Article
03/15/2024

Bulletin de sécurité

Bulletin de sécurité Microsoft MS04-028 - Critique

Le dépassement de mémoire tampon dans le traitement JPEG (GDI+) peut autoriser l’exécution du code (833987)

Publication : 14 septembre 2004 | Mise à jour : 14 décembre 2004

Version : 3.0

Émis : 14 septembre 2004
Mise à jour : 14 décembre 2004
Version : 3.0

Résumé

Qui devez lire ce document : Clients qui utilisent l’un des systèmes d’exploitation concernés, les programmes logiciels affectés ou les composants concernés.

Impact de la vulnérabilité : exécution de code à distance

Évaluation de gravité maximale : Critique

Recommandation : les clients doivent appliquer immédiatement la mise à jour.

Remplacement des mises à jour de sécurité : Aucun

Avertissements : si vous avez installé l’un des programmes affectés ou des composants affectés répertoriés dans ce bulletin, vous devez installer la mise à jour de sécurité requise pour chacun des programmes affectés ou composants affectés. Cela peut nécessiter l’installation de plusieurs mises à jour de sécurité. Pour plus d’informations, consultez la section FAQ de ce bulletin. L’article de la Base de connaissances Microsoft 833987 documente les problèmes actuellement connus rencontrés par les clients lors de l’installation de cette mise à jour de sécurité. L’article documente également les solutions recommandées pour ces problèmes. Pour plus d’informations, consultez l’article de la Base de connaissances Microsoft 833987 ou la section FAQ de ce bulletin de sécurité.

Emplacements de téléchargement des mises à jour logicielles et des mises à jour de sécurité testés :

Logiciels affectés :

Microsoft Windows XP et Microsoft Windows XP Service Pack 1 - Télécharger la mise à jour (Ko 833987)
Microsoft Windows XP 64 Bits Edition Service Pack 1 - Télécharger la mise à jour (Ko 833987)
Microsoft Windows XP version 64 bits version 2003 - Télécharger la mise à jour (Ko 833987)
Microsoft Windows Server™ 2003 - Télécharger la mise à jour (Ko 833987)
Microsoft Windows Server 2003 64 bits Edition - Télécharger la mise à jour (Ko 833987)
Microsoft Bureau XP Service Pack 3 - Télécharger la mise à jour (Ko 832332)

Microsoft Bureau XP Service Pack 2 - Télécharger la mise à jour administrative (Ko 832332)

Microsoft Bureau XP Software :
- Outlook® 2002
- Word 2002
- Excel 2002
- PowerPoint® 2002
- FrontPage® 2002
- Publisher 2002
- Access 2002
Microsoft Bureau 2003 - Télécharger la mise à jour (Ko 838905)

Microsoft Bureau 2003 Software :
- Outlook® 2003
- Word 2003
- Excel 2003
- PowerPoint® 2003
- FrontPage® 2003
- Publisher 2003
- Access 2003
- InfoPath™ 2003
- OneNote™ 2003
Microsoft Project 2002 (toutes les versions) et Microsoft Project 2002 Service Pack 1 (toutes les versions) - Télécharger la mise à jour (Ko 831931)
Microsoft Project 2003 (toutes les versions) - Télécharger la mise à jour (Ko 838344)
Microsoft Visio 2002 Service Pack 1 (toutes les versions) et Microsoft Visio 2002 Service Pack 2 (toutes les versions) - Télécharger la mise à jour (Ko 831932)
Microsoft Visio 2003 (toutes les versions) - Télécharger la mise à jour (Ko 838345)
Microsoft Visual Studio .NET 2002 - Télécharger la mise à jour (Ko 830348)

Logiciel Microsoft Visual Studio .NET 2002 :
- Visual Basic .NET Standard 2002
- Visual C# .NET Standard 2002
- Visual C++ .NET Standard 2002
Microsoft Visual Studio .NET 2003 - Télécharger la mise à jour (Ko 830348)

Logiciel Microsoft Visual Studio .NET 2003 :
- Visual Basic .NET Standard 2003
- Visual C# .NET Standard 2003
- Visual C++ .NET Standard 2003
- Visual J# .NET Standard 2003
Microsoft Visual FoxPro 8.0 - Télécharger la mise à jour (Ko 887684)
Bibliothèque runtime Microsoft Visual FoxPro 8.0 - Télécharger la mise à jour (Ko 887685)
Kit de développement logiciel (SDK) Microsoft .NET Framework version 1.0 Service Pack 2 - Télécharger la mise à jour (Ko 830348) ou télécharger microsoft .NET Framework version 1.0 Service Pack 3 (Ko 867461)
Microsoft Picture It ! ® 2002 (toutes les versions) - Télécharger la mise à jour
Microsoft Greetings 2002 - Télécharger la mise à jour
Microsoft Picture It ! version 7.0 (toutes les versions) - Télécharger la mise à jour
Microsoft Digital Image Pro version 7.0 - Télécharger la mise à jour
Microsoft Picture It ! version 9 (toutes les versions, y compris Picture It ! Library) - Télécharger la mise à jour
Microsoft Digital Image Pro version 9 - Télécharger la mise à jour
Microsoft Digital Image Suite version 9 - Télécharger la mise à jour
Microsoft Producer for Microsoft Bureau PowerPoint (toutes les versions) - Télécharger la mise à jour
Redistribuable du Kit de développement logiciel (SDK) de plateforme Microsoft : GDI+ - Télécharger la mise à jour

Bureau Note des utilisateurs Bureau XP Service Pack 2 et Bureau XP Service Pack 3 sont tous deux vulnérables à ce problème. Toutefois, la mise à jour de sécurité pour Bureau XP Service Pack 2 est fournie uniquement dans le cadre de la mise à jour de sécurité administrative Bureau XP. Pour plus d’informations, consultez la section Informations sur les mises à jour de sécurité. Bureau 2003 Service Pack 1, Visio 2003 Service Pack 1 et Project 2003 Service Pack 1 contiennent une version mise à jour du composant concerné et ne sont pas affectés. Les clients qui ont installé ces Service Packs n’ont pas besoin d’installer les mises à jour de sécurité disponibles pour ces produits. Nous recommandons aux clients qui utilisent visio 2002 Viewer, Visio 2003 Viewer ou PowerPoint 2003 Viewer de lire les FAQ suivantes pour plus d’informations sur ces programmes.

MSN 9 Users Note MSN 9 distribue image it ! Express version 9 et Picture It ! Bibliothèque. Vous avez la possibilité d’installer ces programmes lorsque vous installez MSN 9. Vous devez installer Picture It ! Mise à jour de la version 9 uniquement si vous avez installé Picture It ! Express version 9 ou Picture It ! Bibliothèque lorsque vous avez installé MSN 9.

Composants affectés :

Internet Explorer 6 Service Pack 1 - Télécharger la mise à jour (Ko 833989)
Microsoft .NET Framework version 1.0 Service Pack 2 - Télécharger la mise à jour (Ko 830348) ou télécharger Microsoft .NET Framework version 1.0 Service Pack 3 (Ko 867461)
Microsoft .NET Framework version 1.1 - Télécharger la mise à jour (Ko 830348) ou télécharger microsoft .NET Framework version 1.1 Service Pack 1 (Ko 867460)
Visionneuse de journaux Windows - Télécharger la mise à jour (Ko 886179)

Logiciels non affectés

Microsoft Windows NT Server 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
Microsoft Windows 2000 Service Pack 3 et Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 2
Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) et Microsoft Windows Millennium Edition (Me)
Microsoft Bureau 2003 Service Pack 1
Microsoft Bureau 2000
Microsoft Visio 2003 Service Pack 1
Microsoft Visio 2000
Microsoft Project 2003 Service Pack 1
Microsoft Project 2000
Microsoft Digital Image Suite 10, Microsoft Digital Image Pro 10, Picture It ! Premium 10
Kit de développement logiciel (SDK) Microsoft .NET Framework version 1.1
Microsoft Works (toutes les versions)
Microsoft Systems Management Server (toutes les versions)
Microsoft SQL Server Reporting Services
Mise en réseau à haut débit Microsoft

Composants non affectés :

Internet Explorer 5.01 Service Pack 3 sur Windows 2000 Service Pack 3
Internet Explorer 5.01 Service Pack 4 sur Windows 2000 Service Pack 4
Internet Explorer 5.5 Service Pack 2 sur Microsoft Windows Millennium Edition
Microsoft .NET Framework version 1.0 Service Pack 3
Microsoft .NET Framework version 1.1 Service Pack 1
Microsoft .NET Framework version 1.1 Service Pack 1 pour Windows Server 2003

Notez que les versions non affectées de Windows ne contiennent pas en mode natif le composant vulnérable. Toutefois, le composant vulnérable est installé sur ces systèmes d’exploitation non affectés lorsque vous installez l’un des programmes logiciels ou composants répertoriés dans les sections Logiciels affectés et Composants affectés de ce bulletin. Pour plus d’informations, consultez la section FAQ de ce bulletin.

Le logiciel de cette liste a été testé pour déterminer si les versions sont affectées. Les autres versions n’incluent plus la prise en charge des mises à jour de sécurité ou peuvent ne pas être affectées. Pour déterminer le cycle de vie de support de votre produit et de votre version, visitez le site web Support Microsoft cycle de vie suivant.

Informations générales

Résumé

Résumé:

Cette mise à jour résout une vulnérabilité récemment découverte et signalée en privé. Une vulnérabilité de dépassement de mémoire tampon existe dans le traitement des formats d’image JPEG qui pourraient permettre l’exécution de code distant sur un système affecté. La vulnérabilité est documentée dans ce bulletin dans sa propre section.

Si un utilisateur est connecté avec des privilèges d’administrateur, un attaquant qui a réussi à exploiter cette vulnérabilité peut prendre le contrôle complet d’un système affecté, y compris l’installation de programmes ; affichage, modification ou suppression de données ; ou création de comptes avec des privilèges complets. Les utilisateurs dont les comptes sont configurés pour avoir moins de privilèges sur le système seraient moins risqués que les utilisateurs qui opèrent avec des privilèges d’administration.

Microsoft recommande aux clients d’appliquer immédiatement la mise à jour.

Notations de gravité et identificateur de vulnérabilité :

Identificateur de vulnérabilité	Impact de la vulnérabilité	Outlook (versions 2002 et 2003)	Internet Explorer 6 Service Pack 1	Windows XP, Windows XP Service Pack 1, Windows Server 2003	.NET Framework 1.0, Service Pack 2, .NET Framework 1.1	Autres logiciels affectés et composants affectés répertoriés précédemment
Vulnérabilité JPEG - CAN-2004-0200	Exécution de code à distance	Critique	Critique	Critique	Critique	Important

Cette évaluation est basée sur les types de systèmes affectés par la vulnérabilité, leurs modèles de déploiement classiques et l’effet que l’exploitation de la vulnérabilité aurait sur eux.

