Avis de sécurité Microsoft (2736233)
Ensemble de mises à jour pour les kill bits ActiveX
Paru le:
Version: 1.0
Informations générales
Synthèse
Microsoft publie une nouvelle série de kill bits ActiveX avec cet Avis.
Cette mise à jour définit les kill bits pour les logiciels tiers suivants :
- Cisco Secure Desktop. L'identificateur de classe suivant est lié à une demande émise par Cisco visant à définir un kill bit pour un contrôle ActiveX vulnérable. Pour plus d'informations quant aux problèmes de sécurité dans le contrôle ActiveX de Cisco Secure Desktop, veuillez consulter l'avis de sécurité de Cisco consacré aux vulnérabilités présentes dans Cisco AnyConnect Secure Mobility Client (en anglais). Les identificateurs de classe (CLSID) de ce contrôle ActiveX sont indiqués dans la section « Kill bits tiers » de cet Avis.
- Cisco Hostscan. L'identificateur de classe suivant est lié à une demande émise par Cisco visant à définir un kill bit pour un contrôle ActiveX vulnérable. Pour plus d'informations quant aux problèmes de sécurité dans le contrôle ActiveX de Cisco Hostscan, veuillez consulter l'avis de sécurité de Cisco consacré aux vulnérabilités présentes dans Cisco AnyConnect Secure Mobility Client (en anglais). Les identificateurs de classe (CLSID) de ce contrôle ActiveX sont indiqués dans la section « Kill bits tiers » de cet Avis.
- Cisco AnyConnect Secure Mobility Client. L'identificateur de classe suivant est lié à une demande émise par Cisco visant à définir un kill bit pour un contrôle ActiveX vulnérable. Pour plus d'informations quant aux problèmes de sécurité dans le contrôle ActiveX de Cisco AnyConnect Secure Mobility Client, veuillez consulter l'avis de sécurité de Cisco consacré aux vulnérabilités présentes dans Cisco AnyConnect Secure Mobility Client (en anglais). Les identificateurs de classe (CLSID) de ce contrôle ActiveX sont indiqués dans la section « Kill bits tiers » de cet Avis.
Détails de l'Avis
Références sur le problème
Pour plus d'informations sur ce problème, consultez les références suivantes :
| Références | Identification |
|---|---|
| Article de la Base de connaissances Microsoft | 2736233 |
Logiciels concernés
Cet Avis porte sur les logiciels suivants.
| Logiciels concernés |
|---|
| Système d'exploitation |
| Windows XP Service Pack 3 |
| Windows XP Professionnel Édition x64 Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 Édition x64 Service Pack 2 |
| Windows Server 2003 avec SP2 pour systèmes Itanium |
| Windows Vista Service Pack 2 |
| Windows Vista Édition x64 Service Pack 2 |
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 |
| Windows Server 2008 pour systèmes x64 Service Pack 2 |
| Windows Server 2008 pour systèmes Itanium Service Pack 2 |
| Windows 7 pour systèmes 32 bits |
| Windows 7 pour systèmes 32 bits Service Pack 1 |
| Windows 7 pour systèmes x64 |
| Windows 7 pour systèmes x64 Service Pack 1 |
| Windows Server 2008 R2 pour systèmes x64 |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 |
| Windows Server 2008 R2 pour systèmes Itanium |
| Windows Server 2008 R2 pour systèmes Itanium Service Pack 1 |
| Logiciels non concernés |
|---|
| Option d'installation Server Core |
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core) |
| Windows Server 2008 pour systèmes x64 Service Pack 2 (installation Server Core) |
| Windows Server 2008 R2 pour systèmes x64 (installation Server Core) |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core) |
Forum aux questions
Cet Avis s'applique-t- il aux installations Server Core ?
Cet Avis ne concerne pas les éditions en cours de support de Windows Server 2008 ni Windows Server 2008 R2 lorsqu'elles ont été installées à l'aide de l'option d'installation Server Core. Pour plus d'informations sur cette option d'installation, consultez les articles TechNet consacrés à la gestion d'une installation Server Core (en anglais) et à l'entretien d'une installation Server Core (en anglais).
Cette mise à jour remplace t-elle la Mise à jour de sécurité cumulative pour les kill bits ActiveX (2618451) ?
Non. En raison des mises à jour automatiques, cette mise à jour ne remplace pas la Mise à jour de sécurité cumulative pour les kill bits ActiveX (2618451) décrite dans le Bulletin de sécurité Microsoft MS11-090. Les mises à jour automatiques proposent la mise à jour MS11-090 même si cette mise à jour (2736233) a été installée. Toutefois, nos clients qui ont installé cette mise à jour (2695962) n'ont pas à installer la mise à jour MS11-090 pour bénéficier des kill bits qu'elle fournit.
Quels kill bits ActiveX sont contenus dans cet ensemble de mises à jour pour les kill bits ActiveX ?
