Bulletin de sécurité Microsoft MS12-034 - Critique

Une atténuation fait référence à un paramètre, une configuration générale ou à des préférences existant dans un état par défaut qui pourraient diminuer l'impact de l'exploitation d'une vulnérabilité. Les facteurs atténuants suivants peuvent être utiles, selon votre situation :

• Dans le cas d'une attaque de navigation Web, l'attaquant devrait héberger un site Web contenant une page Web spécialement conçue pour exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent du contenu ou des annonces provenant d'utilisateurs pourraient contenir du contenu malveillant susceptible d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site.
• Par défaut, toutes les versions de Microsoft Outlook, Microsoft Outlook Express et Windows Mail en cours de support ouvrent les messages au format HTML dans la zone Sites sensibles ce qui, par défaut, désactive le téléchargement des polices. En cliquant sur un lien figurant dans un message électronique, l'utilisateur s'exposerait toujours à une attaque Web exploitant cette vulnérabilité. Cette vulnérabilité pourrait également être exploitée si un utilisateur ouvrait une pièce jointe à un message électronique.

Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité.

Quelle est la portée de cette vulnérabilité ? 
Il s'agit d'une vulnérabilité d'exécution de code à distance. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Quelle est la cause de cette vulnérabilité ? 
Cette vulnérabilité est liée au traitement incorrect de fichiers TTF spécialement conçus.

Qu'est-ce que TrueType ? 
TrueType est une technologie de police numérique utilisée dans les systèmes d'exploitation Microsoft.

Que pourrait faire un attaquant en exploitant cette vulnérabilité ? 
Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur actuel. Si un utilisateur est connecté avec des privilèges d'administrateur, un attaquant pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Comment un attaquant pourrait-il exploiter cette vulnérabilité ? 
Il existe plusieurs façons d'exploiter cette vulnérabilité.

Dans le cas d'une attaque Web, un attaquant pourrait héberger un site Web spécialement conçu pour exploiter cette vulnérabilité, puis inciter un utilisateur à consulter ce site Web. Un attaquant n'aurait aucun moyen de forcer l'utilisateur à afficher le contenu qu'il contrôle. Il devrait l'inciter à prendre des mesures, généralement en cliquant sur un lien dans un message électronique ou dans un message instantané qui mène à son site ou en ouvrant une pièce jointe à un message électronique.

Dans le cas d'une attaque par partage de fichiers, un attaquant pourrait fournir un fichier de document spécialement conçu pour exploiter cette vulnérabilité, puis inciter un utilisateur à ouvrir ce fichier.

Quels sont les systèmes les plus exposés à cette vulnérabilité ? 
Les postes de travail et les serveurs sont potentiellement exposés.

Que fait cette mise à jour ? 
Cette mise à jour corrige la vulnérabilité en modifiant la façon dont les fichiers TTF spécialement conçus sont traités.

Lors de la parution de ce Bulletin de sécurité, cette vulnérabilité avait-elle été révélée publiquement ? 
Oui. Cette vulnérabilité a été révélée publiquement. Elle a reçu le numéro « Common Vulnerability and Exposure » CVE-2011-3402.

Lors de la parution de ce Bulletin de sécurité, Microsoft avait-il été informé d'une éventuelle exploitation de cette vulnérabilité ? 
Bien que cette vulnérabilité ait été précédemment exploitée lors d'attaques ciblées limitées, les vecteurs d'attaque exploités ont été corrigés dans le Bulletin MS11-087 « Une vulnérabilité dans les pilotes en mode noyau de Windows pourrait permettre l'exécution de code à distance (2639417) ». Lors de la première publication de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation des vecteurs d'attaque corrigés dans le Bulletin dans le but d'attaquer des clients.

Une atténuation fait référence à un paramètre, une configuration générale ou à des préférences existant dans un état par défaut qui pourraient diminuer l'impact de l'exploitation d'une vulnérabilité. Les facteurs atténuants suivants peuvent être utiles, selon votre situation :

• Dans le cas d'une attaque de navigation Web, l'attaquant devrait héberger un site Web contenant une page Web spécialement conçue pour exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent du contenu ou des annonces provenant d'utilisateurs pourraient contenir du contenu malveillant susceptible d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site.
• Par défaut, toutes les versions de Microsoft Outlook, Microsoft Outlook Express et Windows Mail en cours de support ouvrent les messages au format HTML dans la zone Sites sensibles ce qui, par défaut, désactive le téléchargement des polices. En cliquant sur un lien figurant dans un message électronique, l'utilisateur s'exposerait toujours à une attaque Web exploitant cette vulnérabilité. Cette vulnérabilité pourrait également être exploitée si un utilisateur ouvrait une pièce jointe à un message électronique.

Une solution de contournement fait référence à une modification de paramètre ou de configuration qui ne corrige pas la vulnérabilité sous-jacente mais qui pourrait contribuer à bloquer certains vecteurs d'attaque connus jusqu'à ce que la mise à jour soit appliquée. Microsoft a testé les solutions de contournement suivantes et indique le cas échéant si une solution réduit certaines fonctionnalités :

• Interdire l'accès à T2EMBED.DLL

  Remarque : Avant d'appliquer cette solution de contournement, les utilisateurs doivent appliquer les dernières mises à jour de sécurité Microsoft. Pour ce faire, rendez-vous sur Microsoft Update, effectuez la vérification des mises à jour requises pour votre ordinateur et installez toutes les mises à jour prioritaires qui vous sont proposées.

  Remarque : Pour cette solution de contournement, les commandes pour Windows XP et Windows Server 2003 peuvent ne fonctionner que dans les versions linguistiques en anglais de ces systèmes d'exploitation.

  Remarque : Cette solution de contournement atténue uniquement les scénarios d'attaque Web et de partage de fichiers liés aux pilotes en mode noyau de Windows. Cette solution de contournement n'atténue pas le scénario d'attaque lié aux pilotes en mode noyau de Windows ni les autres scénarios d'attaque qui utilisent le code présent dans d'autres composants Windows concernés, Microsoft Office et Microsoft Silverlight.

  Remarque : Consultez l'Article 2639417 de la Base de connaissances Microsoft pour utiliser la solution automatisée Fix it de Microsoft pour activer ou désactiver cette solution de contournement afin d'interdire l'accès à t2embed.dll.

  Sur Windows XP et Windows Server 2003 :

  • Pour les systèmes 32 bits, entrez la commande suivante à partir d'une invite de commande administrative (remarque : sur un système Windows en français, vous devez remplacer everyone par "tout le monde", guillemets inclus, dans la commande suivante) :

    Echo y| cacls "%windir%\system32\t2embed.dll" /E /P everyone:N

  • Pour les systèmes 64 bits, saisissez les commandes suivantes à partir d'une invite de commande administrative (remarque : sur un système Windows en français, vous devez remplacer everyone par "tout le monde", guillemets inclus, dans la commande suivante) :

    Echo y| cacls "%windir%\system32\t2embed.dll" /E /P everyone:N

    Echo y| cacls "%windir%\syswow64\t2embed.dll" /E /P everyone:N

  Sur Windows Vista, Windows 7, Windows Server 2008 et Windows Server 2008 R2 :

  • Pour les systèmes 32 bits, saisissez les commandes suivantes à partir d'une invite de commande administrative :

    Takeown.exe /f "%windir%\system32\t2embed.dll"

    Icacls.exe "%windir%\system32\t2embed.dll" /deny *S-1-1-0:(F)

  • Pour les systèmes 64 bits, saisissez les commandes suivantes à partir d'une invite de commande administrative :

    Takeown.exe /f "%windir%\system32\t2embed.dll"

    Icacls.exe "%windir%\system32\t2embed.dll" /deny *S-1-1-0:(F)

    Takeown.exe /f "%windir%\syswow64\t2embed.dll"

    Icacls.exe "%windir%\syswow64\t2embed.dll" /deny *S-1-1-0:(F)

  Impact de cette solution de contournement. 

