Bulletin de sécurité Microsoft MS12-057 - Important

Pourquoi ce Bulletin a-t-il été mis à jour le 11 décembre 2012 ?
Afin de corriger un problème concernant des certificats numériques spécifiques générés par Microsoft sans attributs d'horodatage corrects, Microsoft a réédité ce Bulletin pour remplacer les mises à jour KB2553260 et KB2589322 par les mises à jour KB2687501 et KB2687510 respectivement pour Microsoft Office 2010 Service Pack 1. Pour plus d'informations, consultez l'Avis de sécurité Microsoft 2749655.

J'ai déjà installé les mises à jour KB2553260 et KB2589322 d'origine. Dois-je appliquer les packages de mise à jour (KB2687501 et KB2687510 respectivement) réédités le 11 décembre 2012 ?
Oui. Bien que les clients ayant déjà installé les mises à jour d'origine n'aient pas besoin d'installer les mises à jour rééditées afin d'être protégés de la vulnérabilité décrite dans ce Bulletin, les mises à jour rééditées (KB2687501 et KB2687510) remplacent les mises à jour d'origine (KB2553260 et KB2589322 respectivement) avec une version de produit plus élevée du logiciel concerné.

Les mises à jour rééditées seront proposées aux clients ayant déjà appliqué les mises à jour d'origine. Les clients doivent appliquer toutes les mises à jour proposées pour la version du logiciel Microsoft Office en cours d'exécution sur leurs systèmes.

L'offre de mise à jour d'une version non concernée des logiciels Microsoft Office représente-elle un problème du mécanisme de mise à jour Microsoft ? 
Non. Le mécanisme de mise à jour fonctionne correctement ; en effet, il détecte la présence sur le système d'une version de produit du logiciel concerné qui se trouve dans la plage de versions de produit auxquelles s'applique la mise à jour, et propose par conséquent cette mise à jour.

Où se trouvent les informations sur les fichiers ? 
Reportez-vous aux tableaux de référence de la section « Déploiement de la mise à jour de sécurité » pour obtenir l'emplacement des informations sur les fichiers.

Où se trouvent les mots de passe hachés des mises à jour de sécurité ? 
Les mots de passe hachés SHA1 et SHA2 des mises à jour de sécurité peuvent être utilisés pour vérifier l'authenticité de packages de mise à jour de sécurité téléchargés. Pour obtenir les informations de hachage qui se rapportent à cette mise à jour, consultez l'Article 2731879 de la Base de connaissances Microsoft.

Pourquoi plusieurs packages de mise à jour sont-ils disponibles pour certains des logiciels concernés ? 
Les mises à jour requises pour corriger les vulnérabilités décrites dans ce Bulletin sont proposées dans différents packages de mise à jour comme indiqué dans le tableau « Logiciels concernés » en raison du modèle de service, basé sur des composants distincts, de Microsoft Office.

Plusieurs packages de mise à jour sont disponibles pour chaque logiciel Microsoft Office concerné. Dois-je installer toutes les mises à jour répertoriées dans le tableau « Logiciels concernés » pour le logiciel ? 
Oui. Les clients doivent appliquer toutes les mises à jour proposées pour les logiciels installés sur leurs systèmes.

Dois-je installer ces mises à jour de sécurité dans un ordre particulier ? 
Non. Plusieurs mises à jour pour une même version d'un logiciel Microsoft Office peuvent être appliquées dans n'importe quel ordre.

Cette mise à jour comporte-t-elle des modifications de sécurité affectant les fonctionnalités ? 
Oui. Outre les modifications indiquées dans la section « Informations par vulnérabilité » de ce Bulletin, cette mise à jour inclut des modifications de défense en profondeur pour Microsoft Office 2007 et Microsoft Office 2010. Ces modifications aident à veiller à ce que les applications Microsoft Office traitent correctement les fichiers graphiques WordPerfect (WPG).

Qu'est-ce que la défense en profondeur ? 
Dans le domaine de la sécurité des informations, la défense en profondeur implique la mise en place de plusieurs couches de défense afin d'empêcher les attaquants de compromettre la sécurité d'un réseau ou d'un système.

Je dispose d'une version non concernée du logiciel, pourquoi me propose-t-on cette mise à jour ? 
Certains logiciels non concernés, y compris le Pack de compatibilité Microsoft Office, Microsoft Word Viewer, Microsoft Excel Viewer et Microsoft PowerPoint Viewer, contiennent le composant partagé vulnérable de Microsoft Office, mais puisqu'ils n'ont pas accès au code vulnérable, ils ne sont pas concernés par cette vulnérabilité. Cependant, étant donné que le code vulnérable est présent, cette mise à jour sera proposée.

L'offre de mise à jour d'une version non concernée de Microsoft Office représente-elle un problème du mécanisme de mise à jour Microsoft ? 
Non, le mécanisme de mise à jour fonctionne correctement car il détecte sur le système une version des fichiers antérieure à celle du package de mise à jour et propose donc la mise à jour.

