Avis de sécurité

Conseils de sécurité Microsoft 2695962

Correctif cumulatif pour les bits de destruction ActiveX

Publication : 08 mai 2012

Version : 1.0

Informations générales

Résumé

Microsoft publie un nouvel ensemble de bits de destruction ActiveX avec cet avis.

Cette mise à jour définit les bits de destruction pour les logiciels tiers suivants :

  • Solution VPN sans client Cisco. L’identificateur de classe suivant concerne une requête de Cisco pour définir un bit de destruction pour un contrôle ActiveX vulnérable. Pour plus d’informations sur les problèmes de sécurité dans le contrôle ActiveX de la solution VPN sans client Cisco, consultez la vulnérabilité d’exécution du code à distance de l’appliance de sécurité adaptative Cisco ASA 5500 Series. L’identificateur de classe (CLSID) pour ce contrôle ActiveX est tel qu’indiqué dans la section Tiers Kill Bits de cet avis.

Détails de l’avis

Références de problème

Pour plus d’informations sur ce problème, consultez les références suivantes :

Références Identification
Article de la Base de connaissances Microsoft 2695962 

Cet avis traite du logiciel suivant.

Logiciel associé
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 avec SP2 pour les systèmes Itanium
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 pour systèmes 32 bits Service Pack 2**
Windows Server 2008 pour systèmes x64 Service Pack 2**
Windows Server 2008 pour les systèmes Itanium Service Pack 2
Windows 7 pour systèmes 32 bits et Windows 7 pour systèmes 32 bits Service Pack 1
Windows 7 pour systèmes x64 et Windows 7 pour systèmes x64 Service Pack 1
Windows Server 2008 R2 pour systèmes x64 et Windows Server 2008 R2 pour systèmes x64 Service Pack 1**
Windows Server 2008 R2 pour les systèmes Itanium et Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1

**Installation minimale non affectée. Cet avis ne s’applique pas aux éditions prises en charge de Windows Server 2008 ou Windows Server 2008 R2, comme indiqué, lors de l’installation à l’aide de l’option d’installation Server Core. Pour plus d’informations sur cette option d’installation, consultez les articles TechNet, Gestion de l’installation et de la maintenance d’une installation Server Core. Notez que l’option d’installation server Core ne s’applique pas à certaines éditions de Windows Server 2008 et Windows Server 2008 R2 ; consultez Comparer les options d’installation minimales.

Forums Aux Questions (FAQ)

Cette mise à jour remplace-t-elle la mise à jour de sécurité cumulative des bits de destruction ActiveX (2618451) ?
Non, à des fins de mise à jour automatique, cette mise à jour ne remplace pas la mise à jour de sécurité cumulative des bits de destruction ActiveX (2618451) décrite dans le Bulletin de sécurité Microsoft MS11-090. La mise à jour automatique peut toujours offrir la mise à jour MS11-090 aux clients, qu’elles puissent ou non installer cette mise à jour (2695962). Toutefois, les clients qui installent cette mise à jour (2695962) n’ont pas besoin d’installer la mise à jour MS11-090 pour être protégés avec tous les bits de destruction définis dans MS11-090.

Quels sont les bits de destruction que contient ce correctif cumulatif des bits de destruction ActiveX ?
Ce correctif cumulatif des bits de destruction ActiveX contient de nouveaux bits de destruction et tous les bits de destruction précédemment publiés dans MS08-023, mise à jour de sécurité des bits de destruction ActiveX ;MS08-032, mise à jour de sécurité cumulative des bits de destruction ActiveX ; MS09-032, mise à jour de sécurité cumulative des bits de destruction ActiveX ; MS09-055, mise à jour de sécurité cumulative des bits de destruction ActiveX ;MS10-008, mise à jour de sécurité cumulative des bits de destruction ActiveX ; MS10-034, mise à jour de sécurité cumulative des bits de destruction ActiveX ;MS11-027, mise à jour de sécurité cumulative des bits de destruction ActiveX ; MS11-090, Mise à jour de sécurité cumulative des bits de destruction ActiveX ; et conseils intitulés Correctif cumulatif pour les bits de destruction ActiveX, Conseils de sécurité Microsoft 953839, Conseils de sécurité Microsoft 956391, Conseils de sécurité Microsoft 960715, Conseils de sécurité Microsoft 969898, Conseils de sécurité Microsoft 2562937 et Conseils de sécurité Microsoft 2647518.

Pourquoi Microsoft publie-t-il ce correctif cumulatif pour ActiveX Kill Bits avec un avis de sécurité lorsque des mises à jour de bits de destruction précédentes ont été publiées avec un bulletin de sécurité ?
Microsoft publie ce correctif cumulatif pour ActiveX Kill Bits avec un avis, car les nouveaux bits de destruction n’affectent pas les logiciels Microsoft.

Qu’est-ce qu’un coup de mort ?
Une fonctionnalité de sécurité dans Microsoft Internet Explorer permet d’empêcher le chargement d’un contrôle ActiveX par le moteur de rendu HTML d’Internet Explorer. Pour ce faire, vous devez définir un paramètre de Registre et définir le bit de destruction. Une fois le bit de destruction défini, le contrôle ne peut jamais être chargé, même lorsqu’il est entièrement installé. La définition du bit de destruction permet de s’assurer que même si un composant vulnérable est introduit ou est réinitif dans un système, il reste inerte et inoffensif.

Pour plus d’informations sur les bits de destruction, consultez l’article 240797 de la Base de connaissances Microsoft : comment arrêter l’exécution d’un contrôle ActiveX dans Internet Explorer.

