Launch Printer Friendly Page Security TechCenter > Bulletins de sécurité > Bulletin de sécurité Microsoft MS13-035

Bulletin de sécurité Microsoft MS13-035 - Important

Une vulnérabilité dans le composant de nettoyage HTML pourrait permettre une élévation de privilèges (2821818)

Paru le:

Version: 1.0

Informations générales

Synthèse

Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft Office. Cette vulnérabilité pourrait permettre une élévation de privilèges si un attaquant envoyait du contenu spécialement conçu à un utilisateur.

Cette mise à jour de sécurité est de niveau « important » pour les éditions en cours de support de Microsoft SharePoint Server 2010, Microsoft Groove Server 2010, Microsoft SharePoint Foundation 2010 et Microsoft Office Web Apps 2010. Pour plus d'informations, consultez la sous-section « Logiciels concernés et non concernés » plus loin dans ce Bulletin.

Cette mise à jour de sécurité corrige la vulnérabilité en modifiant la façon dont les chaînes HTML sont nettoyées. Pour plus d'informations sur la vulnérabilité, consultez la sous-section « Forum aux questions » dans la section Informations par vulnérabilité.

Recommandation. Les clients peuvent configurer les mises à jour automatiques pour que la disponibilité de mises à jour sur Microsoft Update soit vérifiée à l'aide du service Microsoft Update. Les clients ayant activé les mises à jour automatiques et configuré la vérification en ligne de la disponibilité de mises à jour sur Microsoft Update n'ont généralement pas besoin d'entreprendre de nouvelle action car cette mise à jour de sécurité sera téléchargée et installée automatiquement. Nos clients chez lesquels les mises à jour automatiques ne sont pas activées doivent rechercher les mises à jour sur Microsoft Update et les installer manuellement. Pour obtenir des informations à propos des options de configuration spécifiques des mises à jour automatiques dans les éditions en cours de support de Windows XP et Windows Server 2003, consultez l'Article 294871 de la Base de connaissances Microsoft. Pour obtenir des informations à propos des mises à jour automatiques dans les éditions en cours de support de Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2, consultez l'article « Présentation des mises à jour automatiques de Windows ».

Pour les administrateurs et les installations d'entreprise, ou bien pour les utilisateurs souhaitant installer cette mise à jour de sécurité manuellement, Microsoft recommande à ses clients d'appliquer cette mise à jour le plus rapidement possible à l'aide du logiciel de gestion des mises à jour ou en recherchant des mises à jour à l'aide du service Microsoft Update.

Consultez également la section « Outils de détection, de déploiement et Conseils » dans ce même Bulletin.

Article de la Base de connaissances

Article de la Base de connaissances2821818
Informations sur les fichiersOui
Mots de passe hachés SHA1/SHA2Oui
Problèmes connusOui

Logiciels concernés et non concernés

Microsoft a testé les logiciels suivants afin de déterminer quelles versions ou éditions sont concernées. Toute autre version ou édition a soit atteint la fin de son cycle de vie ou bien n'est pas affectée. Consultez le site Web Politique de Support Microsoft afin de connaître la politique de support Microsoft pour votre version ou édition.

Logiciels concernés

Microsoft Office  

LogicielsImpact de sécurité maximalIndice de gravité cumuléeMises à jour remplacées
Microsoft InfoPath 2010 Service Pack 1 (éditions 32 bits)
(2687422)
AucunAucun indice de gravité[1]2687436 dans le Bulletin MS12-066
Microsoft InfoPath 2010 Service Pack 1 (éditions 32 bits)
(2760406)
AucunAucun indice de gravité[1]2687417 dans le Bulletin MS12-066
Microsoft InfoPath 2010 Service Pack 1 (éditions 64 bits)
(2687422)
AucunAucun indice de gravité[1]2687436 dans le Bulletin MS12-066
Microsoft InfoPath 2010 Service Pack 1 (éditions 64 bits)
(2760406)
AucunAucun indice de gravité[1]2687417 dans le Bulletin MS12-066

[1]Les indices de gravité ne s'appliquent pas à cette mise à jour pour les logiciels indiqués car les vecteurs d'attaque connus pour cette vulnérabilité sont bloqués.