J'utilise une version antérieure du logiciel décrit dans ce Bulletin de sécurité. Que dois-je faire ? 
Microsoft a testé les logiciels répertoriés dans ce Bulletin afin de déterminer quelles versions sont concernées. Les autres versions ont atteint la fin de leurs cycles de vie. Pour plus d'informations sur le cycle de vie des produits, visitez le site Web Politique de Support Microsoft.

Les clients qui utilisent une version antérieure de ces logiciels doivent prioritairement passer à une version en cours de support, afin de prévenir leur exposition potentielle aux vulnérabilités. Consultez le site Web Politique de Support Microsoft afin de connaître les modalités de support de la version de votre logiciel. Pour plus d'informations à propos des Service Packs pour ces versions logicielles, consultez la page Politique de support relative aux Service Packs.

Les clients nécessitant un support supplémentaire pour des logiciels plus anciens doivent prendre contact avec leur responsable de compte Microsoft, leur responsable technique de compte ou le partenaire Microsoft approprié pour connaître les options de support personnalisé. Les clients ne bénéficiant pas d'un Contrat Alliance, Premier ou Authorized peuvent appeler leur agence commerciale locale Microsoft. Pour obtenir des informations de contact, visitez le site Web Microsoft Worldwide Information, sélectionnez le pays dans la liste Informations de contact, puis cliquez sur Go pour afficher une liste de numéros de téléphone. Lorsque vous appelez, demandez à parler au directeur commercial local de Support Premier. Pour plus d'informations, consultez le Forum aux questions sur la politique de support Microsoft.

Les indices de gravité suivants considèrent l'impact potentiel maximal de la vulnérabilité. Pour plus d'informations sur les risques dans les 30 jours suivant la publication d'un Bulletin concernant l'exploitabilité de la vulnérabilité par rapport à son indice de gravité et à son impact, consultez l'Indice d'exploitabilité dans la synthèse des Bulletins de sécurité d'août. Pour plus d'informations, consultez l'Indice d'exploitabilité Microsoft.

Il existe une vulnérabilité d'exécution de code à distance dans la façon dont Microsoft Office traite des fichiers graphiques CGM (Computer Graphics Metafile) spécialement conçus. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges.

Pour afficher cette vulnérabilité en tant qu'entrée standard dans la liste « Common Vulnerabilities and Exposures », consultez la référence CVE-2012-2524.

Protégez votre ordinateur

Gérez les mises à jour logicielles et de sécurité que vous avez besoin de déployer vers vos serveurs, ordinateurs de bureau et ordinateurs portables dans votre organisation. Pour plus d'informations, consultez le site TechNet Update Management Center. Le site Web Espace Sécurité TechNet fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.

Les mises à jour de sécurité sont disponibles sur Microsoft Update et Windows Update. Les mises à jour de sécurité sont également disponibles sur le Centre de téléchargement Microsoft. La méthode la plus simple est celle qui consiste à effectuer une recherche sur le mot-clé « security update ».

Pour les clients de Microsoft Office pour Mac, Microsoft AutoUpdate pour Mac peut vous aider à maintenir à jour votre logiciel Microsoft. Pour plus d'informations à propos de l'utilisation de Microsoft AutoUpdate pour Mac, consultez la Vérification automatique des mises à jour logicielles.

Enfin, les mises à jour de sécurité peuvent être téléchargées à partir du Catalogue Microsoft Update. Le Catalogue Microsoft Update permet de rechercher les contenus mis à disposition sur Windows Update et Microsoft Update, comme par exemple les mises à jour de sécurité, les pilotes de périphériques et les Service Packs. En utilisant le numéro de Bulletin comme critère de recherche (par exemple "MS12-001"), vous pouvez ajouter toutes les mises à jour concernées à votre panier (ainsi que plusieurs langues pour une même mise à jour) et les télécharger dans le dossier de votre choix. Pour plus d'informations sur le Catalogue Microsoft Update, consultez le Forum aux questions du Catalogue Microsoft Update.

Conseils sur la détection et le déploiement

Microsoft a mis à votre disposition des conseils sur la détection et le déploiement des mises à jour de sécurité. Ces conseils contiennent des recommandations et des informations susceptibles d'aider les professionnels de l'informatique à comprendre comment utiliser divers outils pour la détection et le déploiement de mises à jour de sécurité. Pour plus d'informations, consultez l'Article 961747 de la Base de connaissances Microsoft.

Microsoft Baseline Security Analyzer

Microsoft Baseline Security Analyzer (MBSA) permet aux administrateurs de rechercher les mises à jour manquantes et les erreurs de configuration de sécurité sur les systèmes locaux et distants. Pour plus d'informations, consultez le site Web Microsoft Baseline Security Analyzer.

Le tableau suivant fournit le résumé de détection MBSA pour cette mise à jour de sécurité.

