'article consacré aux Outils d'analyse de SMS 2003 Software Update (en anglais). Consultez également les Téléchargements pour Systems Management Server 2003.

System Center Configuration Manager 2007 utilise WSUS 3.0 pour la détection des mises à jour. Pour obtenir plus d'informations sur la gestion des mises à jour logicielles de Configuration Manager 2007, consultez la page System Center Configuration Manager 2007.

Pour plus d'informations sur SMS, consultez le site Web SMS.

Pour plus d'informations, consultez l'Article 910723 de la Base de connaissances Microsoft : Synthèse des articles mensuels prodiguant des conseils sur la détection et le déploiement.

Outils d'évaluation de la compatibilité des mises à jour et des applications

Les mises à jour écrivent souvent sur les mêmes fichiers et paramètres de Registre nécessaires à l'exécution de vos applications. Ceci peut déclencher des incompatibilités et augmenter le temps nécessaire au déploiement des mises à jour de sécurité. Vous pouvez rationaliser le test et la validation des mises à jour Windows par rapport aux applications installées avec les composants d'Évaluation de compatibilité des mises à jour fournis avec les Outils d'analyse de compatibilité des applications.

Les outils d'analyse de compatibilité des applications comprennent les outils et la documentation nécessaires pour évaluer et limiter les problèmes de compatibilité des applications avant le déploiement de Windows Vista, d'une mise à jour Windows, d'une mise à jour de sécurité Microsoft ou d'une nouvelle version d'Internet Explorer dans votre environnement.

Logiciels concernés

Pour obtenir des informations sur la mise à jour de sécurité spécifique aux Logiciels concernés, cliquez sur le lien approprié :