Cet ensemble de mises à jour pour les kill bits ActiveX contient de nouveaux kill bits et tous les kill bits publiés précédemment dans les Bulletins MS08-023 (Mise à jour de sécurité concernant les kill bits ActiveX), MS08-032 (Mise à jour de sécurité cumulative pour les kill bits ActiveX), MS09-032, (Mise à jour de sécurité cumulative pour les kill bits ActiveX), MS09-055 (Mise à jour de sécurité cumulative pour les kill bits ActiveX), MS10-008 (Mise à jour de sécurité cumulative pour les kill bits ActiveX), MS10-034 (Mise à jour de sécurité cumulative pour les kill bits ActiveX), MS11-027 (Mise à jour de sécurité cumulative pour les kill bits ActiveX), MS11-090 (Mise à jour de sécurité cumulative pour les kill bits ActiveX), ainsi que les Avis intitulés « Ensemble de mises à jour pour les kill bits ActiveX », c'est-à-dire les Avis de sécurité Microsoft 953839, 956391, 960715, 969898, 2562937, 2647518 et 2695962.
Pourquoi Microsoft publie-t-il cet Ensemble de mises à jour pour les kill bits ActiveX dans un Avis de sécurité alors que les précédentes mises à jour de kill bits ont été publiées dans un Bulletin de sécurité ?
Microsoft publie cet Ensemble de mises à jour pour les kill bits ActiveX avec un Avis parce que ceux-ci ne concernent pas les logiciels Microsoft.
Qu'est-ce qu'un kill bit ?
Il existe une fonctionnalité de sécurité dans Microsoft Internet Explorer qui empêche un contrôle ActiveX d'être chargé par le moteur de rendu HTML d'Internet Explorer. Cette action est effectuée par la création d'un paramètre de Registre ; elle est appelée « définition du kill bit ». Une fois le kill bit défini, il est impossible de charger le contrôle concerné, même lorsqu'il est complètement installé. La définition du kill bit garantit que même si un composant vulnérable est introduit ou réintroduit dans un système, il reste inerte et inoffensif.
Pour plus d'informations sur les kill bits, consultez l'Article 240797 de la Base de connaissances de Microsoft. Comment faire pour empêcher l'exécution d'un contrôle ActiveX dans Internet Explorer.
Pourquoi cette mise à jour ne contient-elle pas de fichiers binaires ?
Cette mise à jour apporte des modifications au Registre uniquement, afin d'empêcher que les contrôles ne soient instanciés dans Internet Explorer.
Dois-je installer cette mise à jour si le composant affecté n'est pas installé sur mon système ou si je n'utilise pas la plate-forme concernée ?
Oui. L'installation de cette mise à jour empêchera les contrôles vulnérables de s'exécuter dans Internet Explorer.
Cette mise à jour contient-elle des kill bits non spécifiques à Microsoft ?
Oui. Des sociétés ont demandé à Microsoft de définir le kill bit des contrôles qu'elles possèdent et qui se sont avérés vulnérables. Consultez la sous-section « Kill bits tiers », dans la section « Informations par vulnérabilité ».
Cette mise à jour contient-elle des kill bits qui ont été fournis précédemment via une mise à jour de sécurité pour Internet Explorer ?
Non, cette mise à jour ne contient aucun kill bit fourni précédemment via une mise à jour de sécurité pour Internet Explorer. Nous vous recommandons d'installer la dernière mise à jour de sécurité cumulative pour Internet Explorer.
Pourquoi cet Avis ne possède-t-il pas d'indice de gravité associé ?
Cette mise à jour contient de nouveaux kill bits pour des contrôles tiers. Microsoft ne détermine pas d'indice de gravité pour des contrôles tiers vulnérables.
Actions suggérées
Consultez l'Article de la Base de connaissances Microsoft relatif à cet Avis.
Microsoft encourage ses clients à installer cette mise à jour. Les clients souhaitant en savoir plus sur cette mise à jour peuvent consulter l'Article 2736233 de la Base de connaissances Microsoft.
Solutions de contournement
Une solution de contournement fait référence à une modification de paramètre ou de configuration qui pourrait contribuer au blocage des vecteurs d'attaque connus avant l'application de la mise à jour.
- Empêcher les objets COM de s'exécuter dans Internet Explorer
Vous pouvez empêcher les tentatives d'exécution d'objets COM dans Internet Explorer en définissant le kill bit relatif au contrôle dans le Registre.
Avertissement : Si vous n'utilisez pas correctement l'Éditeur du Registre, vous risquez de créer de sérieux problèmes et d'avoir à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir qu'il soit possible de résoudre des problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre. L'utilisation de l'Éditeur du Registre relève de votre responsabilité.