  • Les applications qui s'appuient sur la technologie des polices intégrées ne s'afficheront pas correctement.
  • Après avoir appliqué cette solution de contournement, les utilisateurs de Windows XP et Windows Server 2003 peuvent être invités à installer à nouveau les mises à jour de sécurité KB982132 et KB972270. L'installation de ces mises à jour, proposées à nouveau, échouera. Il s'agit d'un problème de logique de détection et les utilisateurs ayant déjà appliqué les mises à jour de sécurité KB982132 et KB972270 peuvent ignorer cette nouvelle proposition.
  • Les applications disposant de fonctionnalités qui reposent sur T2EMBED.DLL, telles que la génération de fichiers PDF, risquent de ne pas fonctionner normalement. Par exemple, les logiciels Microsoft Office ne parviendront pas à générer de fichiers PDF.
  • Les logiciels Microsoft Office 2003 avec Pack de compatibilité Microsoft Office peuvent ne pas parvenir à ouvrir des fichiers PowerPoint 2007 (.pptx), générant le message « Ce fichier a été créé par une version plus récente de Microsoft PowerPoint. Voulez-vous télécharger un module de compatibilité afin de pouvoir utiliser ce fichier ? », même si le Pack de compatibilité Microsoft Office est déjà installé.

  Comment annuler cette solution de contournement.

  Sur Windows XP et Windows Server 2003 :

  • Pour les systèmes 32 bits, entrez la commande suivante à partir d'une invite de commande administrative (remarque : sur un système Windows en français, vous devez remplacer everyone par "tout le monde", guillemets inclus, dans la commande suivante) :

    cacls "%windir%\system32\t2embed.dll" /E /R everyone

  • Pour les systèmes 64 bits, saisissez les commandes suivantes à partir d'une invite de commande administrative (remarque : sur un système Windows en français, vous devez remplacer everyone par "tout le monde", guillemets inclus, dans la commande suivante) :

    cacls "%windir%\system32\t2embed.dll" /E /R everyone

    cacls "%windir%\syswow64\t2embed.dll" /E /R everyone

  Sur Windows Vista, Windows 7, Windows Server 2008 et Windows Server 2008 R2 :

  • Pour les systèmes 32 bits, entrez la commande suivante à partir d'une invite de commande administrative :

    Icacls.exe "%windir%\system32\t2embed.DLL" /remove:d *S-1-1-0

  • Pour les systèmes 64 bits, saisissez les commandes suivantes à partir d'une invite de commande administrative :

    Icacls.exe "%windir%\system32\t2embed.DLL" /remove:d *S-1-1-0

    Icacls.exe "%windir%\syswow64\t2embed.DLL" /remove:d *S-1-1-0

Quelle est la portée de cette vulnérabilité ? 
Il s'agit d'une vulnérabilité d'exécution de code à distance.

Quelle est la cause de cette vulnérabilité ? 
Cette vulnérabilité est liée au traitement incorrect de fichiers TTF spécialement conçus.

Que pourrait faire un attaquant en exploitant cette vulnérabilité ? 
Un attaquant qui parviendrait à exploiter cette vulnérabilité via les pilotes en mode noyau de Windows pourrait exécuter du code arbitraire en mode noyau et prendre le contrôle intégral d'un système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de droits administratifs complets.

Un attaquant qui parviendrait à exploiter cette vulnérabilité via Microsoft Silverlight, Microsoft Office ou les autres composants Windows concernés pourrait obtenir les mêmes droits que l'utilisateur actuel. Si un utilisateur est connecté avec des privilèges d'administrateur, un attaquant pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Comment un attaquant pourrait-il exploiter cette vulnérabilité ? 
Il existe plusieurs façons d'exploiter cette vulnérabilité.

Dans le cas d'une attaque Web, un attaquant pourrait héberger un site Web spécialement conçu pour exploiter cette vulnérabilité, puis inciter un utilisateur à consulter ce site Web. Un attaquant n'aurait aucun moyen de forcer l'utilisateur à afficher le contenu qu'il contrôle. Il devrait l'inciter à prendre des mesures, généralement en cliquant sur un lien dans un message électronique ou dans un message instantané qui mène à son site ou en ouvrant une pièce jointe à un message électronique.

Dans le cas d'une attaque par partage de fichiers, un attaquant pourrait fournir un fichier de document spécialement conçu pour exploiter cette vulnérabilité, puis inciter un utilisateur à ouvrir ce fichier.

Dans le cas d'une attaque locale, un attaquant pourrait également exploiter cette vulnérabilité en exécutant une application spécialement conçue pour prendre le contrôle intégral du système affecté. Toutefois, l'attaquant doit disposer d'informations d'identification valides et être en mesure d'ouvrir une session localement afin d'exploiter cette vulnérabilité dans ce scénario.

Quels sont les systèmes les plus exposés à cette vulnérabilité ? 
Les postes de travail et les serveurs sont potentiellement exposés à cette vulnérabilité.

Que fait cette mise à jour ? 
Cette mise à jour corrige la vulnérabilité en modifiant la façon dont les fichiers TTF spécialement conçus sont traités.

Lors de la parution de ce Bulletin de sécurité, cette vulnérabilité avait-elle été révélée publiquement ? 
Non. Microsoft a été informé de cette vulnérabilité par une divulgation de vulnérabilité coordonnée.

Lors de la parution de ce Bulletin de sécurité, Microsoft avait-il été informé d'une éventuelle exploitation de cette vulnérabilité ? 
Non. Lors de la première publication de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de cette vulnérabilité dans le but d'attaquer des clients.

Une atténuation fait référence à un paramètre, une configuration générale ou à des préférences existant dans un état par défaut qui pourraient diminuer l'impact de l'exploitation d'une vulnérabilité. Les facteurs atténuants suivants peuvent être utiles, selon votre situation :

• Dans le cas d'une attaque de navigation Web, l'attaquant devrait héberger un site Web contenant une page Web spécialement conçue pour exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent du contenu ou des annonces provenant d'utilisateurs pourraient contenir du contenu malveillant susceptible d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site.
• Par défaut, Internet Explorer sur Windows Server 2003, Windows Server 2008 et Windows Server 2008 R2 s'exécutent selon un mode restreint appelé Configuration de sécurité renforcée. Ce mode atténue la vulnérabilité uniquement sur Windows Server 2008 et Windows Server 2008 R2, et ce uniquement dans le cas d'un scénario d'attaque de navigation Web. Pour plus d'informations sur la Configuration de sécurité renforcée d'Internet Explorer, reportez-vous à la section du Forum aux questions concernant cette vulnérabilité.
• Sur les systèmes où la mise à jour du Bulletin MS11-044 a été appliquée, les utilisateurs seront invités à confirmer l'exécution des applications XBAP dans la zone Internet d'Internet Explorer. L'utilisateur doit cliquer sur cette invite pour exécuter l'application XBAP sur son système.

Une solution de contournement fait référence à une modification de paramètre ou de configuration qui ne corrige pas la vulnérabilité sous-jacente mais qui pourrait contribuer à bloquer certains vecteurs d'attaque connus jusqu'à ce que la mise à jour soit appliquée. Microsoft a testé les solutions de contournement suivantes et indique le cas échéant si une solution réduit certaines fonctionnalités :

• Désactiver les applications du navigateur XAML dans Internet Explorer

  Pour vous protéger contre cette vulnérabilité, modifiez vos paramètres de manière à ce qu'ils vous avertissent avant d'exécuter les applications du navigateur XAML (XBAP) ou qu'ils désactivent les XBAP dans les zones de sécurité Internet et Intranet local comme suit :

  1. Dans Internet Explorer, cliquez sur le menu Outils, puis sélectionnez Options Internet.
  2. Cliquez sur l'onglet Sécurité, sur Internet, puis sur Personnaliser le niveau. Sous Paramètres, pour XAML isolé, cliquez sur Demander ou Désactivé, puis cliquez sur OK.
  3. Cliquez sur l'onglet Sécurité, sur Internet, puis sur Personnaliser le niveau. Sous Paramètres, pour Applications du navigateur XAML, cliquez sur Demander ou Désactivé, puis cliquez sur OK.
  4. Cliquez sur l'onglet Sécurité, sur Internet, puis sur Personnaliser le niveau. Sous Paramètres, pour Documents XPS, cliquez sur Demander ou Désactivé, puis cliquez sur OK.
  5. Dans l'onglet Sécurité, cliquez sur Personnaliser le niveau. Sous composants dépendants du .NET Framework, définissez Exécuter des composants non signés avec Authenticode sur Demander ou Désactiver, puis cliquez sur OK. Répétez ces étapes pour Exécuter des composants signés avec Authenticode, puis cliquez sur OK.
  6. Cliquez sur Intranet local, puis sur Personnaliser le niveau. Répétez les étapes 3 et 4. Si vous êtes invité à confirmer la modification de ces paramètres, cliquez sur Oui. Cliquez sur OK pour retourner dans Internet Explorer.