Pourquoi cette mise à jour ne contient-elle aucun fichier binaire ?
Cette mise à jour apporte uniquement des modifications au Registre pour désactiver les contrôles de l’instanciation dans Internet Explorer.

Dois-je installer cette mise à jour si le composant concerné n’est pas installé ou si j’utilise la plateforme affectée ?
Oui. L’installation de cette mise à jour empêche l’exécution du contrôle vulnérable dans Internet Explorer.

Cette mise à jour contient-elle des bits de destruction qui ne sont pas spécifiques à Microsoft ?
Oui. Microsoft a été demandé par les organisations de définir le bit de destruction pour les contrôles que les organisations possèdent et ont trouvé être vulnérables. Consultez la sous-section « Bits de destruction tiers » dans la section Informations sur les vulnérabilités.

Cette mise à jour contient-elle des bits de destruction précédemment publiés dans une mise à jour de sécurité Internet Explorer ?
Non, cette mise à jour n’inclut pas les bits de destruction qui ont été précédemment publiés dans une mise à jour de sécurité Internet Explorer. Nous vous recommandons d’installer la dernière mise à jour de sécurité cumulative pour Internet Explorer.

Pourquoi cet avis n’a-t-il pas de cote de sécurité associée ?
Cette mise à jour contient de nouveaux bits de destruction pour les contrôles tiers. Microsoft ne fournit pas de cote de sécurité pour les contrôles tiers vulnérables.

Actions suggérées

Consultez l’article de la Base de connaissances Microsoft associé à cet avis

Microsoft encourage les clients à installer cette mise à jour. Les clients qui souhaitent en savoir plus sur cette mise à jour doivent consulter l’article 2695962 de la Base de connaissances Microsoft.

Solutions de contournement

  • Empêcher l’exécution d’objets COM dans Internet Explorer

    Vous pouvez désactiver les tentatives d’instanciation de l’objet COM dans Internet Explorer en définissant le bit de destruction pour le contrôle dans le Registre.

    Avertissement Si vous utilisez l’Éditeur du Registre de manière incorrecte, vous risquez de provoquer de graves problèmes qui peuvent nécessiter la réinstallation de votre système d’exploitation. Microsoft ne peut pas vous garantir que vous pourrez résoudre les problèmes qui résulteront d'une mauvaise utilisation de l'éditeur du registre. Son utilisation est sous votre entière responsabilité.

    Pour définir le bit de destruction d’un CLSID avec la valeur {B8E73359-3422-4384-8D27-4EA1B4C01232}, collez le texte suivant dans un éditeur de texte tel que Bloc-notes Windows. Ensuite, enregistrez le fichier à l’aide de l’extension de nom de fichier .reg.

    Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{B8E73359-3422-4384-8D27-4EA1B4C01232}]"Compatibility Flags"=dword:00000400[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{B8E73359-3422-4384-8D27-4EA1B4C01232}]"Compatibility Flags"=dword:00000400

    Vous pouvez appliquer ce fichier .reg à des systèmes individuels en double-cliquant dessus. Vous pouvez également l’appliquer dans différents domaines à l’aide de la stratégie de groupe. Pour plus d’informations sur la stratégie de groupe, consultez la collection de stratégies de groupe TechNet.

    Notez que vous devez redémarrer Internet Explorer pour que vos modifications prennent effet.

    Impact de la solution de contournement. Il n’y a aucun impact tant que l’objet n’est pas destiné à être utilisé dans Internet Explorer.

    Comment annuler la solution de contournement. Supprimez les clés de Registre précédemment ajoutées lors de l’implémentation de cette solution de contournement.

     

Bits de destruction tiers

Cette mise à jour inclut des bits de suppression pour empêcher l’exécution des contrôles ActiveX suivants dans Internet Explorer :

  • Solution VPN sans client Cisco. L’identificateur de classe suivant concerne une requête de Cisco pour définir un bit de destruction pour un contrôle ActiveX vulnérable. Pour plus d’informations sur les problèmes de sécurité dans le contrôle ActiveX de la solution VPN sans client Cisco, consultez la vulnérabilité d’exécution du code à distance de l’appliance de sécurité adaptative Cisco ASA 5500 Series. L’identificateur de classe (CLSID) pour ce contrôle ActiveX est :
    • {B8E73359-3422-4384-8D27-4EA1B4C01232}

Autres informations

Programme Microsoft Active Protections (MAPP)

Pour améliorer les protections de sécurité pour les clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque version mensuelle de la mise à jour de sécurité. Les fournisseurs de logiciels de sécurité peuvent ensuite utiliser ces informations de vulnérabilité pour fournir des protections mises à jour aux clients via leurs logiciels ou appareils de sécurité, tels que les systèmes antivirus, les systèmes de détection d’intrusion basés sur le réseau ou les systèmes de prévention des intrusions basés sur l’hôte. Pour déterminer si les protections actives sont disponibles auprès des fournisseurs de logiciels de sécurité, visitez les sites web de protection actifs fournis par les partenaires du programme, répertoriés dans microsoft Active Protections Program (MAPP) Partners.

Commentaires

  • Vous pouvez fournir des commentaires en remplissant le formulaire Aide et support Microsoft, contactez-nous.

Support

  • Les clients du États-Unis et du Canada peuvent recevoir un soutien technique du support technique. Pour plus d’informations sur les options de support disponibles, consultez Aide et support Microsoft.
  • Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Pour plus d’informations sur la façon de contacter Microsoft pour connaître les problèmes de support international, visitez le support international.
  • Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.

Exclusion de responsabilité

Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.

Révisions

  • V1.0 (8 mai 2012) : avis publié.

Construit à 2014-04-18T13 :49 :36Z-07 :00