Pour définir le kill bit des identificateurs de classe CLSID de valeur {705ec6d4-b138-4079-a307-ef13e4889a82}, {f8fc1530-0608-11df-2008-0800200c9a66}, {e34f52fe-7769-46ce-8f8b-5e8abad2e9fc}, {55963676-2f5e-4baf-ac28-cf26aa587566} et {cc679cb8-dc4b-458b-b817-d447b3b6ac31}, collez le texte suivant dans un éditeur de texte tel que le Bloc-notes. Puis, enregistrez ensuite le fichier avec l'extension .reg.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{705ec6d4-b138-4079-a307-ef13e4889a82}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{f8fc1530-0608-11df-2008-0800200c9a66}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{e34f52fe-7769-46ce-8f8b-5e8abad2e9fc}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{55963676-2f5e-4baf-ac28-cf26aa587566}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{cc679cb8-dc4b-458b-b817-d447b3b6ac31}]
"Compatibility Flags"=dword:00000400Vous pouvez double-cliquer sur ce fichier .reg pour l'appliquer à des systèmes individuels. Vous pouvez également l'appliquer dans plusieurs domaines à l'aide de la Stratégie de groupe. Pour plus d'informations à propos de la Stratégie de groupe, consultez l'article TechNet consacré à la collection Stratégie de groupe.
Remarque : Vous devez redémarrer Internet Explorer pour que vos changements prennent effet.
Impact de cette solution de contournement. Aucun impact, tant que l'objet n'a pas été conçu pour être utilisé dans Internet Explorer
Comment annuler cette solution de contournement. Supprimez les clés de Registre ajoutées auparavant pour implémenter cette solution de contournement.
Kill bits tiers
Cette mise à jour comprend des kill bits permettant d'empêcher l'exécution des contrôles ActiveX suivants dans Internet Explorer :
- Cisco Secure Desktop. Les identificateurs de classe suivants sont liés à une demande émise par Cisco visant à définir un kill bit pour un contrôle ActiveX vulnérable. Pour plus d'informations quant aux problèmes de sécurité dans le contrôle ActiveX de Cisco Secure Desktop, veuillez consulter l'avis de sécurité de Cisco consacré aux vulnérabilités présentes dans Cisco AnyConnect Secure Mobility Client (en anglais). Les identificateurs de classe (CLSID) de ce contrôle ActiveX sont les suivants :
- {705ec6d4-b138-4079-a307-ef13e4889a82}
- {f8fc1530-0608-11df-2008-0800200c9a66}
- {e34f52fe-7769-46ce-8f8b-5e8abad2e9fc}
- Cisco Hostscan. Les identificateurs de classe suivants sont liés à une demande émise par Cisco visant à définir un kill bit pour un contrôle ActiveX vulnérable. Pour plus d'informations quant aux problèmes de sécurité dans le contrôle ActiveX de Cisco Hostscan, veuillez consulter l'avis de sécurité de Cisco consacré aux vulnérabilités présentes dans Cisco AnyConnect Secure Mobility Client (en anglais). Les identificateurs de classe (CLSID) de ce contrôle ActiveX sont les suivants :
- {f8fc1530-0608-11df-2008-0800200c9a66}
- {e34f52fe-7769-46ce-8f8b-5e8abad2e9fc}
- Cisco AnyConnect Secure Mobility Client. Les identificateurs de classe suivants sont liés à une demande émise par Cisco visant à définir un kill bit pour un contrôle ActiveX vulnérable. Pour plus d'informations quant aux problèmes de sécurité dans le contrôle ActiveX de Cisco AnyConnect Secure Mobility Client, veuillez consulter l'avis de sécurité de Cisco consacré aux vulnérabilités présentes dans Cisco AnyConnect Secure Mobility Client (en anglais). Les identificateurs de classe (CLSID) de ce contrôle ActiveX sont les suivants :
- {55963676-2f5e-4baf-ac28-cf26aa587566}
- {cc679cb8-dc4b-458b-b817-d447b3b6ac31}
Autres informations
Microsoft Active Protections Program (MAPP)
Pour améliorer la protection de ses clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque mise à jour de sécurité mensuelle. Les fournisseurs de logiciels de sécurité peuvent ainsi utiliser ces informations pour fournir des protections mises à jour à leurs clients via leurs logiciels ou périphériques de sécurité, tels que les antivirus et les systèmes de détection ou de prévention d'intrusion basés sur le réseau ou sur les hôtes. Pour déterminer si des protections actives sont disponibles, visitez les sites Web des partenaires fournisseurs de logiciels de sécurité, répertoriés sur la page Microsoft Active Protections Program (MAPP) Partners (en anglais).
Commentaires
- Vous pouvez nous envoyer des commentaires par l'intermédiaire du formulaire figurant sur le site Web Aide et Support Microsoft : Customer Service Contact Us (en anglais).
Support technique
- En cas de problème, contactez les services de support sécurité Microsoft. Pour plus d'informations, consultez lesite Web Aide et Support Microsoft.
- Nos clients internationaux peuvent joindre le Support technique de leur filiale Microsoft locale. Pour plus d'informations, consultez le site de Support international.
- TechNet sécurité fournit des informations complémentaires sur la sécurité dans les produits Microsoft.
Dédit de responsabilité
Les informations contenues dans cet Avis sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie, expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.
Révisions
- V1.0 (11 septembre 2012) : Avis publié.