Pourquoi ce bulletin de sécurité a-t-il été mis à jour le 14 décembre 2004 ?
Le bulletin a été mis à jour pour conseiller sur la disponibilité des mises à jour supplémentaires qui aident à résoudre cette vulnérabilité :

Les mises à jour de sécurité autonomes pour Microsoft .NET Framework version 1.0 Service Pack 2 et Microsoft .NET Framework version 1.1 sont désormais disponibles. En fonction des commentaires des clients, Microsoft a créé des mises à jour autonomes pour les clients qui n’ont pas encore déployé Microsoft .NET Framework 1.0 Service Pack 3 ou Microsoft .NET Framework 1.1 Service Pack 1. Toutefois, Microsoft recommande aux clients d’installer le dernier Service Pack afin de recevoir la protection contre cette vulnérabilité ainsi que d’autres problèmes liés à la sécurité. Les clients qui ont déjà installé Microsoft .NET Framework version 1.0 Service Pack 3 ou Microsoft .NET Framework version 1.1 Service Pack 1 n’ont pas besoin d’appliquer ces mises à jour de sécurité supplémentaires.
Les mises à jour de sécurité pour Microsoft Visual FoxPro 8.0 sont désormais disponibles. Les développeurs doivent utiliser la mise à jour de Microsoft Visual FoxPro 8.0 pour mettre à jour leur environnement de développement. Les développeurs distribuant des applications runtime personnalisées développées à l’aide de Microsoft Visual FoxPro 8.0 et incluant une copie du fichier gdiplus.dll vulnérable doivent évaluer la nécessité de déployer la mise à jour de sécurité pour la bibliothèque runtime Microsoft Visual FoxPro 8.0.
Windows Messenger 5.0 distribue une copie de la version vulnérable du fichier gdiplus.dll. Toutefois, il n’est pas vulnérable à des vecteurs d’attaque connus ou probables et n’est donc pas considéré comme vulnérable à ce problème. Toutefois, les clients qui s’inquiètent de la présence de ce fichier et des vecteurs d’attaque futurs qui peuvent être trouvés doivent être mis à niveau vers Windows Messenger 5.1. Windows Messenger 5.1 contient la dernière version du fichier gdiplus.dll et est la version recommandée de Windows Messenger. Windows Messenger 5.1 peut être téléchargé à partir du site web suivant .

L’outil d’analyse des mises à jour ms04-028 Enterprise Update a été mis à jour pour détecter et déployer les mises à jour de sécurité autonomes pour Microsoft .NET Framework version 1.0 Service Pack 2 et Microsoft .NET Framework version 1.1 ainsi que la mise à jour de sécurité Microsoft Visual FoxPro 8.0. La version existante de cet outil a pris en charge la détection et le déploiement de Microsoft .NET Framework version 1.0 Service Pack 3 et microsoft .NET Framework version 1.1 Service Pack 1. Maintenant que les mises à jour de sécurité autonomes sont disponibles, cet outil a été mis à jour pour utiliser les mises à jour autonomes au lieu des mises à jour service pack. Les clients qui préfèrent la prise en charge des mises à jour de Service Pack doivent continuer à utiliser la version existante de cet outil. Étant donné que Windows Messenger n’est pas considéré comme vulnérable à des vecteurs d’attaque connus ou probables, il n’a pas été inclus dans cette mise à jour. Pour plus d’informations sur l’outil d’analyse des mises à jour d’entreprise MS04-028, consultez l’article de la Base de connaissances Microsoft 886988.

Pourquoi ce bulletin de sécurité a-t-il été mis à jour le 12 octobre 2004 ?
L’article de la Base de connaissances Microsoft 833987 documente les problèmes actuellement connus rencontrés par les clients lors de l’installation de cette mise à jour de sécurité. L’article documente également les solutions recommandées pour ces problèmes. Pour plus d’informations, consultez l’article de la Base de connaissances Microsoft 833987

Après la publication du bulletin de sécurité MS04-028, Microsoft s’est rendu compte d’un problème affectant les clients qui déploient les mises à jour Bureau XP, Visio 2002 et Project 2002 sur les systèmes Windows XP Service Pack 2. Dans certains cas, ce problème entraînait l’installation correcte des mises à jour de sécurité, alors qu’elles ne l’ont pas fait. Il s’agit d’un problème avec le programme d’installation utilisé dans la mise à jour de sécurité. Pour plus d’informations techniques sur ce problème et les conditions spécifiques qui peuvent entraîner l’échec de l’installation, consultez l’article de la Base de connaissances Microsoft 885876.

Pour rappel, Windows XP Service Pack 2 contient déjà la mise à jour de sécurité qui traite la vulnérabilité dans le moteur d’analyse JPEG fourni par le système d’exploitation. Toutefois, les clients doivent toujours appliquer les mises à jour de sécurité pour Bureau XP, Visio 2002 et Project 2002 afin d’être protégés contre cette vulnérabilité lors de l’utilisation de ces applications.

Microsoft a examiné ce problème et a mis à disposition des mises à jour de sécurité révisées pour ces applications afin de s’assurer qu’elles s’installent correctement sur des systèmes Windows XP Service Pack 2. Ces mises à jour de sécurité révisées sont disponibles à partir de Bureau Update et du Centre de téléchargement Microsoft. Les clients qui n’ont pas encore appliqué la version d’origine de ces mises à jour doivent visiter Bureau Update pour recevoir les mises à jour révisées. Les clients d’entreprise qui n’ont pas encore appliqué la version d’origine de ces mises à jour doivent obtenir les mises à jour révisées à partir du Centre de téléchargement Microsoft à l’aide des liens de téléchargement fournis dans la section Logiciels affectés de ce bulletin de sécurité.

Pour les clients qui ont déjà appliqué les mises à jour d’origine Bureau XP, Visio 2002 et Project 2002 et qui utilisent Windows XP Service Pack 2, l’une des étapes suivantes corrige le problème et applique correctement la mise à jour :

Pour les clients qui ont activé la mise à jour automatique dans Windows XP Service Pack 2, Microsoft a fourni un package d’installation mis à jour via Windows Update qui corrigera le problème d’installation et installera les fichiers appropriés. Étant donné que Windows XP Service Pack 2 recommande et invite les clients à activer la mise à jour automatique, la plupart des utilisateurs de Windows XP Service Pack 2 n’auront pas besoin de prendre des mesures supplémentaires. Ce package d’installation mis à jour est documenté dans l’article 885884 de la Base de connaissances Microsoft.
Visitez Bureau Mise à jour pour obtenir les mises à jour révisées. Bureau mise à jour détecte la vulnérabilité sur le système et applique la mise à jour avec la version révisée du logiciel d’installation.
Les clients d’entreprise doivent obtenir les mises à jour de sécurité révisées du Centre de téléchargement Microsoft et redéployer ces mises à jour sur leurs clients exécutant Windows XP Service Pack 2.
Les clients peuvent utiliser la fonctionnalité « Détecter et réparer » dans les applications concernées. Ce processus installe correctement la version correcte des fichiers affectés nécessaires pour vous protéger contre la vulnérabilité. Pour plus d’informations sur l’utilisation manuelle de la fonctionnalité « Détecter et réparer », consultez l’article de la Base de connaissances Microsoft 821593

Microsoft a également identifié la visionneuse de journaux Windows comme affectée par cette vulnérabilité de sécurité et a publié une mise à jour pour les systèmes Windows 2000. Pour plus d’informations sur la mise à jour des systèmes Windows Journal Viewer pour Windows 2000, consultez les FAQ suivantes.

Dans le cadre de cette mise à jour, Microsoft a également publié l’outil d’analyse des mises à jour d’entreprise MS04-028. Pour plus d’informations, consultez le FAQ sur l’outil d’analyse des mises à jour d’entreprise MS04-028 dans ce bulletin de sécurité mis à jour.

Pourquoi Microsoft a-t-il publié une mise à jour pour la visionneuse de journaux Windows le 12 octobre 2004 ?
La visionneuse de journaux Windows permet aux utilisateurs qui n’ont pas de système exécutant Windows XP Tablet PC Edition d’afficher les fichiers créés dans le journal Windows sur un PC tablette. La visionneuse de journaux Windows est vulnérable à la vulnérabilité de sécurité abordée dans ce bulletin. Toutefois, lorsqu’elle est utilisée sur les systèmes Windows XP, la visionneuse de journaux Windows utilise la version fournie par le système d’exploitation du composant concerné. Lorsque la mise à jour du système d’exploitation Windows XP est appliquée sur les systèmes Windows XP et Windows XP Service Pack 1, la visionneuse de journaux Windows n’est plus vulnérable à ce problème. Windows XP Service Pack 2 n’est pas vulnérable à ce problème. Par conséquent, la visionneuse de journaux Windows lorsqu’elle est utilisée sur les systèmes Windows XP Service Pack 2 n’est pas vulnérable à ce problème. Nous avons maintenant publié une mise à jour de sécurité pour la visionneuse de journaux Windows qui aidera à protéger les systèmes Windows 2000 qui ont peut-être installé la visionneuse de journaux Windows.

Même si vous avez installé toutes les mises à jour de sécurité précédemment disponibles sur Windows 2000, si vous avez installé la visionneuse de journaux Windows, il est important que vous installiez également cette mise à jour de sécurité. Windows Update propose cette mise à jour uniquement aux systèmes Windows 2000 qui ont installé la visionneuse de journaux Windows. Si vous utilisez Windows XP ou que vous n’avez pas installé la visionneuse de journaux Windows sur Windows 2000, vous n’avez pas besoin de cette mise à jour de sécurité. Ce programme n’est pas pris en charge sur Windows Server 2003. Toutefois, s’il était installé sur Windows Server 2003, il utiliserait également la version du système d’exploitation du composant vulnérable. Si vous utilisez ce programme sur Windows Server 2003, veillez à installer la mise à jour de sécurité de Windows Server 2003.

Qu’est-ce que GDI+ ?
GDI+ est une interface d’appareil graphique qui fournit des graphiques vectoriels bidimensionnels, une imagerie et une typographie aux applications et programmeurs.

Pourquoi y a-t-il plusieurs programmes et composants affectés ?
Windows XP, Windows XP Service Pack 1 et Windows Server 2003 fournissent une version du système d’exploitation du composant vulnérable à ce problème. Les versions antérieures de Windows n’ont pas fourni de version de système d’exploitation de ce composant. Par conséquent, lorsque vous installez des programmes qui nécessitent cette fonctionnalité sur les versions antérieures de Windows, ce composant est généralement installé. En règle générale, lorsque ces programmes sont installés sur Windows XP, Windows XP Service Pack 1 ou Windows Server 2003, ils utilisent uniquement la version fournie par le système d’exploitation, même s’ils installent une copie du composant vulnérable.

Les exceptions à ce problème sont Bureau XP, Visio 2002, Project 2002, Bureau 2003, Visio 2003 et Project 2003. Pour vous assurer que les images JPEG sont traitées de manière cohérente sur tous les systèmes d’exploitation, ces programmes utilisent leur propre version du composant vulnérable. Cette version du composant vulnérable est installée sur tous les systèmes d’exploitation pris en charge par ces programmes. Si vous avez installé ces programmes, vous devez installer la mise à jour pour ces programmes. Vous devez également installer une mise à jour du système d’exploitation si vous utilisez Windows XP, Windows XP Service Pack 1 ou Windows Server 2003. Consultez également les questions fréquentes (FAQ) suivantes concernant les exceptions pour les développeurs d’applications et les applications tierces.

Si j’utilise Windows XP Service Pack 2 et que j’utilise l’un des logiciels concernés, que dois-je faire ?
Windows XP Service Pack 2 ne contient pas de version vulnérable du composant concerné. Toutefois, si vous avez installé l’une des applications Bureau, Visio ou Project affectées, vous devez installer les mises à jour de ces applications. Le moyen le plus simple de résoudre cette vulnérabilité consiste à installer les mises à jour fournies par Bureau Update. Si vous n’avez installé aucune des applications Bureau, Visio ou Project affectées, vous n’avez pas besoin d’installer d’autres mises à jour de sécurité, car les autres logiciels affectés et les composants affectés utilisent la version du système d’exploitation du composant vulnérable sur Windows XP Service Pack 2. Toutefois, consultez les questions fréquentes (FAQ) suivantes relatives aux exceptions pour les développeurs d’applications et les applications tierces. En outre, comme expliqué dans la faq précédente, il existe des cas où les versions d’origine des mises à jour de sécurité de Bureau, Visio et Project n’ont peut-être pas été installées correctement. Pour plus d’informations, consultez l’article de la Base de connaissances Microsoft 833987.