  Impact de cette solution de contournement. Le code Microsoft .NET ne s'exécutera pas dans Internet Explorer ou ne s'exécutera pas sans invite. La désactivation des applications et des composants Microsoft .NET dans les zones de sécurité Intranet local et Internet risque de perturber le fonctionnement de certains sites Web. Si vous rencontrez des difficultés lors de la visite d'un site Web après avoir modifié ce paramètre et que vous êtes certain de la fiabilité de ce site, vous pouvez ajouter ce dernier à votre liste de sites de confiance. Il pourra ainsi s'afficher correctement.

  Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer.

  Après avoir configuré Internet Explorer de telle sorte que des messages de confirmation s'affichent avant l'exécution des contrôles ActiveX et d'Active Scripting dans les zones Internet et Intranet local, vous pouvez ajouter des sites de confiance dans la zone Sites de confiance d'Internet Explorer. Cette opération vous permettra de continuer à utiliser vos sites de confiance exactement comme vous le faites aujourd'hui, tout en vous protégeant contre cette attaque sur les autres sites. Nous vous recommandons d'ajouter uniquement des sites de confiance à la zone Sites de confiance.

  Pour ce faire, procédez ainsi :

  1. Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l'onglet Sécurité.
  2. Dans la zone Sélectionnez une zone de contenu Web pour spécifier ses paramètres de sécurité, cliquez sur Sites de confiance, puis sur Sites.
  3. Si vous souhaitez ajouter des sites qui ne requièrent pas un canal chiffré, désactivez la case à cocher Nécessite un serveur sécurisé (https:) pour tous les sites dans cette zone.
  4. Dans la zone Ajouter ce site Web à la zone, saisissez l'URL d'un site de confiance, puis cliquez sur Ajouter.
  5. Répétez ces étapes pour chaque site que vous souhaitez ajouter à cette zone.
  6. Cliquez sur OK à deux reprises pour accepter les modifications et retourner dans Internet Explorer.

  Remarque : Ajoutez les sites dont vous savez qu'ils n'effectueront pas d'action malveillante sur votre système. Vous pouvez notamment ajouter les sites « *.windowsupdate.microsoft.com » et « *.update.microsoft.com ». Il s'agit des sites qui hébergent la mise à jour et ils requièrent un contrôle ActiveX pour leur installation.

  Comment annuler cette solution de contournement. Exécutez les étapes suivantes :

  1. Dans Internet Explorer, cliquez sur le menu Outils, puis sélectionnez Options Internet.
  2. Cliquez sur l'onglet Sécurité, sur Rétablir toutes les zones au niveau par défaut, puis sur OK.

Quelle est la portée de cette vulnérabilité ? 
Il s'agit d'une vulnérabilité d'exécution de code à distance. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges.

Quelle est la cause de cette vulnérabilité ? 
Cette vulnérabilité survient lorsque Microsoft .NET Framework attribue de façon incorrecte un tampon en mémoire.

Que pourrait faire un attaquant en exploitant cette vulnérabilité ? 
Dans un scénario de navigation Web, un attaquant qui serait parvenu à exploiter cette vulnérabilité pourrait obtenir les mêmes autorisations que l'utilisateur actuellement connecté. Si un utilisateur est connecté avec des privilèges d'administrateur, un attaquant pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Comment un attaquant pourrait-il exploiter cette vulnérabilité ? 
Il existe deux scénarios d'attaque possibles permettant d'exploiter cette vulnérabilité : un scénario de navigation Web et un contournement des restrictions de sécurité d'accès du code (CAS) par l'application Windows .NET. Ces scénarios sont décrits comme suit :

• Scénario d'attaque de navigation Web
  Un attaquant pourrait héberger un site Web spécialement conçu contenant une XBAP (application du navigateur XAML) spécialement conçue et pouvant exploiter cette vulnérabilité, puis convaincre un utilisateur d'afficher le site Web. L'attaquant pourrait également exploiter des sites Web compromis et des sites Web qui acceptent ou hébergent du contenu ou des annonces fournis par les utilisateurs. Ces sites Web pourraient contenir du code spécialement conçu pour exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site. Il pourrait également afficher du contenu Web spécialement conçu en imitant des bannières publicitaires ou d'autres moyens afin d'envoyer du contenu Web aux systèmes affectés.
• Scénario d'attaque d'applications Windows .NET
  Cette vulnérabilité pourrait également être utilisée par les applications Windows .NET pour contourner les restrictions de sécurité d'accès du code (CAS).

Qu'est-ce qu'une application du navigateur XAML (XBAP) ? 
Une application du navigateur XAML (XBAP) combine des fonctionnalités d'une application Web et d'une application cliente riche. Comme les applications Web, les XBAP peuvent être publiées sur un serveur Web et lancées à partir d'Internet Explorer. Comme les applications clientes riches, les XBAP peuvent tirer parti des capacités de Windows Presentation Foundation (WPF). Pour plus d'informations à propos des XBAP, consultez l'article MSDN « Vue d'ensemble des applications du navigateur XAML Windows Presentation Foundation ».

Que sont les restrictions de sécurité d'accès du code (CAS) .NET Framework ? 
.NET Framework fournit un mécanisme de sécurité appelé sécurité d'accès du code pour protéger vos ordinateurs du code mobile malveillant, permettre à un code d'origine inconnue d'être exécuté avec une certaine protection et empêcher le code de confiance de compromettre accidentellement ou intentionnellement la sécurité. La sécurité d'accès du code (CAS) permet différents degrés de confiance du code, en fonction de son origine et des autres aspects de l'identité du code. La sécurité d'accès du code applique également les divers niveaux de confiance au code, ce qui réduit la quantité de code nécessitant une confiance totale pour être exécuté. L'utilisation de la sécurité d'accès du code peut diminuer le risque d'utilisation détournée de votre code par un code malveillant ou rempli d'erreur. Pour plus d'informations sur la sécurité d'accès du code, consultez l'article MSDN « Sécurité d'accès du code ».

Quels sont les systèmes les plus exposés à cette vulnérabilité ? 
Il existe deux types de systèmes exposés à cette vulnérabilité, décrits comme suit : les systèmes qui utilisent le scénario de navigation Web et ceux qui utilisent le scénario d'applications Windows .NET.

• Scénario de navigation Web
  Le succès de l'exploitation de cette vulnérabilité nécessite qu'un utilisateur ait ouvert une session et visite des sites Web à l'aide d'un navigateur Web capable d'instancier les XBAP. C'est pourquoi les systèmes sur lesquels un navigateur Web est fréquemment utilisé (tels que les postes de travail ou les serveurs Terminal Server) sont les plus exposés à cette vulnérabilité. Les serveurs pourraient être plus exposés si les administrateurs autorisent les utilisateurs à naviguer sur Internet et à consulter leur messagerie électronique depuis ceux-ci. Néanmoins, les meilleures pratiques recommandent fortement de ne pas autoriser cela.
• Applications Windows .NET
  Les postes de travail et le serveur qui exécutent des applications Windows .NET non fiables sont également exposés à cette vulnérabilité.

J'exécute Internet Explorer pour Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2. Cela limite-t-il cette vulnérabilité ? 
Oui. Par défaut, Internet Explorer sur Windows Server 2003, Windows Server 2008 et Windows Server 2008 R2 s'exécutent selon un mode restreint appelé Configuration de sécurité renforcée. La Configuration de sécurité renforcée d'Internet Explorer est un groupe de paramètres Internet Explorer préconfigurés qui réduit le risque qu'un utilisateur ou qu'un administrateur ne télécharge et n'exécute un contenu Web spécialement conçu sur un serveur. Il s'agit d'un facteur atténuant pour les sites Web qui n'ont pas été ajoutés à la zone Sites de confiance d'Internet Explorer.

Que fait cette mise à jour ? 
Cette mise à jour corrige la vulnérabilité en modifiant la façon dont Microsoft .NET Framework attribue l'espace de tampon en mémoire.

Lors de la parution de ce Bulletin de sécurité, cette vulnérabilité avait-elle été révélée publiquement ? 
Non. Microsoft a été informé de cette vulnérabilité par une divulgation de vulnérabilité coordonnée.

