Bulletin de sécurité Microsoft MS04-018

Synthèse :

Cette mise à jour corrige une vulnérabilité déjà publiée. Il existe dans Outlook Express une vulnérabilité de déni de service due à une vérification insuffisante des en-têtes incorrects de messages électroniques. Cette vulnérabilité est décrite en détail dans la section Précisions sur la vulnérabilité, plus loin dans ce bulletin. La présente mise à jour modifie également les paramètres de sécurité par défaut de Outlook Express 5.5 Service Pack 2 (SP2). Cette modification est détaillée dans la section Questions fréquentes sur cette mise à jour de sécurité, plus loin dans ce bulletin.

Si un utilisateur exécutant Outlook Express reçoit un message électronique spécialement conçu, Outlook Express échouera. Si le volet de visualisation est activé, l’utilisateur devra supprimer le message manuellement, puis redémarrer Outlook Express pour restaurer ses fonctionnalités.

Microsoft recommande à ses clients d’envisager d’appliquer cette mise à jour.

Indices de gravité et identificateurs de vulnérabilité :

Cette évaluation se fonde sur les types de systèmes concernés par cette vulnérabilité, leurs schémas de déploiement classiques et l’impact que l’exploitation de la vulnérabilité aurait sur ces systèmes.

Quelles mises à jour ce correctif remplace-t-il ?
Cette mise à jour cumulative inclut les fonctionnalités de toutes les mises à jour précédemment publiées pour Outlook Express 5.5 et Outlook Express 6. L’ID du bulletin de sécurité et les systèmes d’exploitation concernés par la mise à jour précédente d’Outlook Express sont indiqués dans le tableau ci-dessous.

Cette mise à jour comporte-t-elle d'autres modifications affectant les fonctionnalités ?
Oui. Outre le changement indiqué dans la section Précisions sur la vulnérabilité de ce bulletin, cette mise à jour apporte aux fonctionnalités les modifications suivantes :

• Elle configure Outlook Express 5.5 SP2 pour qu’il ouvre les messages HTML dans la zone Sites sensibles.
• Elle corrige un comportement introduit dans le bulletin MS03-014, selon lequel Outlook Express 6 SP1 et versions ultérieures créent une copie du Carnet d’adresses Windows dans un emplacement prévisible, avec le nom de fichier “~”. Après installation de cette mise à jour, Outlook Express ne créera plus cette copie du Carnet d’adresses Windows dans un emplacement prévisible.

Comment la phase d'extension du Support technique pour Windows 98, Windows 98 Deuxième Édition et Windows Millennium Edition affecte-t-elle la publication de mises à jour de sécurité pour ces systèmes d'exploitation ?
Microsoft ne publiera de mises à jour de sécurité que pour des problèmes de sécurité critiques. Les problèmes de sécurité non critiques ne seront pas traités durant cette phase de Support. Pour plus d'informations sur la politique de support Microsoft pour ces systèmes d'exploitation, consultez ce site Web.

Pour plus d'informations sur les indices de gravité, visitez ce site Web.

Windows 98, Windows 98 Deuxième Édition ou Windows Millennium Edition sont-ils affectés de manière critique par certaines des vulnérabilités corrigées dans le présent bulletin de sécurité ?
Non. Aucune de ces vulnérabilités n’est au niveau de gravité critique pour Windows 98, Windows 98 Deuxième Édition ou Windows Millennium Edition.

J’utilise encore Microsoft Windows NT 4.0 Workstation Service Pack 6a ou Windows 2000 Service Pack 2, mais la phase d’extension du Support pour les mises à jour de sécurité a pris fin le 30 juin 2004. Pourtant, ce bulletin offre une mise à jour de sécurité pour ces versions de système d’exploitation. Pourquoi ?
Windows NT 4.0 Workstation Service Pack 6a et Windows 2000 Service Pack 2 sont parvenus en fin de vie comme nous l’avons déjà annoncé, et Microsoft a prolongé le Support jusqu’au 30 juin 2004. Cependant, la fin de la période d’extension de Support est intervenue très récemment. Dans le cas présent, la majorité des mesures nécessaires pour corriger cette vulnérabilité étaient prêtes avant le 30 juin 2004. C’est pourquoi nous avons décidé de publier des mises à jour de sécurité pour ces versions du système d’exploitation dans le cadre de ce bulletin de sécurité. Nous ne prévoyons pas de le faire pour de futures vulnérabilités affectant ces versions, mais nous nous réservons le droit de produire des mises à jour et de les proposer si nécessaire.