Si j’utilise Windows XP, Windows XP Service Pack 1 ou Windows Server 2003 et que j’utilise l’un des logiciels concernés, que dois-je faire ?
Si vous avez installé l’une des applications Bureau, Visio ou Project affectées, le moyen le plus simple de résoudre cette vulnérabilité consiste à installer les mises à jour fournies par Windows Update et Bureau Update. Si vous n’avez pas installé d’applications Bureau, Visio ou Project affectées, le moyen le plus simple de résoudre cette vulnérabilité consiste à installer les mises à jour fournies par Windows Update. Vous n’avez pas besoin d’installer d’autres mises à jour de sécurité, car les autres logiciels affectés et les composants affectés utilisent la version du système d’exploitation du composant sur Windows XP et Windows Server 2003. Toutefois, consultez les questions fréquentes (FAQ) suivantes relatives aux exceptions pour les développeurs d’applications et les applications tierces.

Si j’utilise Windows 98, Windows 98 Second Edition (SE), Windows Millennium Edition (Me), Windows NT 4.0 ou Windows 2000, que dois-je faire ?
Par défaut, ces systèmes d’exploitation ne fournissent pas en mode natif une version du composant vulnérable et ne sont pas affectés. Toutefois, le composant vulnérable est installé sur ces systèmes d’exploitation non affectés lorsque vous installez l’un des programmes logiciels ou composants répertoriés dans les sections Logiciels affectés et Composants affectés de ce bulletin.

Si vous avez installé l’un des programmes ou composants concernés, vous devez installer les mises à jour de sécurité requises pour ces programmes ou composants. Par exemple, si Internet Explorer 6 Service Pack 1 et Bureau XP sont installés sur votre système Windows 2000, vous devez installer la mise à jour de sécurité d’Internet Explorer 6 Service Pack 1 et la mise à jour de sécurité Bureau XP. Si vous n’avez installé aucun des programmes ou composants concernés, vous n’avez pas besoin d’installer de mises à jour de sécurité.

Si j’utilise des versions d’Internet Explorer antérieures à Internet Explorer 6 Service Pack 1, suis-je vulnérable à ce problème ?
Internet Explorer 5.01 Service Pack 3, Internet Explorer 5.01 Service Pack 4 sur Windows 2000 et Internet Explorer 5.5 Service Pack 2 sur Windows Me ont été testés et ne sont pas vulnérables.

Internet Explorer 6 est pris en charge uniquement lors de l’utilisation de Windows XP, Windows XP Service Pack 1 et Windows Server 2003. Internet Explorer 6 sur Windows XP, Windows XP Service Pack 1 et Windows Server 2003 utilise la version du système d’exploitation du composant vulnérable. Lorsque la mise à jour du système d’exploitation Windows XP, Windows XP Service Pack 1 et Windows Server 2003 est installée, Internet Explorer 6 n’est pas vulnérable. Windows XP Service Pack 2 inclut Internet Explorer 6 Service Pack 2 et n’est pas vulnérable à ce problème. Internet Explorer 6 n’est plus pris en charge sur d’autres systèmes d’exploitation et peut être vulnérable à ce problème sur ces systèmes d’exploitation. Les clients qui n’utilisent pas Windows XP, Windows XP Service Pack 1 ou Windows Server 2003 et qui utilisent des versions d’Internet Explorer 6 antérieures à Internet Explorer 6 Service Pack 1 doivent être mises à niveau vers Internet Explorer 6 Service Pack 1, puis installer la mise à jour de sécurité Internet Explorer 6 Service Pack 1 fournie dans ce bulletin de sécurité, ou effectuez une mise à niveau vers Windows XP Service Pack 2 pour les clients Windows XP. Pour installer Internet Explorer 6 Service Pack 1, visitez le site web suivant. Pour plus d’informations sur le cycle de vie de support d’Internet Explorer, visitez le site web Support Microsoft cycle de vie suivant.

Si j’utilise des applications tierces qui distribuent le fichier gdiplus.dll, puis-je toujours être vulnérable même après avoir installé toutes les mises à jour de sécurité Microsoft requises ?
Oui. Il existe des cas où vous pourriez être vulnérable à ce problème même après avoir installé la mise à jour du système d’exploitation requise et les mises à jour des programmes ou composants répertoriés dans les sections Logiciels affectés et Composants affectés de ce bulletin. Si le fichier Gdiplus.dll est installé sur votre système, vous devrez peut-être installer une mise à jour pour ce programme. Tous les programmes qui installent ce fichier ne sont pas vulnérables à ce problème, car il peut ne pas utiliser le fichier Gdiplus.dll pour traiter les images JPEG. Même lorsque l’application tierce utilise le fichier Gdiplus.dll pour traiter les images JPEG, cela peut ne pas le faire d’une manière vulnérable. Par exemple, si une application ne permet pas aux utilisateurs de fournir des images pour le traitement ou d’effectuer une validation supplémentaire sur les images avant le traitement, il peut ne pas être vulnérable. Toutefois, seul le fabricant de ce programme peut faire cette détermination. Cela peut inclure, mais n’est pas limité aux applications tierces qui ont été développées à l’aide de Visual Studio .NET 2002, Visual Studio .NET 2003 ou du Kit de développement logiciel (SDK) Microsoft .NET Framework 1.0 Service Pack 2. De plus, Windows XP et Windows Server 2003 fournissent des méthodes supplémentaires pour sécuriser les applications. Ces systèmes d’exploitation fournissent une version du système d’exploitation du composant concerné et peuvent être protégés de manière centralisée. Cela signifie que même si une application installe une version du fichier Gdiplus.dll, l’application utilise dans la plupart des cas la version fournie par le système d’exploitation. La version du système d’exploitation de Gdiplus.dll est mise à jour lorsque vous installez la mise à jour appropriée du système d’exploitation et protégera la plupart des applications contre cette vulnérabilité.

Toutefois, il est possible qu’un développeur ou un administrateur force une application à contourner la version fournie par le système d’exploitation du fichier Gdiplus.dll et à utiliser plutôt une version qu’elle fournit. Il existe plusieurs façons qu’un développeur d’applications puisse concevoir son application pour ne pas utiliser la version du système d’exploitation du composant. Ils peuvent appeler explicitement une version du composant qu’ils ont fourni, ou utiliser une fonctionnalité de contournement côte à côte pour appeler leur version du composant concerné. Cela n’est probablement pas susceptible d’être utilisé dans la plupart des cas. Toutefois, vous pouvez envisager de contacter le fabricant d’applications tiers pour obtenir une version mise à jour de son programme, s’il vérifie que son programme utilise n’importe quel type de fonctionnalité de contournement. Les étapes permettant de déterminer si votre application utilise la fonctionnalité de contournement côte à côte se trouvent dans l’article de la Base de connaissances Microsoft 835322. Pour déterminer si vos applications ont explicitement appelé une version du composant qu’elles fournissent, nous vous recommandons de contacter le fabricant de l’application. Il est important de noter que l’utilisation de ces types de fonctionnalités est généralement rare et non recommandée. Pour plus d’informations, consultez le site web MSDN

En outre, dans ces cas, vous ne serez vulnérable à ce problème que lors de l’utilisation du programme concerné pour traiter les images. L’installation de la mise à jour du système d’exploitation et des mises à jour des programmes et composants affectés répertoriés dans ce bulletin permet de réduire le risque que vous soyez attaqué à partir des vecteurs d’attaque les plus courants qu’un attaquant peut utiliser pour exploiter cette vulnérabilité.

Il est également important de noter que vous devez installer toutes les mises à jour de sécurité disponibles au lieu de mettre à jour manuellement le composant affecté, si possible. La mise à jour manuelle du composant concerné peut créer des problèmes de compatibilité d’application et n’est pas prise en charge. En outre, les applications qui présentent la fonctionnalité « Détecter et réparer » ne recevront pas les informations nécessaires pour empêcher ces fonctionnalités d’introduire potentiellement la vulnérabilité lors de l’exécution si le composant concerné est mis à jour manuellement.

Si je suis développeur et que j’utilise Visual Studio .NET 2002, Visual Studio .NET 2003, le Kit de développement logiciel (SDK) Microsoft .NET Framework 1.0 Service Pack 2 ou le SDK de plateforme Microsoft redistribuable : GDI+ pour développer des applications, que dois-je faire ?

Lorsque ces programmes sont installés sur Windows XP, Windows XP Service Pack 1 ou Windows Server 2003, ils utilisent la version du système d’exploitation du composant vulnérable. Si vous utilisez ces programmes sur Windows XP, Windows XP Service Pack 1 ou Windows Server 2003, veillez à installer la version du système d’exploitation de la mise à jour de sécurité. Si vous utilisez ces programmes sur d’autres systèmes d’exploitation, veillez à installer la mise à jour pour ces programmes.

Toutefois, si vous utilisez ces programmes pour créer des applications qui distribuent une version du fichier Gdiplus.dll, vous devez installer la mise à jour de sécurité appropriée en fonction de l’outil de développement que vous utilisez, même si vous avez installé une mise à jour du système d’exploitation disponible ou utilisez Windows XP Service Pack 2. Si vous utilisez le fichier Gdiplus.dll pour le traitement JPEG, vous devez envisager de mettre à jour votre application pour utiliser la version mise à jour du fichier Gdiplus.dll. Toutefois, comme mentionné dans la faq précédente, votre application peut ne pas être directement vulnérable à ce problème. En outre, vous devez vous assurer que vous n’utilisez aucune des fonctionnalités de contournement mentionnées dans la faq précédente qui pourrait créer des vulnérabilités au sein de votre application.

Puis-je écrire et déployer manuellement les mises à jour de sécurité requises ?
Oui. Nous avons publié l’article de la Base de connaissances Microsoft 885885 pour faciliter l’installation manuelle de certaines des mises à jour de sécurité disponibles. Cet article ne fournit pas d’instructions pour l’installation de toutes les mises à jour de sécurité disponibles et n’est fourni que comme guide dans la création de scripts personnalisés.

Pourquoi la mise à jour de sécurité pour Microsoft .NET Framework 1.0 et Microsoft .NET Framework 1.1 a-t-elle été initialement fournie dans un Service Pack ?

Ce problème n’affecte pas les clients qui ont déjà déployé Microsoft .NET Framework 1.0 Service Pack 3 (SP3) et Microsoft .NET Framework 1.1 Service Pack 1 (SP1). Ces Service Packs, publiés avant la publication de ce bulletin de sécurité, contiennent déjà la mise à jour de sécurité pour ce problème ainsi que d’autres modifications de sécurité pour tous les problèmes de client signalés trouvés après la publication de ces composants logiciels. Par conséquent, nous recommandons vivement aux clients qui utilisent Microsoft .NET Framework 1.0 ou Microsoft .NET Framework 1.1 d’installer ces Service Packs pour renforcer la sécurité non seulement pour cette vulnérabilité, mais également pour tous les problèmes signalés au client détectés après la publication de Microsoft .NET Framework.