Lors de la parution de ce Bulletin de sécurité, Microsoft avait-il été informé d'une éventuelle exploitation de cette vulnérabilité ? 
Non. Lors de la première publication de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de cette vulnérabilité dans le but d'attaquer des clients.

Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité.

Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité.

Quelle est la portée de cette vulnérabilité ? 
Il s'agit d'une vulnérabilité de déni de service. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait empêcher l'application affectée de répondre jusqu'à ce qu'elle soit redémarrée manuellement. Remarque : Cette vulnérabilité de déni de service ne permettrait pas à un attaquant d'exécuter du code ni d'élever ses droits d'utilisateur.

Quelle est la cause de cette vulnérabilité ? 
Cette vulnérabilité survient lorsque .NET Framework compare de façon incorrecte la valeur d'un index dans une application WPF.

Qu'est-ce que Windows Presentation Foundation (WPF) ? 
Windows Presentation Foundation (WPF) est un système de présentation de nouvelle génération qui permet de créer des applications clientes Windows offrant une expérience utilisateur riche. Avec WPF, vous pouvez créer une grande variété d'applications à la fois autonomes et hébergées sur un navigateur. Pour plus d'informations sur WPF, consultez l'article MSDN « Présentation de WPF ».

Que pourrait faire un attaquant en exploitant cette vulnérabilité ? 
Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait empêcher des applications créées à l'aide des API WPF qui s'exécutent sur le système d'un utilisateur de répondre jusqu'à ce qu'elles soient redémarrées manuellement.

Comment un attaquant pourrait-il exploiter cette vulnérabilité ? 
Un attaquant non authentifié pourrait envoyer un petit nombre de requêtes spécialement conçues à un site affecté, générant ainsi une condition de déni de service.

Quels sont les systèmes les plus exposés à cette vulnérabilité ? 
Les postes de travail et les serveurs qui exécutent les API WPF sont les plus exposés à ce problème.

Que fait cette mise à jour ? 
Cette mise à jour corrige la vulnérabilité en modifiant la façon dont .NET Framework compare les valeurs d'index dans une application WPF.

Lors de la parution de ce Bulletin de sécurité, cette vulnérabilité avait-elle été révélée publiquement ? 
Oui. Cette vulnérabilité a été révélée publiquement. Elle a reçu le numéro « Common Vulnerability and Exposure » CVE-2012-0164.

Lors de la parution de ce Bulletin de sécurité, Microsoft avait-il été informé d'une éventuelle exploitation de cette vulnérabilité ? 
Non. Lors de la première publication de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de cette vulnérabilité dans le but d'attaquer des clients.

Une atténuation fait référence à un paramètre, une configuration générale ou à des préférences existant dans un état par défaut qui pourraient diminuer l'impact de l'exploitation d'une vulnérabilité. Les facteurs atténuants suivants peuvent être utiles, selon votre situation :

• Dans le cas d'une attaque de navigation Web, l'attaquant devrait héberger un site Web contenant une page Web spécialement conçue pour exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent du contenu ou des annonces provenant d'utilisateurs pourraient contenir du contenu malveillant susceptible d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site.
• Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Une solution de contournement fait référence à une modification de paramètre ou de configuration qui ne corrige pas la vulnérabilité sous-jacente mais qui pourrait contribuer à bloquer certains vecteurs d'attaque connus jusqu'à ce que la mise à jour soit appliquée. Microsoft a testé les solutions de contournement suivantes et indique le cas échéant si une solution réduit certaines fonctionnalités :

• Désactiver le traitement des métafichiers

  Les clients ayant appliqué la mise à jour du Bulletin MS07-017 ou ceux qui utilisent Windows Vista ou Windows Server 2008 peuvent désactiver le traitement des métafichiers en modifiant le Registre. Ce paramètre aidera à protéger le système affecté des tentatives d'exploitation de cette vulnérabilité.

  Pour modifier la clé, procédez comme suit :

  Remarque : Toute mauvaise utilisation de l'Éditeur du Registre peut générer des problèmes sérieux pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut garantir que les problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre pourront être résolus. L'utilisation de l'Éditeur du Registre relève de votre responsabilité. Pour savoir comment modifier le Registre, consultez la rubrique d'Aide "Modifier des clés et des valeurs" dans l'Éditeur du Registre (Regedit.exe) ou les rubriques d'Aide "Ajouter et supprimer des informations dans le Registre" et "Modifier les données du Registre" dans Regedt32.exe.

  1. Cliquez sur Démarrer puis sur Exécuter, tapez Regedit puis cliquez sur OK.
  2. Localisez la sous-clé de Registre suivante :
     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize
  3. Dans le menu Édition, sélectionnez Nouveau, puis cliquez sur DWORD.
  4. Saisissez DisableMetaFiles, puis appuyez sur ENTRÉE.
  5. Dans le menu Édition, cliquez sur Modifier afin de modifier l'entrée de Registre DisableMetaFiles.
  6. Dans la zone de données Valeur, tapez 1 puis cliquez sur OK.
  7. Fermez l'Éditeur du Registre.
  8. Redémarrez l'ordinateur.

  Pour désactiver le traitement des métafichiers à l'aide d'un script de déploiement, procédez comme suit :

  1. Enregistrez ce qui suit dans un fichier portant l'extension .REG (par ex. Disable_MetaFiles.reg) :
     Windows Registry Editor Version 5.00
     [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize]
     "DisableMetaFiles"=dword:00000001
  2. Exécutez le script de Registre ci-dessus sur la machine cible à l'aide de la commande suivante à partir d'une invite de commandes avec privilèges d'administrateur :
     Regedit.exe /s Disable_MetaFiles.reg
  3. Redémarrez l'ordinateur.

  Impact de cette solution de contournement. Désactiver le traitement des métafichiers peut entraîner une moindre fonctionnalité des performances des applications ou des composants système. Désactiver le traitement des métafichiers peut également entraîner un dysfonctionnement total des applications ou des composants système. Évaluer l'applicabilité de cette solution de contournement. Exemples de résultats défavorables :

  • Vous ne pouvez pas imprimer sur l'ordinateur.
  • Certaines applications ne peuvent pas afficher les Cliparts.
  • Certaines applications utilisant le rendu OLE peuvent échouer, surtout lorsque le serveur d'objet n'est pas actif.

  Pour plus d'informations concernant ce paramètre, consultez l'Article 941835 de la Base de connaissances Microsoft.

  Comment annuler cette solution de contournement. Exécutez les étapes suivantes :

  1. Cliquez sur Démarrer puis sur Exécuter, tapez Regedit puis cliquez sur OK.
  2. Localisez la sous-clé de Registre suivante :
     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize
  3. Sélectionnez l'entrée de Registre DisableMetaFiles puis cliquez sur Modifier dans le menu Édition.
  4. Dans la zone Données de la valeur, tapez 0, puis cliquez sur OK.
  5. Fermez l'Éditeur du Registre.
  6. Redémarrez l'ordinateur.

Quelle est la portée de cette vulnérabilité ? 
Il s'agit d'une vulnérabilité d'exécution de code à distance. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Quelle est la cause de cette vulnérabilité ? 
Cette vulnérabilité survient car l'interface GDI+ (Graphics Device Interface) traite de façon incorrecte la validation des images EMF spécialement conçues.

Qu'est-ce que GDI+ (Graphics Device Interface) ? 
GDI+ est une interface graphique qui fournit des graphiques vectoriels, des images et de la typographie 2D aux applications et aux programmeurs.

Qu'est-ce que le format d'image EMF (Enhanced Metafile) ? 
EMF est un format de métafichier 32 bits capable de contenir à la fois des informations vecteur et des informations bitmap. Ce format est une amélioration du format Windows Metafile (WMF) et contient des fonctionnalités étendues.

Pour plus d'informations sur les formats et types d'images, consultez l'Article 320314 de la Base de connaissances Microsoft. Pour plus d'informations sur les formats de fichiers graphiques, consultez l'article MSDN consacré aux métafichiers (en anglais).

Que pourrait faire un attaquant en exploitant cette vulnérabilité ? 
Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur actuel. Si un utilisateur est connecté avec des privilèges d'administrateur, un attaquant pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Comment un attaquant pourrait-il exploiter cette vulnérabilité ? 
Un attaquant pourrait héberger un site Web spécialement conçu pour exploiter cette vulnérabilité via Internet Explorer, puis inciter un utilisateur à consulter ce site Web. Sont également concernés les sites Web compromis et les sites Web acceptant ou hébergeant du contenu ou des publicités provenant d'utilisateurs. Ces sites Web pourraient contenir du code spécialement conçu pour exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site. Il pourrait également afficher du contenu Web spécialement conçu en imitant des bannières publicitaires ou d'autres moyens afin d'envoyer du contenu Web aux systèmes affectés.