Nos clients qui travaillent sur ces versions de système d’exploitation doivent considérer comme une priorité leur migration vers des versions bénéficiant du support Microsoft, afin de prévenir les risques de futures vulnérabilités. Pour plus d'informations sur le cycle de vie des produits Windows, visitez le site Web Politique de support Microsoft. Pour plus d'informations sur la période d'extension de Support des mises à jour de sécurité pour ces versions de systèmes d'exploitation, consultez le site Web Microsoft Product Support Services.

Nos clients qui auraient besoin d’un support supplémentaire pour Windows NT Workstation 4.0 SP6a doivent prendre contact avec leur responsable de compte Microsoft, leur responsable de compte technique ou le partenaire Microsoft approprié pour connaître les options de support personnalisé.

Pour plus d'informations, consultez les Questions fréquentes sur le système d'exploitation Windows.

Je viens d’analyser mon système à l’aide de Microsoft MBSA (Microsoft Baseline Security Analyzer) ; il ne m’a pas signalé que je devais installer cette mise à jour. Suis-je exposé à ce risque ?
Actuellement, MBSA ne recherche pas si les mises à jour de sécurité Outlook Express sont bien installées. Cependant, Windows Update détecte si cette mise à jour est nécessaire et l'installe. Pour plus d’informations sur MBSA et les produits qu’il analyse actuellement, consultez ce site Web Microsoft.

Puis-je utiliser SMS (Systems Management Server) pour déterminer si cette mise à jour est nécessaire ?
Non. SMS utilise MBSA pour la détection, et la présente mise à jour n’est pas détectée par MBSA. Cependant, les informations de clés de registre données dans le présent bulletin peuvent aussi être utilisées pour bâtir des requêtes de collection de clés de registre et de fichiers spécifiques dans SMS, afin de détecter les ordinateurs vulnérables. Pour plus d'informations sur la façon de déployer des mises à jour non prises en charge par MBSA avec SMS, consultez l'article 867832 de la Base de connaissances.

Conditions requises

Microsoft a testé les versions de Windows et d’Outlook Express citées dans ce bulletin afin d’évaluer si elles sont affectées par cette vulnérabilité et de s’assurer que la mise à jour décrite dans ce bulletin corrige bien cette vulnérabilité.

Pour installer les versions Outlook Express 6 Service Pack 1 (SP1) de cette mise à jour, vous devez exécuter Internet Explorer 6 SP1 (version 6.00.2800.1106) sur une des versions suivantes de Windows :

• Microsoft Windows NT Workstation 4.0 Service Pack 6a
• Microsoft Windows NT Server 4.0 Service Pack 6a
• Microsoft Windows NT Server 4.0 Édition Terminal Server Service Pack 6
• Microsoft Windows 2000 Service Pack 2, Service Pack 3 ou Service Pack 4
• Microsoft Windows XP
• Microsoft Windows XP Service Pack 1
• Microsoft Windows XP Édition 64 bits Service Pack 1

Pour installer les versions Outlook Express 6 pour Windows Server 2003 de cette mise à jour, vous devez exécuter Internet Explorer 6 (version 6.00.3790.0000) sur Windows Server 2003 (32 bits ou 64 bits) ou Internet Explorer 6 (version 6.00.3790.0000) sur Windows XP Édition 64 bits Version 2003.

Pour installer la version Outlook Express 6 de cette mise à jour, vous devez exécuter Internet Explorer 6 (version 6.00.2600.0000) sur une version 32 bits de Windows XP.