Puis-je utiliser Microsoft Baseline Security Analyzer (Mo SA) pour déterminer si cette mise à jour est requise ?
Mo SA détecte si la mise à jour de cette vulnérabilité est requise pour Bureau XP, Bureau 2003, Project 2002, Project 2003, Visio 2002 et Visio 2003 pour les analyses d’ordinateurs locaux. Pour plus d’informations sur la façon dont Mo SA détecte les mises à jour Bureau, visitez le site web suivant. Mo SA affiche une note indiquant que certaines mises à jour du système d’exploitation sont requises. Mo SA ne prend actuellement pas en charge la détection de plusieurs programmes répertoriés dans la section Logiciels affectés et composants affectés de ce bulletin de sécurité. Pour plus d’informations sur les programmes qui Mo SA ne détecte actuellement pas, consultez l’article 306460 de la Base de connaissances Microsoft. Si vous avez installé l’un des programmes répertoriés dans la section Logiciels affectés et composants affectés de ce bulletin de sécurité, vous devrez peut-être déterminer manuellement si vous devez installer la mise à jour requise. Par exemple, un système Windows 2000 ou Windows NT 4.0 qui a installé Internet Explorer 6 Service Pack 1 doit installer la mise à jour de sécurité d’Internet Explorer 6 Service Pack 1 et Mo SA ne détecte pas la mise à jour manquante dans ces configurations. En outre, Mo SA ne peut pas utiliser l’outil de détection Bureau pour analyser les systèmes distants, il utilise uniquement cet outil pour analyser un système localement pour les mises à jour de sécurité requises. Pour plus d’informations sur Mo SA, visitez le site web Mo SA.

Notez qu’après le 20 avril 2004, le fichier Mssecure.xml utilisé par Mo SA 1.1.1 et les versions antérieures n’est plus mis à jour avec de nouvelles données de bulletin de sécurité. Par conséquent, les analyses effectuées après cette date avec Mo SA 1.1.1 ou une version antérieure seront incomplètes. Tous les utilisateurs doivent effectuer une mise à niveau vers Mo SA 1.2, car ils fournissent une détection des mises à jour de sécurité plus précises et prennent en charge des produits supplémentaires. Les utilisateurs peuvent télécharger Mo SA 1.2 à partir du site web Mo SA. Pour plus d’informations sur la prise en charge de Mo SA, consultez microsoft Baseline Security Analyzer 1.2 Q&A ; Site web.

Puis-je utiliser Systems Management Server (SMS) pour déterminer si cette mise à jour est requise ?
Oui. SMS peut vous aider à détecter et déployer cette mise à jour de sécurité. Pour plus d’informations sur SMS, visitez le site web SMS. SMS utilise Mo SA pour la détection ; par conséquent, SMS a la même limitation répertoriée précédemment dans ce bulletin lié aux programmes que Mo SA ne détecte pas. Toutefois, SMS peut également utiliser l’outil d’inventaire Microsoft Bureau pour détecter les mises à jour requises pour les composants Microsoft Bureau.

Puis-je utiliser SMS pour déterminer si des programmes sont installés qui doivent être mis à jour ?
Oui. SMS peut aider à détecter si l’un des programmes affectés ou les composants affectés sont installés qui peuvent avoir installé une version du composant vulnérable. SMS peut rechercher l’existence du fichier Gdiplus.dll. Pour les programmes et composants concernés répertoriés dans ce bulletin, vous devrez peut-être mettre à jour toutes les versions de Gdiplus.dll antérieures à la version 5.1.3102.1355 ou les versions identifiées comme vulnérables dans les FAQ suivantes qui sont utilisées par les applications concernées. Consultez la rubrique « Si j’utilise des applications tierces qui distribuent le fichier gdiplus.dll, puis-je toujours être vulnérable même après avoir installé toutes les mises à jour de sécurité Microsoft requises ? » Faq dans ce bulletin pour plus d’informations sur les autres applications qui ont peut-être installé le fichier Gdiplus.dll. Toutefois, il est important de noter que vous devez installer les mises à jour de sécurité disponibles au lieu de mettre à jour manuellement le composant concerné. La mise à jour manuelle du composant concerné peut créer des problèmes de compatibilité d’application et n’est pas prise en charge. En outre, les applications qui présentent la fonctionnalité « Détecter et réparer » ne recevront pas les informations nécessaires pour empêcher ces fonctionnalités d’introduire potentiellement la vulnérabilité lors de l’exécution si le composant concerné est mis à jour manuellement.

Les installations de Bureau XP, Visio 2002, Project 2002 et Internet Explorer 6 Service Pack 1 (SP1) combinent les fonctionnalités du composant vulnérable avec d’autres fichiers. Pour Bureau XP et Project 2002, vous devez également rechercher l’existence du fichier Mso.dll. Mettez à jour les versions de Mso.dll antérieures à la version 10.0.6714.0 utilisées par les applications affectées. Pour Visio 2002, vous devez rechercher l’existence du fichier Mso.dll et du fichier Gdiplus.dll, car Visio 2002 distribue les deux fichiers, à l’exception de Windows XP ou de Windows Server 2003 où il distribue uniquement le fichier Mso.dll.

Pour les installations d’Internet Explorer 6 Service Pack 1 qui ne s’exécutent pas sur les systèmes d’exploitation Windows XP ou Windows Server 2003, recherchez le fichier Vgx.dll. Mettez à jour toutes les versions de Vgx.dll antérieures à la version 6.0.2800.1411. Internet Explorer 6 Service Pack 1 utilise la version du système d’exploitation du composant vulnérable sur Windows XP et Windows Server 2003. Vous n’avez pas besoin de mettre à jour Internet Explorer 6 Service Pack 1 pour ces systèmes d’exploitation. Ces fichiers .dll sont documentés dans la section Informations sur les mises à jour de sécurité de ce bulletin de sécurité. Vous pouvez également déployer les mises à jour fournies dans ce bulletin à l’aide de la fonctionnalité Inventaire et Distribution logicielle de SMS.

Quelles versions du fichier Gdiplus.dll pourraient rendre les applications vulnérables ?
Il est important de se rappeler que l’existence du fichier Gdiplus.dll ne détermine pas si une application est vulnérable à ce problème. Les FAQ précédentes peuvent être utilisées pour déterminer si vous utilisez le fichier Gdiplus.dll dans le cadre d’une application vulnérable. En guise de guide général pour aider les administrateurs et les développeurs à déterminer s’ils utilisent une version du fichier Gdiplus.dll qui pourrait permettre à leurs applications de devenir vulnérables à ce problème, nous avons créé la table d’informations de fichier Gdiplus.dll suivante.

Version du fichier Gdiplus.dll	State	Notes générales
Toutes les versions antérieures à la version 5.1.3102.1355	Vulnérables	Inclut Windows XP, Windows XP Service Pack 1 et la plupart des applications tierces qui redistribuent ce fichier.
5.1.3102.1355	Non vulnérable	Fourni dans le cadre de ce bulletin de sécurité.
5.1.3102.1360	Non vulnérable	Fourni dans le cadre de ce bulletin de sécurité.
Versions 5.1.3102.2000 à 5.1.3102.2179	Non pris en charge	Ces versions ont été fournies dans le cadre des premières versions bêta de Windows XP Service Pack 2 ne sont pas prises en charge. Les clients doivent effectuer une mise à niveau vers la version publiée de Windows XP Service Pack 2. Ces versions du fichier Gdiplus.dll n’ont généralement pas été publiées au public.
5.1.3102.2180	Non vulnérable	Fourni avec Windows XP Service Pack 2.
5.2.3790.0	Vulnérables	Fourni avec Windows Server 2003.
5.2.3790.136	Non vulnérable	Fourni dans le cadre de ce bulletin de sécurité.
6.0.3260.0	Vulnérables	Fourni avec Bureau 2003, Visio 2003 et Project 2003.
Versions 6.0.3264.0 et ultérieures.	Non vulnérable	Fourni dans le cadre de ce bulletin de sécurité.

Microsoft a publié l’outil d’analyse des mises à jour d’entreprise MS04-028 qui aidera les clients d’entreprise à détecter s’ils exécutent un ou plusieurs produits et composants affectés, et à les aider à déployer les mises à jour de sécurité disponibles. Où puis-je obtenir plus d’informations sur cet outil ?
Dans le but de soutenir davantage les clients d’entreprise via les complexités de déploiement uniques de MS04-28, en raison du nombre de produits et de composants affectés, Microsoft a publié un outil d’analyse et des conseils qui offre aux administrateurs système la possibilité d’analyser les ordinateurs sur leur réseau pour les logiciels répertoriés dans les sections Logiciels affectés et composants affectés de ce bulletin de sécurité et d’appliquer automatiquement les mises à jour MS04-028 appropriées. L’outil peut également être utilisé conjointement avec microsoft System Management Server (SMS). Pour plus d’informations sur l’outil d’analyse des mises à jour d’entreprise MS04-028, consultez l’article de la Base de connaissances Microsoft 886988. Cet outil prend en charge la mise à jour de sécurité de la Visionneuse de journaux Windows.

Microsoft a publié l’outil de détection GDI+ pour les consommateurs qui vous aideront également à détecter si vous exécutez un ou plusieurs produits et composants affectés. Où puis-je obtenir plus d’informations sur cet outil ?

Microsoft a créé l’outil de détection GDI+ pour aider les consommateurs à détecter s’ils exécutent une ou plusieurs versions affectées du logiciel répertoriés dans les sections Logiciels affectés et Composants affectés de ce bulletin de sécurité qui contiennent une version vulnérable du composant d’analyse JPEG sur leur système. L’article de la Base de connaissances Microsoft 873374 décrit cet outil, ainsi que des instructions sur la façon de télécharger cet outil. Cet outil n’a pas été mis à jour pour prendre en charge la mise à jour de sécurité de la Visionneuse de journaux Windows.

Que fait l’outil de détection GDI+ ?

L’outil de détection GDI+ analyse votre système pour détecter les logiciels de système d’exploitation non répertoriés dans les sections Logiciels affectés et Composants affectés de ce bulletin de sécurité qui sont connus pour contenir le composant vulnérable. Il dirige ensuite les consommateurs vers les emplacements appropriés pour télécharger une mise à jour pour résoudre la vulnérabilité.

L’outil de détection GDI+ me indiquera-t-il si mon système est à risque de cette vulnérabilité ?

Non. L’outil est conçu uniquement pour analyser le système et détecter les logiciels répertoriés dans les sections Logiciels affectés et Composants affectés de ce bulletin de sécurité connus pour contenir le composant vulnérable. L’outil n’est pas en mesure de déterminer si ces produits ont déjà été mis à jour pour utiliser une version sécurisée du composant concerné.

J’utilise Software Update Services (SUS) pour déployer des mises à jour de sécurité dans mon entreprise. Dois-je déployer l’outil de détection GDI+ sur tous mes systèmes ?

L’outil de détection GDI+ a été disponible via SUS, mais a été supprimé. Cet outil n’est pas conçu pour être utilisé ou pris en charge dans les environnements d’entreprise.