Dans le cas d'une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant à l'utilisateur un message électronique ou un document Office spécialement conçu. Il devrait alors le persuader d'ouvrir ce document ou d'afficher le message.

Un attaquant pourrait également exploiter cette vulnérabilité en hébergeant une image malveillante sur un partage réseau. Il devrait alors convaincre un utilisateur de naviguer jusqu'au dossier via l'Explorateur Windows.

Quels sont les systèmes les plus exposés à cette vulnérabilité ? 
Cette vulnérabilité ne permet l'exécution d'une action malveillante que si un utilisateur a ouvert une session et est en train de lire des messages électroniques, de visiter des sites Web ou d'ouvrir des fichiers à partir d'un partage réseau. C'est pourquoi les systèmes sur lesquels la messagerie ou Internet Explorer sont fréquemment utilisés (comme les postes de travail ou les serveurs Terminal Server) sont les plus exposés à cette vulnérabilité. Les risques sont moindres sur les systèmes rarement utilisés pour visiter des sites Web (comme la plupart des systèmes serveurs).

Que fait cette mise à jour ? 
Cette mise à jour corrige la vulnérabilité en modifiant la façon dont l'interface GDI+ (Graphics Device Interface) valide les types d'enregistrement EMF spécialement conçus.

Lors de la parution de ce Bulletin de sécurité, cette vulnérabilité avait-elle été révélée publiquement ? 
Non. Microsoft a été informé de cette vulnérabilité par une divulgation de vulnérabilité coordonnée.

Lors de la parution de ce Bulletin de sécurité, Microsoft avait-il été informé d'une éventuelle exploitation de cette vulnérabilité ? 
Non. Lors de la première publication de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de cette vulnérabilité dans le but d'attaquer des clients.

Une atténuation fait référence à un paramètre, une configuration générale ou à des préférences existant dans un état par défaut qui pourraient diminuer l'impact de l'exploitation d'une vulnérabilité. Les facteurs atténuants suivants peuvent être utiles, selon votre situation :

• Dans le cas d'une attaque de navigation Web, l'attaquant devrait héberger un site Web contenant une page Web spécialement conçue pour exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent du contenu ou des annonces provenant d'utilisateurs pourraient contenir du contenu malveillant susceptible d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site.
• Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Une solution de contournement fait référence à une modification de paramètre ou de configuration qui ne corrige pas la vulnérabilité sous-jacente mais qui pourrait contribuer à bloquer certains vecteurs d'attaque connus jusqu'à ce que la mise à jour soit appliquée. Microsoft a testé les solutions de contournement suivantes et indique le cas échéant si une solution réduit certaines fonctionnalités :

• Désactiver le traitement des métafichiers

  Les clients ayant appliqué la mise à jour du Bulletin MS07-017 ou ceux qui utilisent Windows Vista ou Windows Server 2008 peuvent désactiver le traitement des métafichiers en modifiant le Registre. Ce paramètre aidera à protéger le système affecté des tentatives d'exploitation de cette vulnérabilité.

  Pour modifier la clé, procédez comme suit :

  Remarque : Toute mauvaise utilisation de l'Éditeur du Registre peut générer des problèmes sérieux pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut garantir que les problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre pourront être résolus. L'utilisation de l'Éditeur du Registre relève de votre responsabilité. Pour savoir comment modifier le Registre, consultez la rubrique d'Aide « Modifier des clés et des valeurs » dans l'Éditeur du Registre (Regedit.exe) ou les rubriques d'Aide « Ajouter et supprimer des informations dans le Registre » et « Modifier les données du Registre » dans Regedt32.exe.

  1. Cliquez sur Démarrer puis sur Exécuter, tapez Regedit puis cliquez sur OK.
  2. Localisez la sous-clé de Registre suivante :
     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize
  3. Dans le menu Édition, sélectionnez Nouveau, puis cliquez sur DWORD.
  4. Saisissez DisableMetaFiles, puis appuyez sur ENTRÉE.
  5. Dans le menu Édition, cliquez sur Modifier afin de modifier l'entrée de Registre DisableMetaFiles.
  6. Dans la zone de données Valeur, tapez 1 puis cliquez sur OK.
  7. Fermez l'Éditeur du Registre.
  8. Redémarrez l'ordinateur.

  Pour désactiver le traitement des métafichiers à l'aide d'un script de déploiement, procédez comme suit :

  1. Enregistrez ce qui suit dans un fichier portant l'extension .REG (par ex. Disable_MetaFiles.reg) :
     Windows Registry Editor Version 5.00
     [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize]
     "DisableMetaFiles"=dword:00000001
  2. Exécutez le script de Registre ci-dessus sur la machine cible à l'aide de la commande suivante à partir d'une invite de commandes avec privilèges d'administrateur :
     Regedit.exe /s Disable_MetaFiles.reg
  3. Redémarrez l'ordinateur.

  Impact de cette solution de contournement. Désactiver le traitement des métafichiers peut entraîner une moindre fonctionnalité des performances des applications ou des composants système. Désactiver le traitement des métafichiers peut également entraîner un dysfonctionnement total des applications ou des composants système. Évaluer l'applicabilité de cette solution de contournement. Exemples de résultats défavorables :

  • Vous ne pouvez pas imprimer sur l'ordinateur.
  • Certaines applications ne peuvent pas afficher les Cliparts.
  • Certaines applications utilisant le rendu OLE peuvent échouer, surtout lorsque le serveur d'objet n'est pas actif.

  Pour plus d'informations concernant ce paramètre, consultez l'Article 941835 de la Base de connaissances Microsoft.

  Comment annuler cette solution de contournement. Exécutez les étapes suivantes :

  1. Cliquez sur Démarrer puis sur Exécuter, tapez Regedit puis cliquez sur OK.
  2. Localisez la sous-clé de Registre suivante :
     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize
  3. Sélectionnez l'entrée de Registre DisableMetaFiles puis cliquez sur Modifier dans le menu Édition.
  4. Dans la zone Données de la valeur, tapez 0, puis cliquez sur OK.
  5. Fermez l'Éditeur du Registre.
  6. Redémarrez l'ordinateur.

Quelle est la portée de cette vulnérabilité ? 
Il s'agit d'une vulnérabilité d'exécution de code à distance. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Quelle est la cause de cette vulnérabilité ? 
Cette vulnérabilité survient car l'interface GDI+ (Graphics Device Interface) traite de façon incorrecte la validation des images EMF spécialement conçues dans un fichier Microsoft Office.

Qu'est-ce que GDI+ (Graphics Device Interface) ? 
GDI+ est une interface graphique qui fournit des graphiques vectoriels, des images et de la typographie 2D aux applications et aux programmeurs.

Qu'est-ce que le format d'image EMF (Enhanced Metafile) ? 
EMF est un format de métafichier 32 bits capable de contenir à la fois des informations vecteur et des informations bitmap. Ce format est une amélioration du format Windows Metafile (WMF) et contient des fonctionnalités étendues.

Pour plus d'informations sur les formats et types d'images, consultez l'Article 320314 de la Base de connaissances Microsoft. Pour plus d'informations sur les formats de fichiers graphiques, consultez l'article MSDN consacré aux métafichiers (en anglais).

Que pourrait faire un attaquant en exploitant cette vulnérabilité ? 
Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur actuel. Si un utilisateur est connecté avec des privilèges d'administrateur, un attaquant pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Comment un attaquant pourrait-il exploiter cette vulnérabilité ? 
Cette vulnérabilité nécessite qu'un utilisateur ouvre un document Office spécialement conçu à l'aide d'une version affectée de Microsoft Office.

Dans le cas d'une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant un fichier Office spécialement conçu à l'utilisateur et en le persuadant d'ouvrir ce fichier.