Remarque : Pour les clients utilisant des logiciels d'ancienne génération non pris en charge par la dernière version de MBSA, Microsoft Update et Windows Server Update Services, consultez la page Microsoft Baseline Security Analyzer et lisez la section « Prise en charge des produits hérités » pour savoir comment créer une détection complète des mises à jour de sécurité avec des outils d'ancienne génération.

Windows Server Update Services

Windows Server Update Services (WSUS) permet à des administrateurs informatiques de déployer les dernières mises à jour de produit Microsoft sur les ordinateurs exécutant le système d'exploitation Windows. Pour plus d'informations sur le déploiement de ces mises à jour de sécurité avec Windows Server Update Services, consultez l'article TechNet Windows Server Update Services (en anglais).

Systems Management Server

Le tableau suivant présente les capacités de détection et de déploiement par SMS pour cette mise à jour de sécurité.

Remarque : Microsoft n'assure plus le support pour SMS 2.0 depuis le 12 avril 2011. Pour SMS 2003, Microsoft n'assure plus non plus le support pour l'Outil d'inventaire des mises à jour de sécurité (SUIT) depuis le 12 avril 2011. Les clients sont encouragés à procéder à une mise à niveau vers System Center Configuration Manager. Pour les clients qui restent sur SMS 2003 Service Pack 3, l'Outil d'Inventaire pour Microsoft Update (ITMU) est également une option.

SMS 2003 peut utiliser l'Outil d'inventaire SMS 2003 pour les mises à jour Microsoft (SMS 2003 Inventory Tool for Microsoft Updates - ITMU) afin de détecter les mises à jour de sécurité proposées par Microsoft Update et prises en charge par Windows Server Update Services. Pour plus d'informations concernant l'Outil d'inventaire SMS 2003 pour les mises à jour Microsoft (SMS 2003 Inventory Tool for Microsoft Updates - ITMU), veuillez consulter le site Web suivant. Pour plus d'informations à propos des outils d'analyse SMS, voir l'article consacré aux Outils d'analyse de SMS 2003 Software Update (en anglais). Consultez également les Téléchargements pour Systems Management Server 2003.

System Center Configuration Manager utilise WSUS 3.0 pour la détection des mises à jour. Pour plus d'informations, visitez le site consacré à System Center.

Pour plus d'informations, consultez l'Article 910723 de la Base de connaissances Microsoft : Synthèse des articles mensuels prodiguant des conseils sur la détection et le déploiement.

Remarque : Si vous avez utilisé un point d'installation administrative (AIP) pour déployer Office 2003, il se peut que vous ne puissiez pas déployer cette mise à jour à l'aide de SMS si vous avez mis à jour ce point d'installation administrative depuis la référence d'origine. Pour plus d'informations, reportez-vous au titre « Point d'installation administrative d'Office » de cette section.

Point d'installation administrative d'Office

Si vous avez installé votre application depuis un emplacement sur un serveur, l'administrateur du serveur doit mettre à jour cet emplacement avec la mise à jour administrative et déployer cette mise à jour sur votre système.

• Pour les versions de Microsoft Office 2003 en cours de support, voir « Création d'un point d'installation administrative ». Pour plus d'informations sur la manière de modifier la source pour un client depuis une installation administrative mise à jour vers une source de référence Office 2003 d'origine ou vers le Service Pack 3 (SP3), consultez l'Article 902349 de la Base de connaissances Microsoft.
  
  Remarque : Si vous prévoyez de gérer des mises à jour logicielles de façon centralisée à partir d'une image administrative mise à jour, des informations complémentaires sont disponibles dans l'article Distribution de mises à jour du produit Office 2003.
• Pour créer un point d'installation réseau pour les versions en cours de support de Microsoft Office, consultez « Création d'un point d'installation réseau pour Microsoft Office ».
  
  Remarque : Pour gérer les mises à jour de sécurité de façon centralisée, utilisez Windows Server Update Services. Pour plus d'informations sur la manière de déployer des mises à jour de sécurité pour Microsoft Office, consultez le site Web Windows Server Update Services.

Outils d'évaluation de la compatibilité des mises à jour et des applications

Les mises à jour écrivent souvent sur les mêmes fichiers et paramètres de Registre nécessaires à l'exécution de vos applications. Ceci peut déclencher des incompatibilités et augmenter le temps nécessaire au déploiement des mises à jour de sécurité. Vous pouvez rationaliser le test et la validation des mises à jour Windows par rapport aux applications installées avec les composants d'Évaluation de compatibilité des mises à jour fournis avec les Outils d'analyse de compatibilité des applications.

Les outils d'analyse de compatibilité des applications comprennent les outils et la documentation nécessaires pour évaluer et limiter les problèmes de compatibilité des applications avant le déploiement de Windows Vista, d'une mise à jour Windows, d'une mise à jour de sécurité Microsoft ou d'une nouvelle version de Windows Internet Explorer dans votre environnement.

Logiciels concernés

Pour obtenir des informations sur la mise à jour de sécurité spécifique aux Logiciels concernés, cliquez sur le lien approprié :