Quelles sont les mises à jour de sécurité proposées par Windows Update pour aider à résoudre cette vulnérabilité ?
Windows Update propose les mises à jour requises du système d’exploitation pour Windows XP, Windows XP Service Pack 1 et Windows Server 2003. Windows XP Service Pack 2 ne nécessite pas de mise à jour, car elle ne contient pas de version vulnérable du composant concerné. Windows Update propose la mise à jour de sécurité Internet Explorer 6 Service Pack 1 sur Windows 98, Windows 98 SE, Windows Me, Windows NT 4.0 et Windows 2000. Windows Update offre .NET Framework, version 1.0 Service Pack 3 (SP3) et .NET Framework, version 1.1 Service Pack 1 aux systèmes d’exploitation Windows NT 4.0 et Windows 2000. Windows Update offre une mise à jour pour la visionneuse de journaux Windows uniquement aux systèmes Windows 2000 qui ont installé la visionneuse de journaux Windows. Ces mises à jour de sécurité ne sont pas proposées aux systèmes Windows XP ou Windows Server 2003, car ces composants et applications du système d’exploitation utilisent la version du système d’exploitation du composant concerné sur Windows XP et Windows Server 2003.

En outre, comme expliqué dans une faq précédente, il existe des cas, lorsque vous utilisez Windows XP Service Pack 2, où les versions d’origine des mises à jour de sécurité Bureau XP, Visio 2002 et Project 2002 peuvent ne pas avoir été installées correctement. Pour ces clients Windows XP Service Pack 2, Microsoft a fourni un package d’installation mis à jour via Windows Update qui corrigera le problème d’installation et installera les fichiers appropriés. Étant donné que Windows XP Service Pack 2 recommande et invite les clients à activer la mise à jour automatique, la plupart des utilisateurs de Windows XP Service Pack 2 n’auront pas besoin de prendre des mesures supplémentaires. Ce package d’installation mis à jour est documenté dans l’article 885884 de la Base de connaissances Microsoft.

Quelles mises à jour de sécurité Bureau offre Update pour aider à résoudre cette vulnérabilité ?
mise à jour Bureau propose les mises à jour requises pour Bureau XP, Bureau 2003, Project 2002, Project 2003, Visio 2002 et Visio 2003. Ces mises à jour de sécurité sont requises sur tous les systèmes d’exploitation où ces produits sont installés. Bureau 2003 Service Pack 1, Visio 2003 Service Pack 1 et Project 2003 Service Pack 1 ne sont pas affectés et seront proposés aux clients utilisant Bureau 2003, Project 2003 et Visio 2003 au lieu des mises à jour individuelles. Les clients qui ont installé ces Service Packs ne sont pas affectés par cette vulnérabilité à partir de ces applications.

Quelles mises à jour de sécurité ne seront pas proposées via Windows Update ou Bureau Update pour aider à résoudre cette vulnérabilité et doivent être installées manuellement ?
Windows Update et Bureau Update ne prennent pas en charge les programmes restants. Cela inclut les mises à jour de sécurité pour Visual Studio .NET 2002 (et tous les programmes inclus), Visual Studio .NET 2003 (et tous les programmes inclus), Greetings 2002, Picture It ! (toutes les versions), Image numérique (toutes les versions), Microsoft .NET Framework version 1.0 SDK Service Pack 2, Microsoft .NET Framework version 1.0 Service Pack 2 mise à jour de sécurité autonome, mise à jour de sécurité autonome de Microsoft .NET Framework version 1.1, Producteur pour Microsoft Bureau PowerPoint (toutes les versions) et Redistribuable du Kit de développement logiciel (SDK) de plateforme : GDI+. Ces mises à jour de sécurité sont requises sur les systèmes d’exploitation Windows 98, Windows 98 SE, Windows Me, Windows NT 4.0 et Windows 2000 sur lesquels ces produits sont installés. Notez que Visual Studio .NET 2002 Enterprise Architect et Visual Studio .NET 2003 Enterprise Architect incluent Visio 2002. Visio 2002 est pris en charge par Bureau Update.

Les programmes Visio 2002 Viewer, Visio 2003 Viewer et PowerPoint 2003 Viewer sont-ils affectés par cette vulnérabilité ?
Les versions antérieures de visio 2002 Viewer, Visio 2003 Viewer et PowerPoint 2003 Viewer sont affectées par cette vulnérabilité. Nous n’offrons pas de prise en charge des mises à jour de sécurité pour ces programmes. Toutefois, les programmes visionneuse Visio 2002, Visio 2003 Viewer et PowerPoint 2003 Viewer ne sont pas affectés par cette vulnérabilité. Nous recommandons aux clients d’installer la version la plus récente de ces programmes.

Détails de la vulnérabilité

Vulnérabilité JPEG - CAN-2004-0200 :

Une vulnérabilité de dépassement de mémoire tampon existe dans le traitement des formats d’image JPEG qui pourraient permettre l’exécution de code distant sur un système affecté. Tout programme qui traite des images JPEG sur les systèmes concernés peut être vulnérable à cette attaque, et tout système qui utilise les programmes ou composants concernés peut être vulnérable à cette attaque. Un attaquant qui a réussi à exploiter cette vulnérabilité peut prendre le contrôle complet d’un système affecté.

Facteurs d’atténuation de la vulnérabilité JPEG - CAN-2004-0200 :

Un attaquant qui a réussi à exploiter cette vulnérabilité peut obtenir les mêmes privilèges que l’utilisateur. Les utilisateurs dont les comptes sont configurés pour avoir moins de privilèges sur le système seraient moins risqués que les utilisateurs qui opèrent avec des privilèges d’administration.
La vulnérabilité ne pouvait être exploitée que par un attaquant qui a convaincu un utilisateur d’ouvrir un fichier spécialement conçu ou d’afficher un répertoire qui contient l’image spécialement conçue. Il n’existe aucun moyen pour un attaquant de forcer un utilisateur à ouvrir un fichier malveillant.
Dans un scénario d’attaque web, un attaquant doit héberger un site Web qui contient une page Web utilisée pour exploiter cette vulnérabilité. Un attaquant n’aurait aucun moyen de forcer les utilisateurs à visiter un site Web malveillant. Au lieu de cela, un attaquant devra les persuader de visiter le site Web, généralement en les obtenant pour cliquer sur un lien qui les amène au site de l’attaquant.
Windows XP, Windows XP Service Pack 1 et Windows Server 2003 sont les seuls systèmes d’exploitation qui contiennent le composant vulnérable par défaut. Par défaut, Windows 98, Windows 98 SE, Windows Me, Windows NT 4.0, Windows 2000 et Windows XP Service Pack 2 ne sont pas vulnérables à ce problème. Toutefois, le composant vulnérable sera installé par l’un des programmes répertoriés dans la section logicielle affectée de ce bulletin sur ces systèmes d’exploitation et vous devez installer la mise à jour de sécurité appropriée pour ces programmes.

Solutions de contournement pour la vulnérabilité JPEG - CAN-2004-0200 :

Microsoft a testé les solutions de contournement suivantes. Bien que ces solutions de contournement ne corrigent pas la vulnérabilité sous-jacente, elles aident à bloquer les vecteurs d’attaque connus. Lorsqu’une solution de contournement réduit les fonctionnalités, elle est identifiée ci-dessous.

Lisez les messages électroniques au format texte brut si vous utilisez Outlook 2002 ou version ultérieure, ou Outlook Express 6 SP1 ou version ultérieure, pour vous protéger contre le vecteur d’attaque de messagerie HTML.

Les utilisateurs de Microsoft Outlook 2002 qui ont appliqué Bureau XP Service Pack 1 ou version ultérieure et les utilisateurs de Microsoft Outlook Express 6 ayant appliqué Internet Explorer 6 Service Pack 1 peuvent activer ce paramètre et afficher les messages électroniques qui ne sont pas signés numériquement ou messages électroniques qui ne sont pas chiffrés en texte brut uniquement.

Les messages électroniques signés numériquement ou les messages électroniques chiffrés ne sont pas affectés par le paramètre et peuvent être lus dans leurs formats d’origine. Pour plus d’informations sur l’activation de ce paramètre dans Outlook 2002, consultez l’article 307594 de la Base de connaissances Microsoft.

Pour plus d’informations sur ce paramètre dans Outlook Express 6, consultez l’article de la Base de connaissances Microsoft 291387.

Impact de la solution de contournement : les messages électroniques affichés au format texte brut ne contiennent pas d’images, de polices spécialisées, d’animations ou d’autres contenus enrichis. Voici quelques ajustements supplémentaires :

Les modifications sont appliquées au volet d’aperçu et à l’ouverture des messages.
Les images deviennent des pièces jointes afin qu’elles ne soient pas perdues. Notez que l’affichage manuel de ces images peut autoriser l’exécution de code à distance si vous utilisez une application ou un système d’exploitation vulnérable.
Étant donné que le message est toujours au format Texte enrichi ou HTML dans le magasin, le modèle objet (solutions de code personnalisé) peut se comporter de manière inattendue.

FAQ sur la vulnérabilité JPEG - CAN-2004-0200 :

Quelle est l’étendue de la vulnérabilité ?
Il s’agit d’une vulnérabilité de dépassement de mémoire tampon. Si un utilisateur est connecté avec des privilèges d’administrateur, un attaquant qui a réussi à exploiter cette vulnérabilité peut prendre le contrôle complet d’un système affecté, y compris l’installation de programmes ; affichage, modification ou suppression de données ; ou création de comptes avec des privilèges complets. Les utilisateurs dont les comptes sont configurés pour avoir moins de privilèges sur le système seraient moins risqués que les utilisateurs qui opèrent avec des privilèges d’administration.

Quelles sont les causes de la vulnérabilité ?
Mémoire tampon non case activée dans le traitement des images JPEG.

Qu’est-ce que les images JPEG ?
JPEG est un format d’image indépendant de la plateforme qui prend en charge un niveau élevé de compression. JPEG est une norme Internet largement prise en charge développée par le Groupe d’experts photographiques conjoints.

Qu’est-ce qu’un attaquant peut utiliser la vulnérabilité pour faire ?
Un attaquant qui a réussi à exploiter cette vulnérabilité peut prendre le contrôle complet d’un système affecté, y compris l’installation de programmes ; affichage, modification ou suppression de données ; ou création de comptes disposant de privilèges complets.

Comment un attaquant pourrait-il exploiter cette vulnérabilité ?
Tout programme qui traite les images JPEG peut être vulnérable à cette attaque. Voici quelques exemples :

Un attaquant peut héberger un site Web malveillant conçu pour exploiter cette vulnérabilité via Internet Explorer 6, puis persuader un utilisateur d’afficher le site Web.
Un attaquant peut également créer un message électronique HTML contenant une image spécialement conçue. L’image spécialement conçue peut être conçue pour exploiter cette vulnérabilité via Outlook 2002 ou Outlook Express 6. Un attaquant peut persuader l’utilisateur d’afficher ou d’afficher un aperçu du message électronique HTML.
Un attaquant peut incorporer une image spécialement conçue dans un document Bureau, puis persuader l’utilisateur d’afficher le document.
Un attaquant peut ajouter une image spécialement conçue au système de fichiers local ou à un partage réseau, puis persuader l’utilisateur d’afficher un aperçu du répertoire à l’aide de l’Explorateur Windows.

Quels systèmes sont principalement exposés à la vulnérabilité ?
La vulnérabilité ne pouvait être exploitée que sur les systèmes affectés par un attaquant qui a convaincu un utilisateur d’ouvrir un fichier spécialement conçu ou d’afficher un répertoire contenant l’image spécialement conçue. Il n’existe aucun moyen pour un attaquant de forcer un utilisateur à ouvrir un fichier malveillant.

Dans un scénario d’attaque web, un attaquant doit héberger un site Web qui contient une page Web utilisée pour exploiter cette vulnérabilité. Un attaquant n’aurait aucun moyen de forcer les utilisateurs à visiter un site Web malveillant. Au lieu de cela, un attaquant devra les persuader de visiter le site Web, généralement en les obtenant pour cliquer sur un lien qui les amène au site de l’attaquant.