Dans le cas d'une attaque Web, l'attaquant devrait héberger un site Web contenant un document Office spécialement conçu pour exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent du contenu provenant d'utilisateurs pourraient contenir un élément malveillant susceptible d'exploiter cette vulnérabilité. Un attaquant n'aurait aucun moyen de forcer un utilisateur à visiter ces sites Web. Un attaquant devrait convaincre l'utilisateur de visiter ce site Web, généralement en l'incitant à cliquer sur un lien le dirigeant vers le site Web de l'attaquant, puis le convaincre d'ouvrir ce document Office spécialement conçu.

Quels sont les systèmes les plus exposés à cette vulnérabilité ? 
Les systèmes sur lesquels Microsoft Office est utilisé, y compris les postes de travail et les serveurs Terminal Server, sont les plus exposés à cette vulnérabilité. Les serveurs pourraient être plus exposés si les administrateurs autorisent les utilisateurs à ouvrir une session sur ces serveurs et à y exécuter des programmes. Néanmoins, les meilleures pratiques recommandent fortement de ne pas autoriser cela.

Que fait cette mise à jour ? 
Cette mise à jour corrige la vulnérabilité en modifiant la façon dont l'interface GDI+ (Graphics Device Interface) valide les images EMF spécialement conçues intégrées dans un fichier Microsoft Office.

Lors de la parution de ce Bulletin de sécurité, cette vulnérabilité avait-elle été révélée publiquement ? 
Non. Microsoft a été informé de cette vulnérabilité par une divulgation de vulnérabilité coordonnée.

Lors de la parution de ce Bulletin de sécurité, Microsoft avait-il été informé d'une éventuelle exploitation de cette vulnérabilité ? 
Non. Lors de la première publication de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de cette vulnérabilité dans le but d'attaquer des clients.

Une atténuation fait référence à un paramètre, une configuration générale ou à des préférences existant dans un état par défaut qui pourraient diminuer l'impact de l'exploitation d'une vulnérabilité. Les facteurs atténuants suivants peuvent être utiles, selon votre situation :

• Dans le cas d'une attaque de navigation Web, l'attaquant devrait héberger un site Web contenant une page Web spécialement conçue pour exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent du contenu ou des annonces provenant d'utilisateurs pourraient contenir du contenu malveillant susceptible d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site.
• Par défaut, Internet Explorer sur Windows Server 2003, Windows Server 2008 et Windows Server 2008 R2 s'exécutent selon un mode restreint appelé Configuration de sécurité renforcée. Ce mode atténue la vulnérabilité uniquement sur Windows Server 2008 et Windows Server 2008 R2, et ce uniquement dans le cas d'un scénario d'attaque de navigation Web. Pour plus d'informations sur la Configuration de sécurité renforcée d'Internet Explorer, reportez-vous à la section du Forum aux questions concernant cette vulnérabilité.
• Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Une solution de contournement fait référence à une modification de paramètre ou de configuration qui ne corrige pas la vulnérabilité sous-jacente mais qui pourrait contribuer à bloquer certains vecteurs d'attaque connus jusqu'à ce que la mise à jour soit appliquée. Microsoft a testé les solutions de contournement suivantes et indique le cas échéant si une solution réduit certaines fonctionnalités :

• Bloquer temporairement l'exécution du contrôle ActiveX Microsoft Silverlight dans Internet Explorer (méthode 1)

  Vous pouvez également vous protéger contre ces vulnérabilités en empêchant momentanément les tentatives de création d'instance du contrôle ActiveX Silverlight dans Internet Explorer en définissant le kill bit pour le contrôle.

  Avertissement : Si vous n'utilisez pas correctement l'Éditeur du Registre, vous risquez de créer de sérieux problèmes et d'avoir à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir qu'il soit possible de résoudre des problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre. L'utilisation de l'Éditeur du Registre relève de votre responsabilité.

  Nous vous conseillons de sauvegarder le Registre avant de le modifier.

  Utilisez le texte suivant pour créer un fichier .reg qui neutralise temporairement les tentatives d'instanciation du contrôle ActiveX Silverlight dans Internet Explorer. Vous pouvez copier le texte suivant, le coller dans un éditeur de texte tel que le Bloc-Notes puis l'enregistrer en lui donnant une extension de fichier .reg. Exécutez le fichier .reg sur le client vulnérable.

  Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{DFEAF541-F3E1-4C24-ACAC-99C30715084A}]
"Compatibility Flags"=dword:00000400

  Arrêtez puis redémarrez Internet Explorer pour que vos changements prennent effet.

  Pour plus de détails sur la manière d'empêcher l'exécution d'un contrôle dans Internet Explorer, consultez l'Article 240797 de la Base de connaissances Microsoft. Suivez ces étapes et créez une valeur pour les indicateurs de compatibilité (Compatibility Flags) dans le Registre afin d'empêcher le contrôle ActiveX Silverlight de s'exécuter dans Internet Explorer.

  Impact de cette solution de contournement. Les applications et sites Web qui requièrent le contrôle ActiveX Microsoft Silverlight risquent de ne plus fonctionner correctement. Si vous appliquez cette solution, elle affectera tous les contrôles ActiveX Silverlight installés sur votre système.

  Comment annuler cette solution de contournement. Supprimez les clés de Registre ajoutées pour empêcher temporairement les tentatives de création d'instance du contrôle ActiveX Silverlight dans Internet Explorer.

• Bloquer temporairement l'exécution du contrôle ActiveX Microsoft Silverlight dans Firefox ou Chrome

  Pour modifier la clé de Registre afin de désactiver Microsoft Silverlight, procédez comme suit :

  Remarque : Toute mauvaise utilisation de l'Éditeur du Registre peut générer des problèmes sérieux pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut garantir que les problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre pourront être résolus. L'utilisation de l'Éditeur du Registre relève de votre responsabilité. Pour savoir comment modifier le Registre, consultez la rubrique d'Aide « Modifier des clés et des valeurs » dans l'Éditeur du Registre (Regedit.exe) ou les rubriques d'Aide « Ajouter et supprimer des informations dans le Registre » et « Modifier les données du Registre » dans Regedt32.exe.

  • Utilisation de la méthode interactive
    1. Cliquez sur Démarrer, puis sur Exécuter, tapez Regedit dans la zone Ouvrir, puis cliquez sur OK.
    2. Localisez la sous-clé de Registre suivante :

       HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0

    3. Cliquez avec le bouton droit sur @Microsoft.com/NpCtrl,version=1.0 et sélectionnez Exporter. Enregistrez le fichier sur le disque.
    4. Effacez la clé @Microsoft.com/NpCtrl,version=1.0.
    5. Quittez l'Éditeur du Registre.
  • À l'aide d'un fichier de Registre
    1. Créez une copie de sauvegarde des clés de Registre. Une copie de sauvegarde peut être faite à l'aide d'un script de déploiement avec la commande suivante :

       Regedit.exe /e SL_backup.reg HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0

    2. Enregistrez ce qui suit dans un fichier portant l'extension .REG (par ex. Disable_Silverlight.reg) :

       Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0]

    3. Exécutez le script de Registre ci-dessus créé à l'étape 2 sur le système cible à l'aide de la commande suivante :

       Regedit /s Disable_Silverlight.reg

  Comment annuler cette solution de contournement.

  • Utilisation de la méthode interactive
    1. Cliquez sur Démarrer, puis sur Exécuter, tapez Regedit dans la zone Ouvrir, puis cliquez sur OK.
    2. Dans le menu Fichier, cliquez sur Importer.
    3. Localisez l'emplacement où le fichier exporté précédemment est situé.
    4. Sélectionnez le fichier, puis cliquez sur Ouvrir.
  • Utilisation d'un script de déploiement

    Restaurez le fichier sauvegardé à l'étape 1 À l'aide d'un fichier de Registre ci-dessus, avec la commande suivante :

    Regedit /s SL_backup.reg

Quelle est la portée de cette vulnérabilité ? 
Il s'agit d'une vulnérabilité d'exécution de code à distance. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges.

Quelle est la cause de cette vulnérabilité ? 
Cette vulnérabilité survient car Microsoft Silverlight libère la mémoire de façon incorrecte lors du rendu des glyphes XAML spécialement conçus.

Qu'est-ce que Microsoft Silverlight ? 
Microsoft Silverlight est une implémentation inter-navigateurs et inter-plates-formes de Microsoft .NET Framework pour la création d'expériences multimédias et d'applications interactives riches pour le Web. Pour plus d'informations, consultez le site officiel de Microsoft Silverlight.