• Internet Explorer 5.01 Service Pack 4 (version 5.00.3700.1000) sur Windows 2000 SP4
• Internet Explorer 5.01 Service Pack 3 (version 5.00.3502.1000) sur Windows 2000 SP3
• Internet Explorer 5.5 Service Pack 2 (version 5.50.4807.2300) sur Windows Millennium Edition

Les versions de Windows, d’Outlook Express et d’Internet Explorer qui ne sont pas citées dans cet article ne sont plus prises en charge. Vous pouvez installer certains packages de mise à jour décrits dans cet article sur des versions de Windows et d’Outlook Express qui ne sont plus prises en charge, mais Microsoft n’a pas testé si elles étaient affectées par cette vulnérabilité, ni si la présente mise à jour corrige la vulnérabilité. Nous vous recommandons d’effectuer une mise à niveau vers une version de Windows et d’Outlook Express prise en charge, puis d’appliquer la mise à jour.

Nécessité de redémarrer

Dans certains cas, cette mise à jour ne nécessite pas le redémarrage de l’ordinateur. Le programme d'installation arrête les services requis, applique la mise à jour, puis redémarre les services. Toutefois, si les services requis ne peuvent pas être arrêtés pour quelque raison que ce soit ou si les fichiers requis sont en cours d'utilisation, cette mise à jour nécessitera un redémarrage. Dans ce cas, un message s'affiche pour vous demander de redémarrer.

Les versions Windows Server 2003 de cette mise à jour de sécurité (y compris Windows XP Édition 64 bits, version 2003) prennent en charge les commutateurs suivants du programme d’installation :

/help                 Affiche les options de ligne de commande

Modes d’installation

/quiet              Mode silencieux (aucune intervention de la part de l’utilisateur ni d'affichage)

/passive            Mode automatique (barre de progression uniquement)

      /uninstall          Désinstalle le package

Options de redémarrage

/norestart          Ne redémarre pas l’ordinateur une fois l’installation terminée

/forcerestart     Redémarre l’ordinateur après l'installation

Options spéciales

/l                       Répertorie les correctifs ou les packages de mise à jour Windows installés

/o                       Écrase les fichiers OEM sans message d’invite

/n                       Ne crée pas de copie de sauvegarde des fichiers nécessaires à la désinstallation

/f                       Force les autres programmes à se fermer lorsque l’ordinateur s’arrête

Remarque : Vous pouvez associer ces commutateurs dans une seule ligne de commande. Pour des raisons de compatibilité ascendante, la mise à jour de sécurité prend en charge les commutateurs des versions précédentes du programme d’installation. Pour plus d'informations sur les commutateurs d'installation pris en charge, consultez l'article 262841 de la Base de connaissances Microsoft sur les commutateurs d'installation pris en charge.

Informations de déploiement

Pour installer cette mise à jour de sécurité sur Windows Server 2003 sans intervention de l’utilisateur, utilisez la commande suivante à une invite de commande :

windowsserver2003-kb823353-x86-enu.exe /quiet /passive

Pour installer la mise à jour de sécurité sur Windows Server 2003 sans forcer le redémarrage du système, utilisez la commande suivante à l’invite de commande :

windowsserver2003-kb823353-x86-enu.exe /norestart

/q             Utilise le mode silencieux ou supprime les messages lorsque les fichiers sont en cours d’extraction.

/q:u          Utilise le mode silencieux utilisateur. Le mode silencieux utilisateur affiche quelques boîtes de dialogue.

/q:a          Utilise le mode silencieux administrateur. Le mode silencieux administrateur n’affiche aucune boîte de dialogue.

/t: chemin:    Indique l’emplacement du dossier temporaire utilisé par le programme d’installation ou le dossier dans lequel les fichiers sont extraits (avec le commutateur /c).

/c:            Extrait les fichiers sans exécuter le programme d’installation. Si vous ne spécifiez pas le commutateur /t: chemin, le programme vous demande le nom du dossier cible.

/c: chemin     Indique le chemin d’accès et le nom du fichier d’installation .inf ou .exe.

/r:n            Ne redémarre jamais l’ordinateur après l’installation.

/r:i             Demande à l’utilisateur de redémarrer l’ordinateur si cela est requis, sauf lorsque ce commutateur est combiné avec le commutateur /q:a.

/r:a           Redémarre toujours l’ordinateur après l’installation.

/r:s           Redémarre l’ordinateur après l’installation sans le demander à l’utilisateur.