Windows XP, Windows XP Service Pack 1 et Windows Server 2003 sont vulnérables par défaut. Windows XP Service Pack 2, Windows 98, Windows 98 SE, Windows Me, Windows NT 4.0 et Windows 2000 ne sont pas vulnérables par défaut. Toutefois, le composant vulnérable peut être installé par l’un des produits répertoriés dans la section logicielle affectée sur ces systèmes d’exploitation. Applications tierces qui effectuent un traitement JPEG ; applications tierces développées à l’aide de Visual Studio .NET 2002, Visual Studio .NET 2003 ou du Kit de développement logiciel (SDK) Microsoft .NET Framework version 1.0 Service Pack 2 ; et les applications tierces qui distribuent leur propre copie du composant vulnérable peuvent également être vulnérables.

Que fait la mise à jour ?
La mise à jour supprime la vulnérabilité en modifiant la façon dont le composant concerné valide les types d’images affectés.

Quand ce bulletin de sécurité a été émis, cette vulnérabilité a-t-elle été divulguée publiquement ?
Non. Microsoft a reçu des informations sur cette vulnérabilité par le biais d’une divulgation responsable. Microsoft n’avait reçu aucune information indiquant que cette vulnérabilité avait été divulguée publiquement lorsque ce bulletin de sécurité a été émis à l’origine.

Quand ce bulletin de sécurité a été émis, Microsoft a-t-il reçu des rapports indiquant que cette vulnérabilité était exploitée ?
Non. Microsoft n’avait reçu aucune information indiquant que cette vulnérabilité avait été utilisée publiquement pour attaquer les clients et n’avait pas vu d’exemples de code de preuve de concept publié lorsque ce bulletin de sécurité a été émis à l’origine.

Informations sur les mises à jour de sécurité

Plateformes d’installation et conditions préalables :

Pour plus d’informations sur la mise à jour de sécurité spécifique pour votre plateforme, cliquez sur le lien approprié :

Windows Server 2003 (toutes les versions)

La configuration requise pour cette mise à jour de sécurité nécessite une version publiée de Windows Server 2003.

Inclusion dans les Service Packs futurs : la mise à jour de ce problème sera incluse dans Windows Server 2003 Service Pack 1.

Informations d’installation

Cette mise à jour de sécurité prend en charge les commutateurs d’installation suivants :

/help Affiche les options de ligne de commande

Modes d’installation

Mode silencieux /quiet (aucune interaction ou affichage de l’utilisateur)

Mode /passif sans assistance (barre de progression uniquement)

/uninstall désinstalle le package

Options de redémarrage

/norestart Ne redémarrez pas une fois l’installation terminée

/forcerestart Restart after installation

Options spéciales

/l Lists installé des correctifs logiciels Windows ou des packages de mise à jour

/o Remplacer les fichiers OEM sans inviter

/n Ne pas sauvegarder les fichiers nécessaires à la désinstallation

/f Forcer la fermeture d’autres programmes lorsque l’ordinateur s’arrête

Notez que vous pouvez combiner ces commutateurs en une seule commande. Pour la compatibilité descendante, la mise à jour de sécurité prend également en charge les commutateurs d’installation que la version précédente de l’utilitaire d’installation utilise. Pour plus d’informations sur les commutateurs d’installation pris en charge, consultez l’article 262841 de la Base de connaissances Microsoft.

Informations de déploiement

Pour installer la mise à jour de sécurité sans intervention de l’utilisateur, utilisez la commande suivante à l’invite de commandes pour Windows Server 2003 :

Windowsserver2003-kb833987-x86-enu /passive /quiet

Pour installer la mise à jour de sécurité sans forcer le système à redémarrer, utilisez la commande suivante à l’invite de commandes pour Windows Server 2003 :

Windowsserver2003-kb833987-x86-enu /norestart

Pour plus d’informations sur le déploiement de cette mise à jour de sécurité avec Software Update Services, visitez le site web Software Update Services.

Configuration requise pour le redémarrage

Dans certains cas, cette mise à jour ne nécessite pas de redémarrage. Le programme d’installation arrête les services requis, applique la mise à jour, puis redémarre les services. Toutefois, si les services requis ne peuvent pas être arrêtés pour une raison quelconque ou si les fichiers requis sont en cours d’utilisation, cette mise à jour nécessite un redémarrage. Si cela se produit, un message s’affiche qui vous conseille de redémarrer.

Informations de suppression

Pour supprimer cette mise à jour, utilisez l’outil Ajouter ou supprimer des programmes dans Panneau de configuration.

Les administrateurs système peuvent également utiliser l’utilitaire de Spuninst.exe pour supprimer cette mise à jour de sécurité. L’utilitaire Spuninst.exe se trouve dans le dossier %Windir%\$NTUninstall Ko 833987$\Spuninst. L’utilitaire Spuninst.exe prend en charge les commutateurs d’installation suivants :

/ ?: Affichez la liste des commutateurs d’installation.

/u : Utilisez le mode sans assistance.

/f : forcer l’arrêt d’autres programmes lorsque l’ordinateur s’arrête.

/z : ne redémarrez pas une fois l’installation terminée.

/q : Utilisez le mode silencieux (aucune interaction utilisateur).

Informations sur le fichier

La version anglaise de cette mise à jour comporte les attributs de fichier (ou version ultérieure) répertoriés dans le tableau suivant. Les dates et heures de ces fichiers sont répertoriées en temps universel coordonné (UTC). Lorsque vous affichez les informations du fichier, elle est convertie en heure locale. Pour trouver la différence entre l’heure UTC et l’heure locale, utilisez l’onglet Fuseau horaire dans l’outil Date et Heure dans Panneau de configuration.

Windows Server 2003 Êdition Entreprise, Windows Server 2003 Édition Standard, Windows Server 2003 Web Edition et Windows Server 2003 Datacenter Edition :

Date Time Version Size Filename Folder
-----------------------------------------------------------------
24-Mar-2004 01:02 5.2.3790.136 1,642,496 Gdiplus.dll
24-Mar-2004 01:02 5.2.3790.121 751,104 Sxs.dll RTMQFE

Windows Server 2003 64 bits Êdition Entreprise et Windows Server 2003 64 bits Datacenter Edition :

Date Time Version Size Filename Platform Folder
--------------------------------------------------------------------------------
24-Mar-2004 01:02 5.2.3790.136 4,719,104 Gdiplus.dll IA-64
24-Mar-2004 01:02 5.2.3790.136 1,642,496 Gdiplus.dll x86
24-Mar-2004 01:02 5.2.3790.121 1,860,608 Sxs.dll IA-64 RTMQFE
24-Mar-2004 01:02 5.2.3790.121 751,104 Wsxs.dll x86 RTMQFE\WOW

Vérification de l’installation de la mise à jour

Microsoft Baseline Security Analyzer (Mo SA)

Pour vérifier qu’une mise à jour de sécurité est installée sur un système affecté, vous pouvez utiliser l’outil Microsoft Baseline Security Analyzer (Mo SA), qui permet aux administrateurs d’analyser les systèmes locaux et distants pour détecter les mises à jour de sécurité manquantes et pour les configurations incorrectes de sécurité courantes. Pour plus d’informations sur Mo SA, visitez le site web Microsoft Baseline Security Analyzer.
Vérification de version de fichier

Notez qu’il existe plusieurs versions de Microsoft Windows, les étapes suivantes peuvent être différentes sur votre ordinateur. Si c’est le cas, consultez la documentation de votre produit pour effectuer ces étapes.
1. Cliquez sur Démarrer, puis sur Rechercher.
2. Dans le volet Résultats de la recherche, cliquez sur Tous les fichiers et dossiers sous Compagnon de recherche.
3. Dans la zone Tout ou partie du nom de fichier, tapez un nom de fichier à partir de la table d’informations de fichier appropriée, puis cliquez sur Rechercher.
4. Dans la liste des fichiers, cliquez avec le bouton droit sur un nom de fichier à partir de la table d’informations de fichier appropriée, puis cliquez sur Propriétés.
  
  Notez que , selon la version du système d’exploitation ou des programmes installés, certains fichiers répertoriés dans la table d’informations de fichier peuvent ne pas être installés.
5. Sous l’onglet Version , déterminez la version du fichier installé sur votre ordinateur en la comparant à la version documentée dans la table d’informations de fichier appropriée.
  
  Notez que les attributs autres que la version du fichier peuvent changer pendant l’installation. La comparaison d’autres attributs de fichier aux informations de la table d’informations de fichier n’est pas une méthode prise en charge pour vérifier l’installation de la mise à jour. En outre, dans certains cas, les fichiers peuvent être renommés lors de l’installation. Si les informations de fichier ou de version ne sont pas présentes, utilisez l’une des autres méthodes disponibles pour vérifier l’installation de la mise à jour.
Vérification de la clé de Registre

Vous pouvez également vérifier les fichiers installés par cette mise à jour de sécurité en examinant les clés de Registre suivantes :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Mises à jour\Windows Server 2003\SP1\Ko 833987\Filelist

Notez que cette clé de Registre peut ne pas contenir la liste complète des fichiers installés. En outre, cette clé de Registre peut ne pas être créée correctement si un administrateur ou un OEM intègre ou glisse la mise à jour de sécurité 833987 dans les fichiers sources d’installation Windows.

Windows XP, Windows XP Service Pack 1 (toutes les versions)

Remarque pour Windows XP version 64 bits version 2003, cette mise à jour de sécurité est identique à la mise à jour de sécurité windows Server 2003 64 bits Edition.

La configuration requise pour cette mise à jour de sécurité nécessite la version release de Windows XP ou Windows XP Service Pack 1 (SP1). Pour plus d’informations, consultez l’article 322389 de la Base de connaissances Microsoft.

Inclusion dans future Service Packs : la mise à jour de ce problème est incluse dans Windows XP Service Pack 2.

Informations d’installation

Cette mise à jour de sécurité prend en charge les commutateurs d’installation suivants :

/help Affiche les options de ligne de commande

Modes d’installation

Mode silencieux /quiet (aucune interaction ou affichage de l’utilisateur)

Mode /passif sans assistance (barre de progression uniquement)

/uninstall désinstalle le package

Options de redémarrage

/norestart Ne redémarrez pas une fois l’installation terminée

/forcerestart Restart after installation

Options spéciales

/l Lists installé des correctifs logiciels Windows ou des packages de mise à jour

/o Remplacer les fichiers OEM sans inviter

/n Ne pas sauvegarder les fichiers nécessaires à la désinstallation

/f Forcer la fermeture d’autres programmes lorsque l’ordinateur s’arrête

Informations de déploiement

Pour installer la mise à jour de sécurité sans intervention de l’utilisateur, utilisez la commande suivante à l’invite de commandes pour Windows XP :

Windowsxp-kb833987-x86-enu /passive /quiet

Pour installer la mise à jour de sécurité sans forcer le système à redémarrer, utilisez la commande suivante à l’invite de commandes pour Windows XP :

Windowsxp-kb833987-x86-enu /norestart

Pour plus d’informations sur le déploiement de cette mise à jour de sécurité avec Software Update Services, visitez le site web des services de mise à jour logicielle.

Configuration requise pour le redémarrage

Informations de suppression

Pour supprimer cette mise à jour de sécurité, utilisez l’outil Ajouter ou supprimer des programmes dans Panneau de configuration.