Que sont les glyphes XAML ? 
Windows Presentation Foundation (WPF) fournit une prise en charge de texte avancée comprenant des balises de niveau glyphe avec accès direct aux Glyphes pour les clients qui souhaitent capturer et conserver du texte après sa mise en forme. Ces fonctionnalités fournissent une prise en charge critique pour les différents besoins de rendu du texte dans chacun des scénarios suivants : affichage à l'écran de documents à format fixe, impression et représentation de documents à format fixe, y compris pour les clients des versions précédentes de Windows et autres périphériques. Pour plus d'informations, consultez l'article MSDN « Introduction à l'objet GlyphRun et à l'élément Glyphs ».

Qu'est-ce qu' une condition de double libération de la mémoire ? 
Une condition de double libération de la mémoire est une condition dans laquelle un programme libère la mémoire allouée plusieurs fois. Libérer de la mémoire qui a déjà été libérée peut entraîner une corruption de mémoire. Un attaquant pourrait mettre du code arbitraire en mémoire qui s'exécuterait au moment où se produit la corruption. Ce code pourrait alors être exécuté avec un niveau de privilèges système.

Généralement, cette vulnérabilité entraîne un déni de service. Cependant, dans certaines circonstances, une exécution de code pourrait se produire. L'organisation de la mémoire étant différente sur chaque système affecté, il serait difficile d'exploiter cette vulnérabilité à grande échelle.

Que pourrait faire un attaquant en exploitant cette vulnérabilité ? 
Dans un scénario de navigation Web, un attaquant qui serait parvenu à exploiter cette vulnérabilité pourrait obtenir les mêmes autorisations que l'utilisateur actuellement connecté. Si un utilisateur est connecté avec des privilèges d'administrateur, un attaquant pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Comment un attaquant pourrait-il exploiter cette vulnérabilité ? 
Un attaquant pourrait héberger un site Web spécialement conçu contenant une application Silverlight spécialement conçue et pouvant exploiter cette vulnérabilité, puis convaincre un utilisateur d'afficher le site Web. L'attaquant pourrait également exploiter des sites Web compromis et des sites Web qui acceptent ou hébergent du contenu ou des annonces fournis par les utilisateurs. Ces sites Web pourraient contenir du code spécialement conçu pour exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site. Il pourrait également afficher du contenu Web spécialement conçu en imitant des bannières publicitaires ou d'autres moyens afin d'envoyer du contenu Web aux systèmes affectés.

Quels sont les systèmes les plus exposés à cette vulnérabilité ? 
L'exploitation réussie de cette vulnérabilité requiert qu'un utilisateur ait ouvert une session et visite des sites Web en utilisant un navigateur Web capable d'instancier des applications Silverlight. C'est pourquoi les systèmes sur lesquels un navigateur Web est fréquemment utilisé (tels que les postes de travail ou les serveurs Terminal Server) sont les plus exposés à cette vulnérabilité. Les serveurs pourraient être plus exposés si les administrateurs autorisent les utilisateurs à naviguer sur Internet et à consulter leur messagerie électronique depuis ceux-ci. Néanmoins, les meilleures pratiques recommandent fortement de ne pas autoriser cela.

J'exécute Internet Explorer pour Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2. Cela limite-t-il cette vulnérabilité ? 
Oui. Par défaut, Internet Explorer sur Windows Server 2003, Windows Server 2008 et Windows Server 2008 R2 s'exécutent selon un mode restreint appelé Configuration de sécurité renforcée. La Configuration de sécurité renforcée d'Internet Explorer est un groupe de paramètres Internet Explorer préconfigurés qui réduit le risque qu'un utilisateur ou qu'un administrateur ne télécharge et n'exécute un contenu Web spécialement conçu sur un serveur. Il s'agit d'un facteur atténuant pour les sites Web qui n'ont pas été ajoutés à la zone Sites de confiance d'Internet Explorer.

Que fait cette mise à jour ? 
Cette mise à jour corrige le problème en modifiant la façon dont Microsoft Silverlight réinitialise les pointeurs lors de la libération de mémoire.

Lors de la parution de ce Bulletin de sécurité, cette vulnérabilité avait-elle été révélée publiquement ? 
Non. Microsoft a été informé de cette vulnérabilité par une divulgation de vulnérabilité coordonnée.

Lors de la parution de ce Bulletin de sécurité, Microsoft avait-il été informé d'une éventuelle exploitation de cette vulnérabilité ? 
Non. Lors de la première publication de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de cette vulnérabilité dans le but d'attaquer des clients.

Une atténuation fait référence à un paramètre, une configuration générale ou à des préférences existant dans un état par défaut qui pourraient diminuer l'impact de l'exploitation d'une vulnérabilité. Les facteurs atténuants suivants peuvent être utiles, selon votre situation :

• Pour exploiter cette vulnérabilité, l'attaquant doit disposer d'informations d'identification valides pour ouvrir une session en local.

Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité.

Quelle est la portée de cette vulnérabilité ? 
Il s'agit d'une vulnérabilité d'élévation de privilèges.

Quel est le composant concerné par cette vulnérabilité ? 
Le composant concerné par cette vulnérabilité est le pilote en mode noyau de Windows (win32k.sys).

Quelle est la cause de cette vulnérabilité ? 
Cette vulnérabilité survient lorsque le pilote en mode noyau de Windows traite de façon incorrecte des entrées transmises depuis les fonctions du mode utilisateur.

Qu'est-ce que le pilote en mode noyau de Windows (win32k.sys) ? 
Win32k.sys est un pilote de périphérique en mode noyau et correspond à la partie noyau du sous-système Windows. Il contient le gestionnaire de fenêtres, qui contrôle les affichages, gère la sortie écran, récupère les entrées du clavier, de la souris et des autres périphériques et transmet les messages utilisateur aux applications. Il contient également l'interface GDI (Graphics Device Interface), qui est une bibliothèque de fonctions pour les périphériques de sortie graphiques. Enfin, il sert de wrapper pour le support DirectX implémenté dans un autre pilote (dxgkrnl.sys).

Qu'est-ce que le noyau Windows ? 
Le noyau Windows constitue le cœur du système d'exploitation. Il offre des services de niveau système tels que la gestion des périphériques et la gestion de la mémoire, il attribue du temps processeur aux processus et il gère le traitement des erreurs.

Que pourrait faire un attaquant en exploitant cette vulnérabilité ? 
Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire dans le contexte d'un autre processus. Si ce processus est exécuté avec des privilèges d'administrateur, un attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges.

Comment un attaquant pourrait-il exploiter cette vulnérabilité ? 
Pour exploiter cette vulnérabilité, un attaquant doit d'abord ouvrir une session sur le système. L'attaquant pourrait alors exécuter une application spécialement conçue pour exploiter cette vulnérabilité et prendre le contrôle intégral du système affecté.

Quels sont les systèmes les plus exposés à cette vulnérabilité ? 
Les postes de travail et les serveurs Terminal Server sont les plus exposés. Les serveurs pourraient être plus exposés si les administrateurs autorisent les utilisateurs à ouvrir une session sur ces serveurs et à y exécuter des programmes. Néanmoins, les meilleures pratiques recommandent fortement de ne pas autoriser cela.

Que fait cette mise à jour ? 
Cette mise à jour corrige la vulnérabilité en modifiant la façon dont les pilotes en mode noyau de Windows traitent les données transmises depuis les fonctions du mode utilisateur.

Lors de la parution de ce Bulletin de sécurité, cette vulnérabilité avait-elle été révélée publiquement ? 
Non. Microsoft a été informé de cette vulnérabilité par une divulgation de vulnérabilité coordonnée.

Lors de la parution de ce Bulletin de sécurité, Microsoft avait-il été informé d'une éventuelle exploitation de cette vulnérabilité ? 
Non. Lors de la première publication de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de cette vulnérabilité dans le but d'attaquer des clients.

Une atténuation fait référence à un paramètre, une configuration générale ou à des préférences existant dans un état par défaut qui pourraient diminuer l'impact de l'exploitation d'une vulnérabilité. Les facteurs atténuants suivants peuvent être utiles, selon votre situation :

• Pour exploiter cette vulnérabilité, l'attaquant doit disposer d'informations d'identification valides pour ouvrir une session en local.

Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité.

Quelle est la portée de cette vulnérabilité ? 
Il s'agit d'une vulnérabilité d'élévation de privilèges.

Quel est le composant concerné par cette vulnérabilité ? 
Le composant concerné par cette vulnérabilité est le pilote en mode noyau de Windows (win32k.sys).