/n:v          Ne vérifie pas la version. Servez-vous de ce commutateur avec prudence lors de l’installation de la mise à jour sur une version quelconque d’Internet Explorer.

Pour plus d'informations sur les commutateurs d'installation pris en charge, consultez l'article 197147 de la Base de connaissances Microsoft.

Pour installer cette mise à jour de sécurité sans intervention de l’utilisateur, utilisez la commande suivante en remplaçant « nom_du_package » par le nom du fichier du package installé :

nom_du_package /q:a /r:n

Vérification de l’installation de la mise à jour

Vous pouvez vérifier quels fichiers ont été installés par cette mise à jour à l’aide d’une des méthodes suivantes :

• Vérifiez que Q823353 s'affiche dans le champ Nombre de mises à jour de la boîte de dialogue À propos de Internet Explorer. Vous ne pouvez pas utiliser cette méthode avec Windows Server 2003 ou Windows XP Édition 64 bits, version 2003 parce que le package ne modifie pas le champ Nombre de mises à jour avec ces versions de Windows.
• Comparez les versions des fichiers mis à jour sur votre ordinateur avec les fichiers listés dans la section Informations sur les fichiers de ce bulletin.
• Vérifiez l’existence des entrées de Registre suivantes :
  • Pour Windows Server 2003 et Windows XP Édition 64 bits Version 2003, vérifiez que la valeur DWORD Installed, de valeur 1, apparaît dans la clé de Registre suivante :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB823353

  • Pour toutes les autres versions de Windows, vérifiez que la valeur DWORD IsInstalled, de valeur 1, apparaît dans la clé de Registre suivante :HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{F5173CF0-1DFB-4978-8E50-A90169EE7CA9}

Informations de désinstallation

Pour supprimer cette mise à jour, utilisez l’outil Ajouter ou supprimer des programmes (Ajout/Suppression de programmes) dans le Panneau de configuration. Cliquez sur Outlook Express Q823353, puis sur Modifier/supprimer (ou cliquez sur Ajout/suppression).

Les administrateurs système peuvent aussi désinstaller cette mise à jour de sécurité avec l’outil Spuninst.exe sous Windows Server 2003 ou Windows XP Édition 64 bits, version 2003. Cet utilitaire se trouve dans le dossier %Windir%\$NTUninstallKB823353$\Spuninst. Cet utilitaire prend en charge les commutateurs suivants du programme d’installation :

/? : Affiche la liste des commutateurs d’installation

/u : Utilise le mode autonome

/f : Force les autres programmes à se fermer lorsque l’ordinateur s’arrête

/z : Ne redémarre pas une fois l’installation terminée

/q : Utilise le mode silencieux (aucune intervention de la part de l’utilisateur)

Les administrateurs système peuvent désinstaller cette mise à jour avec l’utilitaire Ieuninst.exe sur toutes les versions de Windows. Cette mise à jour de sécurité installe l’outil Ieuninst.exe dans le dossier %Windir%. Cet utilitaire prend en charge les commutateurs suivants du programme d’installation :

/? : Affiche la liste des commutateurs d’installation

/z : Ne redémarre pas une fois l’installation terminée

/q : Utilise le mode silencieux (aucune intervention de la part de l’utilisateur)

La commande suivante permet de désinstaller cette mise à jour en mode silencieux :

c:\windows\ieuninst /q c:\windows\inf\q823353.inf

Cette commande suppose que Windows est installé dans le dossier C:\Windows.

Informations sur les fichiers

La version anglaise de cette mise à jour de sécurité possède les attributs de fichiers (ou attributs plus récents) répertoriés dans le tableau ci-dessous. Les dates et heures de ces fichiers sont exprimées en temps universel coordonné (UTC). Lorsque vous affichez les informations des fichiers, les données sont converties en heure locale. Pour connaître le décalage entre l’heure UTC et l’heure locale, utilisez l’onglet Fuseau horaire de l’outil Date et heure du Panneau de configuration.

En raison des dépendances des fichiers, cette mise à jour peut comporter des fichiers supplémentaires. Pour obtenir des informations sur la mise à jour de sécurité spécifique à votre système d’exploitation, cliquez sur le lien approprié.