Les administrateurs système peuvent également utiliser l’utilitaire de Spuninst.exe pour supprimer cette mise à jour de sécurité. Le Spuninst.exe se trouve dans le dossier %Windir%\$NTUninstall Ko 833987$\Spuninst. L’utilitaire Spuninst.exe prend en charge les commutateurs d’installation suivants :

/ ?: Affichez la liste des commutateurs d’installation.

/u : Utilisez le mode sans assistance.

/f : forcer l’arrêt d’autres programmes lorsque l’ordinateur s’arrête.

/z : ne redémarrez pas une fois l’installation terminée.

/q : Utilisez le mode silencieux (aucune interaction utilisateur).

Informations sur le fichier

Windows XP Home Edition, Windows XP Professional, Windows XP Home Edition Service Pack 1, Windows XP Professional Service Pack 1, Windows XP Tablet PC Edition et Windows XP Media Center Edition :

Date Time Version Size File name Folder
--------------------------------------------------------------------------
09-Mar-2004 01:58 5.1.2600.136 646,656 Sxs.dll SP1 (Pre SP1)
02-Mar-2004 21:19 5.1.3102.1360 1,638,400 Gdiplus.dll SP1 (Pre SP1)
09-Mar-2004 02:25 5.1.2600.1363 676,864 Sxs.dll SP2 (With SP1)
02-Mar-2004 21:19 5.1.3102.1360 1,638,400 Gdiplus.dll SP2 (With SP1)

Windows XP 64 Bits Edition Service Pack 1 :

Date Time Version Size File name Platform
--------------------------------------------------------------------------
09-Mar-2004 02:33 5.1.2600.1363 2,018,816 Sxs.dll IA-64
09-Mar-2004 02:25 5.1.2600.1363 676,864 Wsxs.dll x86
09-Mar-2004 02:33 5.1.3102.1360 5,185,536 Gdiplus.dll IA-64

Version 2003 de Windows XP 64 bits :

Date Time Version Size File name Platform Folder
--------------------------------------------------------------------------------
24-Mar-2004 01:02 5.2.3790.136 4,719,104 Gdiplus.dll IA-64
24-Mar-2004 01:02 5.2.3790.136 1,642,496 Gdiplus.dll x86
24-Mar-2004 01:02 5.2.3790.121 1,860,608 Sxs.dll IA-64 RTMQFE
24-Mar-2004 01:02 5.2.3790.121 751,104 Wsxs.dll x86 RTMQFE\WOW

Notes

Les versions Windows XP, Windows XP Service Pack 1 et Windows XP 64 bits version 2003 de cette mise à jour de sécurité sont empaquetées sous forme de packages en double mode, qui contiennent des fichiers pour la version d’origine de Windows XP et windows XP Service Pack 1. Pour plus d’informations sur les packages en mode double, consultez l’article 328848 de la Base de connaissances Microsoft.

Vérification de l’installation de la mise à jour

Microsoft Baseline Security Analyzer (Mo SA)

Pour vérifier qu’une mise à jour de sécurité est installée sur un système affecté, vous pouvez utiliser l’outil Microsoft Baseline Security Analyzer (Mo SA), qui permet aux administrateurs d’analyser les systèmes locaux et distants pour détecter les mises à jour de sécurité manquantes et pour les configurations incorrectes de sécurité courantes. Pour plus d’informations sur Mo SA, visitez le site web Microsoft Baseline Security Analyzer.
Vérification de version de fichier

Notez qu’il existe plusieurs versions de Microsoft Windows, les étapes suivantes peuvent être différentes sur votre ordinateur. Si c’est le cas, consultez la documentation de votre produit pour effectuer ces étapes.
1. Cliquez sur Démarrer, puis sur Rechercher.
2. Dans le volet Résultats de la recherche, cliquez sur Tous les fichiers et dossiers sous Compagnon de recherche.
3. Dans la zone Tout ou partie du nom de fichier, tapez un nom de fichier à partir de la table d’informations de fichier appropriée, puis cliquez sur Rechercher.
4. Dans la liste des fichiers, cliquez avec le bouton droit sur un nom de fichier à partir de la table d’informations de fichier appropriée, puis cliquez sur Propriétés.
  
  Notez que , selon la version du système d’exploitation ou des programmes installés, certains fichiers répertoriés dans la table d’informations de fichier peuvent ne pas être installés.
5. Sous l’onglet Version , déterminez la version du fichier installé sur votre ordinateur en la comparant à la version documentée dans la table d’informations de fichier appropriée.
  
  Notez que les attributs autres que la version du fichier peuvent changer pendant l’installation. La comparaison d’autres attributs de fichier aux informations de la table d’informations de fichier n’est pas une méthode prise en charge pour vérifier l’installation de la mise à jour. En outre, dans certains cas, les fichiers peuvent être renommés lors de l’installation. Si les informations de fichier ou de version ne sont pas présentes, utilisez l’une des autres méthodes disponibles pour vérifier l’installation de la mise à jour.
Vérification de la clé de Registre

Vous pouvez également vérifier les fichiers installés par cette mise à jour de sécurité en examinant les clés de Registre suivantes.

Pour Windows XP Home Edition, Windows XP Professional, Windows XP Home Edition Service Pack 1, Windows XP Professional Service Pack 1, Windows XP 64 Bits Edition Service Pack 1, Windows XP Tablet PC Edition et Windows XP Media Center Edition :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Mises à jour\Windows XP\SP2\Ko 833987\Filelist

Pour Windows XP Version 64 bits 2003 :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Mises à jour\Windows Server 2003\SP1\Ko 833987\Filelist

Notez que ces clés de Registre peuvent ne pas contenir la liste complète des fichiers installés. En outre, ces clés de Registre peuvent ne pas être créées correctement si un administrateur ou un OEM intègre ou glisse la mise à jour de sécurité 833987 dans les fichiers sources d’installation Windows.

Bureau XP (toutes les versions)

Prérequis et détails de mise à jour supplémentaires

Important : avant d’installer cette mise à jour, vérifiez que les conditions suivantes ont été remplies :

Microsoft Windows Installer 2.0 doit être installé. Microsoft Windows Server 2003, Windows XP et Microsoft Windows 2000 Service Pack 3 (SP3) incluent Windows Installer 2.0 ou version ultérieure. Pour installer la dernière version de Windows Installer, visitez l’un des sites Web Microsoft suivants :

Windows Installer 2.0 pour Windows 95, Windows 98, Windows 98 SE et Windows Millennium Edition

Windows Installer 2.0 pour Windows 2000 et Windows NT 4.0
Bureau XP Service Pack 3 (SP3) doit être installé pour installer la mise à jour de sécurité du client. Avant d’installer cette mise à jour, installez Bureau XP SP3. Pour plus d’informations sur l’installation de Bureau XP SP3, consultez l’article 832671 de la Base de connaissances Microsoft. La mise à jour administrative peut également être installée sur les systèmes qui exécutent Bureau XP Service Pack 2 ou Bureau XP Service Pack 3. La mise à jour de sécurité pour Bureau XP Service Pack 2 est fournie uniquement dans le cadre de la mise à jour de sécurité administrative Bureau XP.

Pour plus d’informations sur la façon de déterminer la version de Bureau XP sur votre ordinateur, consultez l’article de la Base de connaissances Microsoft 291331.

Notez que la version administrative de cette mise à jour inclut les fichiers nécessaires pour prendre en charge l’installation sur les versions localisées du produit concerné, bien que l’interface utilisateur d’installation de la mise à jour de sécurité soit en anglais.

Inclusion dans les Service Packs futurs :

Le correctif de ce problème sera inclus dans un service pack ultérieur.

Configuration requise pour le redémarrage

Aucun redémarrage n'est requis.

Informations de suppression

Informations d’installation automatisée du client

Bureau Mettre à jour le site web

Microsoft vous recommande d’installer les mises à jour du client Microsoft Bureau XP à l’aide du site web Bureau Update. Le site web Bureau Update détecte votre installation particulière et vous invite à installer exactement ce que vous devez avoir pour vous assurer que votre installation est entièrement à jour.

Pour que le site web Bureau Update détecte les mises à jour requises que vous devez installer sur votre ordinateur, visitez le site web Bureau Mettre à jour, puis cliquez sur Rechercher Mises à jour. Une fois la détection terminée, vous recevrez une liste des mises à jour recommandées pour votre approbation. Cliquez sur Démarrer l’installation pour terminer le processus.

Informations d’installation manuelle du client

Pour plus d’informations sur l’installation manuelle de cette mise à jour, consultez la section suivante.

Informations d’installation

La mise à jour de sécurité prend en charge les commutateurs d’installation suivants :

/Q Spécifie le mode silencieux ou supprime les invites lorsque des fichiers sont extraits.

/Q :U Spécifie le mode silencieux utilisateur, qui présente certaines boîtes de dialogue à l’utilisateur.

/Q :A spécifie le mode silencieux administrateur, qui ne présente aucune boîte de dialogue à l’utilisateur.

/T : <chemin d’accès> complet Spécifie le dossier cible pour l’extraction de fichiers.

/C extrait les fichiers sans les installer. Si le chemin /T : n’est pas spécifié, vous êtes invité à entrer un dossier cible.

/C : <Cmd> Remplacer la commande Install définie par l’auteur. Spécifie le chemin d’accès et le nom du fichier .inf ou .exe d’installation.

/R :N Ne redémarre jamais l’ordinateur après l’installation.

/R :I invite l’utilisateur à redémarrer l’ordinateur si un redémarrage est requis, sauf lorsqu’il est utilisé avec /Q :A.

/R :A redémarre toujours l’ordinateur après l’installation.

/R :S redémarre l’ordinateur après l’installation sans inviter l’utilisateur.

/N :V Aucune version case activée ing : installez le programme sur n’importe quelle version précédente.

Notez que ces commutateurs ne fonctionnent pas nécessairement avec toutes les mises à jour. Si un commutateur n’est pas disponible, cette fonctionnalité est nécessaire pour l’installation correcte de la mise à jour. En outre, l’utilisation du commutateur /N :V n’est pas prise en charge et peut entraîner un système inbootable. Si l’installation échoue, vous devez consulter votre professionnel du support technique pour comprendre pourquoi elle n’a pas pu être installée.

Pour plus d’informations sur les commutateurs d’installation pris en charge, consultez l’article 197147 de la Base de connaissances Microsoft.

Informations sur le déploiement du client

Téléchargez la version cliente de cette mise à jour de sécurité.
Cliquez sur Enregistrer ce programme sur le disque, puis sur OK.
Cliquez sur Enregistrer.
À l’aide de l’Explorateur Windows, recherchez le dossier qui contient le fichier enregistré, puis double-cliquez sur le fichier enregistré.
Si vous êtes invité à installer la mise à jour, cliquez sur Oui.
Cliquez sur Oui pour accepter le contrat de licence.
Insérez votre CD-ROM source d’origine lorsque vous y êtes invité, puis cliquez sur OK.
Lorsque vous recevez un message indiquant que l’installation a réussi, cliquez sur OK.

Notez que si la mise à jour de sécurité est déjà installée sur votre ordinateur, vous recevez le message d’erreur suivant : cette mise à jour a déjà été appliquée ou est incluse dans une mise à jour qui a déjà été appliquée.