Quelle est la cause de cette vulnérabilité ? 
Cette vulnérabilité survient lorsque le pilote en mode noyau de Windows traite de façon incorrecte les fichiers de configuration du clavier.

Qu'est-ce que le pilote en mode noyau de Windows (win32k.sys) ? 
Win32k.sys est un pilote de périphérique en mode noyau et correspond à la partie noyau du sous-système Windows. Il contient le gestionnaire de fenêtres, qui contrôle les affichages, gère la sortie écran, récupère les entrées du clavier, de la souris et des autres périphériques et transmet les messages utilisateur aux applications. Il contient également l'interface GDI (Graphics Device Interface), qui est une bibliothèque de fonctions pour les périphériques de sortie graphiques. Enfin, il sert de wrapper pour le support DirectX implémenté dans un autre pilote (dxgkrnl.sys).

Qu'est-ce que le noyau Windows ? 
Le noyau Windows constitue le cœur du système d'exploitation. Il offre des services de niveau système tels que la gestion des périphériques et la gestion de la mémoire, il attribue du temps processeur aux processus et il gère le traitement des erreurs.

Que pourrait faire un attaquant en exploitant cette vulnérabilité ? 
Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire dans le contexte d'un autre processus. Si ce processus est exécuté avec des privilèges d'administrateur, un attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges.

Comment un attaquant pourrait-il exploiter cette vulnérabilité ? 
Pour exploiter cette vulnérabilité, un attaquant doit d'abord ouvrir une session sur le système. L'attaquant pourrait alors exécuter une application spécialement conçue pour exploiter cette vulnérabilité et prendre le contrôle intégral du système affecté.

Quels sont les systèmes les plus exposés à cette vulnérabilité ? 
Les postes de travail et les serveurs Terminal Server sont les plus exposés. Les serveurs pourraient être plus exposés si les administrateurs autorisent les utilisateurs à ouvrir une session sur ces serveurs et à y exécuter des programmes. Néanmoins, les meilleures pratiques recommandent fortement de ne pas autoriser cela.

Que fait cette mise à jour ? 
Cette mise à jour corrige la vulnérabilité en modifiant la façon dont le pilote en mode noyau de Windows traite les fichiers de configuration du clavier.

Lors de la parution de ce Bulletin de sécurité, cette vulnérabilité avait-elle été révélée publiquement ? 
Oui. Cette vulnérabilité a été révélée publiquement. Elle a reçu le numéro « Common Vulnerability and Exposure » CVE-2012-0181.

Lors de la parution de ce Bulletin de sécurité, Microsoft avait-il été informé d'une éventuelle exploitation de cette vulnérabilité ? 
Non. Lors de la première publication de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de cette vulnérabilité dans le but d'attaquer des clients.

Une atténuation fait référence à un paramètre, une configuration générale ou à des préférences existant dans un état par défaut qui pourraient diminuer l'impact de l'exploitation d'une vulnérabilité. Les facteurs atténuants suivants peuvent être utiles, selon votre situation :

• Pour exploiter cette vulnérabilité, l'attaquant doit disposer d'informations d'identification valides pour ouvrir une session en local.

Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité.

Quelle est la portée de cette vulnérabilité ? 
Il s'agit d'une vulnérabilité d'élévation de privilèges.

Quel est le composant concerné par cette vulnérabilité ? 
Le composant concerné par cette vulnérabilité est le pilote en mode noyau de Windows (win32k.sys).

Quelle est la cause de cette vulnérabilité ? 
Cette vulnérabilité survient lorsque le pilote en mode noyau de Windows traite de façon incorrecte des entrées transmises depuis les fonctions du mode utilisateur.

Qu'est-ce que le pilote en mode noyau de Windows (win32k.sys) ? 
Win32k.sys est un pilote de périphérique en mode noyau et correspond à la partie noyau du sous-système Windows. Il contient le gestionnaire de fenêtres, qui contrôle les affichages, gère la sortie écran, récupère les entrées du clavier, de la souris et des autres périphériques et transmet les messages utilisateur aux applications. Il contient également l'interface GDI (Graphics Device Interface), qui est une bibliothèque de fonctions pour les périphériques de sortie graphiques. Enfin, il sert de wrapper pour le support DirectX implémenté dans un autre pilote (dxgkrnl.sys).

Qu'est-ce que le noyau Windows ? 
Le noyau Windows constitue le cœur du système d'exploitation. Il offre des services de niveau système tels que la gestion des périphériques et la gestion de la mémoire, il attribue du temps processeur aux processus et il gère le traitement des erreurs.

Que pourrait faire un attaquant en exploitant cette vulnérabilité ? 
Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire dans le contexte d'un autre processus. Si ce processus est exécuté avec des privilèges d'administrateur, un attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges.

Comment un attaquant pourrait-il exploiter cette vulnérabilité ? 
Pour exploiter cette vulnérabilité, un attaquant doit d'abord ouvrir une session sur le système. L'attaquant pourrait alors exécuter une application spécialement conçue pour exploiter cette vulnérabilité et prendre le contrôle intégral du système affecté.

Quels sont les systèmes les plus exposés à cette vulnérabilité ? 
Les postes de travail et les serveurs Terminal Server sont les plus exposés. Les serveurs pourraient être plus exposés si les administrateurs autorisent les utilisateurs à ouvrir une session sur ces serveurs et à y exécuter des programmes. Néanmoins, les meilleures pratiques recommandent fortement de ne pas autoriser cela.

Que fait cette mise à jour ? 
Cette mise à jour corrige la vulnérabilité en modifiant la façon dont les pilotes en mode noyau de Windows traitent les données transmises depuis les fonctions du mode utilisateur.

Lors de la parution de ce Bulletin de sécurité, cette vulnérabilité avait-elle été révélée publiquement ? 
Non. Microsoft a été informé de cette vulnérabilité par une divulgation de vulnérabilité coordonnée.

Lors de la parution de ce Bulletin de sécurité, Microsoft avait-il été informé d'une éventuelle exploitation de cette vulnérabilité ? 
Non. Lors de la première publication de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de cette vulnérabilité dans le but d'attaquer des clients.

Tableau de référence

Le tableau suivant contient les informations de mise à jour de sécurité concernant ce logiciel. Vous pouvez rechercher des informations supplémentaires dans la sous-section « Informations de déploiement » de cette section.

Remarque : La mise à jour pour les versions en cours de support de Windows XP Professionnel Édition x64 s'applique également aux versions en cours de support de Windows Server 2003 Édition x64.

Tableau de référence

Le tableau suivant contient les informations de mise à jour de sécurité concernant ce logiciel. Vous pouvez rechercher des informations supplémentaires dans la sous-section « Informations de déploiement » de cette section.

Remarque : La mise à jour pour les versions en cours de support de Windows Server 2003 Édition x64 s'applique également aux versions en cours de support de Windows XP Professionnel Édition x64.

Tableau de référence

Le tableau suivant contient les informations de mise à jour de sécurité concernant ce logiciel. Vous pouvez rechercher des informations supplémentaires dans la sous-section « Informations de déploiement » de cette section.

Tableau de référence

Le tableau suivant contient les informations de mise à jour de sécurité concernant ce logiciel. Vous pouvez rechercher des informations supplémentaires dans la sous-section « Informations de déploiement » de cette section.

Tableau de référence

Le tableau suivant contient les informations de mise à jour de sécurité concernant ce logiciel. Vous pouvez rechercher des informations supplémentaires dans la sous-section « Informations de déploiement » de cette section.

Tableau de référence

Le tableau suivant contient les informations de mise à jour de sécurité concernant ce logiciel. Vous pouvez rechercher des informations supplémentaires dans la sous-section « Informations de déploiement » de cette section.

Tableau de référence

Le tableau suivant contient les informations de mise à jour de sécurité concernant ce logiciel. Vous trouverez d'autres informations dans la sous-section « Informations sur le déploiement » ci-dessous.

Tableau de référence

Le tableau suivant contient les informations de mise à jour de sécurité concernant ce logiciel. Vous pouvez rechercher des informations supplémentaires dans la sous-section « Informations de déploiement » de cette section.

Tableau de référence

Le tableau suivant contient les informations de mise à jour de sécurité concernant ce logiciel. Vous pouvez rechercher des informations supplémentaires dans la sous-section « Informations de déploiement » de cette section.