Logiciels serveurs Microsoft  

LogicielsComposantImpact de sécurité maximalIndice de gravité cumuléeMises à jour remplacées
Microsoft SharePoint Server
Microsoft SharePoint Server 2010 Service Pack 1Microsoft SharePoint Server 2010 Service Pack 1 (wosrv)[1]
(2687421)
Élévation de privilègesImportant2687435 dans le Bulletin MS12-066
Microsoft SharePoint Server 2010 Service Pack 1Microsoft SharePoint Server 2010 Service Pack 1 (coreserver)[1]
(2760408)
Élévation de privilègesImportant2589280 dans le Bulletin MS12-066
Microsoft Groove Server
Microsoft Groove Server 2010 Service Pack 1
(2687424)
Non concernéÉlévation de privilègesImportant2687402 dans le Bulletin MS12-066
Microsoft SharePoint Foundation
Microsoft SharePoint Foundation 2010 Service Pack 1
(2810059)
Non concernéÉlévation de privilègesImportant2687434 dans le Bulletin MS12-066

[1]Pour les éditions en cours de support de Microsoft SharePoint Server 2010, outre les packages de mise à jour de sécurité pour Microsoft SharePoint 2010 (2687421 et 2760408), les clients doivent également installer la mise à jour de sécurité pour Microsoft SharePoint Foundation 2010 (2810059) afin d'être protégés de la vulnérabilité décrite dans ce Bulletin.

Microsoft Office Web Apps  

LogicielsComposantImpact de sécurité maximalIndice de gravité cumuléeMises à jour remplacées
Microsoft Office Web Apps 2010 Service Pack 1
(2760777)
Non concernéÉlévation de privilègesImportant2687401 dans le Bulletin MS12-066

Logiciels non concernés  

Office et autres logiciels
Microsoft Groove 2007 Service Pack 2
Microsoft Groove 2007 Service Pack 3
Microsoft Groove Server 2007 Service Pack 2
Microsoft Groove Server 2007 Service Pack 3
Microsoft Groove Server 2013
Microsoft InfoPath 2003 Service Pack 3
Microsoft InfoPath 2007 Service Pack 2
Microsoft InfoPath 2007 Service Pack 3
Microsoft InfoPath 2013
Microsoft Speech Server 2004
Microsoft Speech Server 2004 R2
Microsoft Live Communications Server 2003
Microsoft Live Communications Server 2005 Service Pack 1
Microsoft SharePoint Server 2007 Service Pack 2 (éditions 32 bits)
Microsoft SharePoint Server 2007 Service Pack 3 (éditions 32 bits)
Microsoft SharePoint Server 2007 Service Pack 2 (éditions 64 bits)
Microsoft SharePoint Server 2007 Service Pack 3 (éditions 64 bits)
Microsoft SharePoint Server 2013
Microsoft SharePoint Foundation 2013
Microsoft SharePoint Portal Server 2003 Service Pack 3 (éditions 32 bits)
Microsoft SharePoint Portal Server 2003 Service Pack 3 (éditions 64 bits)
Microsoft Windows SharePoint Services 2.0 (éditions 32 bits)
Microsoft Windows SharePoint Services 2.0 (éditions 64 bits)
Microsoft Windows SharePoint Services 3.0 Service Pack 2 (version 32 bits)
Microsoft Windows SharePoint Services 3.0 Service Pack 2 (version 64 bits)
Microsoft Windows SharePoint Services 3.0 Service Pack 3 (version 32 bits)
Microsoft Windows SharePoint Services 3.0 Service Pack 3 (version 64 bits)
Microsoft SharePoint Workspace 2010 Service Pack 1 (éditions 32 bits)
Microsoft SharePoint Workspace 2010 Service Pack 1 (éditions 64 bits)
Microsoft SharePoint Workspace 2013 (éditions 32 bits)
Microsoft SharePoint Workspace 2013 (éditions 64 bits)

Forum aux questions concernant les mises à jour

Informations par vulnérabilité

Indices de gravité et identificateurs de vulnérabilité

Vulnérabilité liée au nettoyage HTML - CVE-2013-1289

Informations concernant la mise à jour

Outils de détection, de déploiement et Conseils

Déploiement de la mise à jour de sécurité

Autres informations

Remerciements

Microsoft remercie les organismes ci-dessous pour avoir contribué à la protection de ses clients :

  • Drew Hintz et Andrew Lyons de l'équipe Sécurité Google pour avoir signalé la vulnérabilité liée au nettoyage HTML (CVE-2013-1289).

Microsoft Active Protections Program (MAPP)

Pour améliorer la protection de ses clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque mise à jour de sécurité mensuelle. Les fournisseurs de logiciels de sécurité peuvent ainsi utiliser ces informations pour fournir des protections mises à jour à leurs clients via leurs logiciels ou périphériques de sécurité, tels que les antivirus et les systèmes de détection ou de prévention d'intrusion basés sur le réseau ou sur les hôtes. Pour déterminer si des protections actives sont disponibles, visitez les sites Web des partenaires fournisseurs de logiciels de sécurité, répertoriés sur la page Microsoft Active Protections Program (MAPP) Partners (en anglais).

Support technique

Comment obtenir de l'aide concernant cette mise à jour de sécurité

Dédit de responsabilité

Les informations contenues dans la Base de connaissances Microsoft sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie, expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.

Révisions

  • V1.0 (9 avril 2013) : Bulletin publié.