Informations sur le fichier d’installation du client

Bureau XP :

Date Time Version Size Filename
--------------------------------------------------------
07-May-2004 21:56 10.0.6714.0 9,796,288 Mso.dll

Vérification de l’installation de la mise à jour

Microsoft Baseline Security Analyzer

Pour vérifier qu’une mise à jour de sécurité est installée sur un système affecté, vous pouvez utiliser l’outil Microsoft Baseline Security Analyzer (Mo SA), qui permet aux administrateurs d’analyser les systèmes locaux et distants pour détecter les mises à jour de sécurité manquantes et pour les configurations incorrectes de sécurité courantes. Pour plus d’informations sur Mo SA, visitez le site web Microsoft Baseline Security Analyzer.
Vérification de version de fichier

Notez qu’il existe plusieurs versions de Microsoft Windows, les étapes suivantes peuvent être différentes sur votre ordinateur. Si c’est le cas, consultez la documentation de votre produit pour effectuer ces étapes.
1. Cliquez sur Démarrer, puis sur Rechercher.
2. Dans le volet Résultats de la recherche, cliquez sur Tous les fichiers et dossiers sous Compagnon de recherche.
3. Dans la zone Tout ou partie du nom de fichier, tapez un nom de fichier à partir de la table d’informations de fichier appropriée, puis cliquez sur Rechercher.
4. Dans la liste des fichiers, cliquez avec le bouton droit sur un nom de fichier à partir de la table d’informations de fichier appropriée, puis cliquez sur Propriétés.
  
  Notez que , selon la version du système d’exploitation ou des programmes installés, certains fichiers répertoriés dans la table d’informations de fichier peuvent ne pas être installés.
5. Sous l’onglet Version , déterminez la version du fichier installé sur votre ordinateur en la comparant à la version documentée dans la table d’informations de fichier appropriée.
  
  Notez que les attributs autres que la version du fichier peuvent changer pendant l’installation. La comparaison d’autres attributs de fichier aux informations de la table d’informations de fichier n’est pas une méthode prise en charge pour vérifier l’installation de la mise à jour. En outre, dans certains cas, les fichiers peuvent être renommés lors de l’installation. Si les informations de fichier ou de version ne sont pas présentes, utilisez l’une des autres méthodes disponibles pour vérifier l’installation de la mise à jour.

Informations d’installation Administration istrative

Si vous avez installé votre application à partir d’un emplacement de serveur, l’administrateur du serveur doit mettre à jour l’emplacement du serveur avec la mise à jour administrative et déployer cette mise à jour sur votre ordinateur.

Informations d’installation

Les commutateurs d’installation suivants sont pertinents pour les installations administratives, car ils permettent à un administrateur de personnaliser la façon dont les fichiers sont extraits à partir de la mise à jour de sécurité :

/? Affiche les options de ligne de commande

/Q Spécifie le mode silencieux ou supprime les invites lorsque des fichiers sont extraits.

/T : <chemin d’accès> complet Spécifie le dossier cible pour l’extraction de fichiers.

/C extrait les fichiers sans les installer. Si le chemin /T : n’est pas spécifié, vous êtes invité à entrer un dossier cible.

/C : <Cmd> Remplacer la commande Install définie par l’auteur. Spécifie le chemin d’accès et le nom du fichier setup .inf ou .exe.

Pour plus d’informations sur les commutateurs d’installation pris en charge, consultez l’article 197147 de la Base de connaissances Microsoft.

informations de déploiement Administration istratives

Pour mettre à jour votre installation administrative, procédez comme suit :

Téléchargez la version administrative de cette mise à jour de sécurité.
Cliquez sur Enregistrer ce programme sur le disque, puis sur OK.
Cliquez sur Enregistrer.
À l’aide de l’Explorateur Windows, recherchez le dossier qui contient le fichier enregistré, puis double-cliquez sur le fichier enregistré.
Si vous êtes invité à installer la mise à jour, cliquez sur Oui.
Cliquez sur Oui pour accepter le contrat de licence.
Dans l’emplacement où vous souhaitez placer la zone fichiers extraits, tapez c :\adminUpdate, puis cliquez sur OK.
Cliquez sur Oui lorsque vous êtes invité à créer le dossier.
Si vous connaissez la procédure de mise à jour de votre installation administrative, cliquez sur Démarrer, puis sur Exécuter. Tapez la commande suivante dans la zone Ouvrir

msiexec /a Administration Path\MSI File /p C :\adminUpdate\MSP File SHORTFILENAMES=TRUE

Où Administration chemin d’accès est le chemin d’accès de votre point d’installation d’administration pour votre application (par exemple, C :\Bureau XP), le fichier MSI est le package de base de données .msi de l’application (par exemple, Data1.msi), et le fichier MSP est le nom de la mise à jour administrative (par exemple, SHAREDff.msp).

Notez que vous pouvez ajouter /qb+ à la ligne de commande afin que la boîte de dialogue Installation Administration istrative et la boîte de dialogue Contrat de licence utilisateur final n’apparaissent pas.
Cliquez sur Suivant dans la boîte de dialogue fournie. Ne modifiez pas votre clé CD, l’emplacement d’installation ou le nom de la société dans la boîte de dialogue fournie.
Cliquez sur J’accepte les termes du Contrat de licence, puis cliquez sur Installer.

À ce stade, votre point d’installation administratif est mis à jour. Ensuite, vous devez mettre à jour les stations de travail qui ont été installées à l’origine à partir de cette installation administrative. Pour ce faire, consultez la section Déploiement de station de travail. Toutes les nouvelles installations que vous exécutez à partir de ce point d’installation administratif incluent la mise à jour.

Avertissement Toute station de travail installée à l’origine à partir de cette installation administrative avant d’installer la mise à jour ne peut pas utiliser cette installation administrative pour les actions telles que la réparation de Bureau ou l’ajout de nouvelles fonctionnalités jusqu’à ce que vous effectuez les étapes de la section Déploiement de station de travail pour cette station de travail.

Informations de déploiement de station de travail

Pour déployer la mise à jour sur les stations de travail clientes, cliquez sur Démarrer, puis sur Exécuter. Tapez la commande suivante dans la zone Ouvrir :

msiexec /i Administration Path\MSI File /qb REINSTALL=Feature List REINSTALLMODE=vomu

où Administration Chemin d’accès est le chemin d’accès de votre point d’installation administratif pour votre application (par exemple, C :\Bureau XP), le fichier MSI est le package de base de données MSI de l’application (par exemple, Data1.msi), et la liste des fonctionnalités est la liste des noms de fonctionnalités (respectant la casse) qui doivent être réinstallés pour la mise à jour. Pour installer toutes les fonctionnalités, vous pouvez utiliser REINSTALL=ALL.

Notez que des instructions supplémentaires sont fournies dans l’article de la Base de connaissances Microsoft 832332. Vous trouverez également des informations sur cette mise à jour sur le site web du Kit de ressources Microsoft Bureau XP. Vous trouverez également des informations générales sur le Kit de ressources Microsoft Bureau XP sur TechNet. La documentation windows Installer fournit également des informations supplémentaires sur les paramètres pris en charge par Windows Installer.

informations sur le fichier d’installation Administration istrative

Bureau XP :

Date Time Version Size Filename
--------------------------------------------------------
07-May-2004 21:56 10.0.6714.0 9,796,288 Mso.dll

Vérification de l’installation de la mise à jour

Microsoft Baseline Security Analyzer

Pour vérifier qu’une mise à jour de sécurité est installée sur un système affecté, vous pouvez utiliser l’outil Microsoft Baseline Security Analyzer (Mo SA), qui permet aux administrateurs d’analyser les systèmes locaux et distants pour détecter les mises à jour de sécurité manquantes et pour les configurations incorrectes de sécurité courantes. Pour plus d’informations sur Mo SA, visitez le site web Microsoft Baseline Security Analyzer.
Vérification de version de fichier

Notez qu’il existe plusieurs versions de Microsoft Windows, les étapes suivantes peuvent être différentes sur votre ordinateur. Si c’est le cas, consultez la documentation de votre produit pour effectuer ces étapes.
1. Cliquez sur Démarrer, puis sur Rechercher.
2. Dans le volet Résultats de la recherche, cliquez sur Tous les fichiers et dossiers sous Compagnon de recherche.
3. Dans la zone Tout ou partie du nom de fichier, tapez un nom de fichier à partir de la table d’informations de fichier appropriée, puis cliquez sur Rechercher.
4. Dans la liste des fichiers, cliquez avec le bouton droit sur un nom de fichier à partir de la table d’informations de fichier appropriée, puis cliquez sur Propriétés.
  
  Notez que , selon la version du système d’exploitation ou des programmes installés, certains fichiers répertoriés dans la table d’informations de fichier peuvent ne pas être installés.
5. Sous l’onglet Version , déterminez la version du fichier installé sur votre ordinateur en la comparant à la version documentée dans la table d’informations de fichier appropriée.
  
  Notez que les attributs autres que la version du fichier peuvent changer pendant l’installation. La comparaison d’autres attributs de fichier aux informations de la table d’informations de fichier n’est pas une méthode prise en charge pour vérifier l’installation de la mise à jour. En outre, dans certains cas, les fichiers peuvent être renommés lors de l’installation. Si les informations de fichier ou de version ne sont pas présentes, utilisez l’une des autres méthodes disponibles pour vérifier l’installation de la mise à jour.

Project 2002 (toutes les versions)

Prérequis et détails de mise à jour supplémentaires

Important : avant d’installer cette mise à jour, vérifiez que les conditions suivantes ont été remplies :

Microsoft Windows Installer 2.0 doit être installé. Microsoft Windows Server 2003, Windows XP et Microsoft Windows 2000 Service Pack 3 (SP3) incluent Windows Installer 2.0 ou version ultérieure. La dernière version de Windows Installer est disponible sous forme de téléchargement distinct sur les liens suivants :

Windows Installer 2.0 pour Windows 95, Windows 98 et Windows Millennium Edition

Windows Installer 2.0 pour Windows 2000 et Windows NT 4.0
Microsoft Project Standard 2002, Microsoft Project Standard Service Pack 1, Microsoft Project Professionel 2002 ou Microsoft Project Professionel 2002 Service Pack 1 doit être installé. Avant d’installer cette mise à jour, nous vous recommandons d’installer Microsoft Project 2002 Service Pack 1. Toutefois, cette mise à jour s’installe correctement sur les installations de Microsoft Project 2002 qui n’ont pas encore installé Service Pack 1. Pour plus d’informations sur l’installation de Microsoft Project 2002 Service Pack 1, consultez l’article 830241 de la Base de connaissances Microsoft. Pour plus d’informations sur l’installation de cette mise à jour sur les installations de Microsoft Project 2002 qui n’ont pas installé Project 2002 Service Pack 1, consultez l’article 831931 de la Base de connaissances Microsoft.

Notez que la version administrative (complète) de cette mise à jour inclut les fichiers nécessaires pour prendre en charge l’installation sur les versions localisées du produit concerné, bien que l’interface utilisateur d’installation de la mise à jour de sécurité soit en anglais.

Inclusion dans les Service Packs futurs :

Le correctif de ce problème sera inclus dans un service pack ultérieur.

Configuration requise pour le redémarrage

Aucun redémarrage n'est requis.

Informations de suppression

Informations d’installation automatisée du client

Bureau Mettre à jour le site web

Microsoft vous recommande d’installer la mise à jour du client Project 2002 à l’aide du site web Bureau Update. Le site web Bureau Update détecte votre installation particulière et vous invite à installer exactement ce que vous devez avoir pour vous assurer que votre installation est entièrement à jour.

Pour que le site web Bureau Mises à jour détecte les mises à jour requises que vous devez installer sur votre ordinateur, visitez le site web Bureau Mettre à jour, puis cliquez sur Rechercher Mises à jour. Une fois la détection terminée, vous recevrez une liste des mises à jour recommandées pour votre approbation. Cliquez sur Démarrer l’installation pour terminer le processus.