Avis de sécurité Microsoft (979352)

Microsoft a terminé l'enquête concernant cette vulnérabilité. Nous avons publié le Bulletin de sécurité MS10-002 pour résoudre ce problème. Pour plus d'informations à ce sujet, notamment en ce qui concerne les liens vers le téléchargement d'une mise à jour de sécurité, veuillez consulter le Bulletin de sécurité MS10-002. La vulnérabilité corrigée est la vulnérabilité de corruption de mémoire d'objet HTML - CVE-2010-0249.

• Vous pouvez nous envoyer des commentaires par l'intermédiaire du formulaire figurant sur le site Web Aide et Support Microsoft : Customer Service Contact Us (en anglais).

• En cas de problème, contactez les services de support sécurité Microsoft. Pour plus d'informations sur les options de support disponibles, consultez le site Web Aide et de support Microsoft.
• Nos clients internationaux peuvent joindre le Support technique de leur filiale Microsoft locale. Pour savoir comment contacter le Support Microsoft, consultez le site Web Support international.
• TechNet sécurité fournit des informations complémentaires sur la sécurité dans les produits Microsoft.

Les informations contenues dans cet Avis sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie, expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.

• V1.0 (14 janvier 2010) : Avis publié.
• V1.1 (15 janvier 2010) : Mise à jour de la Synthèse afin de refléter l'analyse concernant des attaques limitées et ciblées. Ajout d'informations sur la protection DEP (Data Execution Prevention) à la section « Facteurs atténuants ». Mise à jour du point « Comment suis-je protégé en configurant le paramètre de la zone de sécurité Internet sur la valeur « Élevé » ?» dans la section Forum aux questions.
• V1.2 (20 janvier 2010) : Mise à jour de la Synthèse afin de refléter la nature changeante d'attaques visant à exploiter cette vulnérabilité. Précision dans la section « Facteurs atténuants » concernant la protection DEP (Data Execution Prevention), Microsoft Outlook, Outlook Express et Windows Mail. Clarification de plusieurs entrées du Forum aux questions pour donner des informations plus détaillées sur cette vulnérabilité et les façons de limiter la possibilité d'exploitation. Ajout à la section « Solutions de contournement » des solutions « Activer ou désactiver les contrôles ActiveX dans Office 2007 » et « Ne pas ouvrir les fichiers reçus de manière inattendue ».
• V2.0 (21 janvier 2010) : Avis mis à jour afin d'indiquer la publication du Bulletin de sécurité.