Bulletin de sécurité

Bulletin de sécurité Microsoft MS04-038 - Critique

Mise à jour de sécurité cumulative pour Internet Explorer (834707)

Publication : 12 octobre 2004 | Mise à jour : 09 novembre 2004

Version : 1.1

Émis : 12 octobre 2004
Mise à jour : 9 novembre 2004
Version : 1.1

Résumé

Qui devez lire ce document : Clients qui utilisent Microsoft Windows

Impact de la vulnérabilité : exécution de code à distance

Évaluation de gravité maximale : Critique

Recommandation : les clients doivent installer la mise à jour immédiatement.

Remplacement de la mise à jour de sécurité : cette mise à jour remplace la mise à jour incluse dans le Bulletin de sécurité Microsoft MS04-025. Cette mise à jour est également une mise à jour cumulative.

Avertissements :Article de la Base de connaissances Microsoft 834707 documente les problèmes actuellement connus que les clients peuvent rencontrer lors de l’installation de cette mise à jour de sécurité. L’article documente également les solutions recommandées pour ces problèmes.

Cette mise à jour peut ne pas inclure les correctifs logiciels qui ont été publiés depuis la publication de MS04-004 ou MS04-025. Les clients qui ont reçu des correctifs logiciels de Microsoft ou de leurs fournisseurs de support depuis la publication de MS04-004 ou MS04-025 doivent passer en revue la section FAQ de cette mise à jour pour déterminer comment cette mise à jour peut affecter leurs systèmes d’exploitation.

Cette mise à jour contient plusieurs fonctionnalités et modifications de sécurité documentées dans la section FAQ de cette mise à jour.

Emplacements de téléchargement des mises à jour logicielles et des mises à jour de sécurité testés :

Logiciels affectés :

• Microsoft Windows NT Server 4.0 Service Pack 6a
• Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
• Microsoft Windows 2000 Service Pack 3 et Microsoft Windows 2000 Service Pack 4
• Microsoft Windows XP, Microsoft Windows XP Service Pack 1 et Microsoft Windows XP Service Pack 2
• Microsoft Windows XP 64 Bits Edition Service Pack 1
• Microsoft Windows XP 64 bits Edition version 2003
• Microsoft Windows Server 2003
• Microsoft Windows Server 2003 64 bits Edition
• Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) et Microsoft Windows Millennium Edition (Me) - Consultez la section FAQ de ce bulletin pour plus d’informations sur ces systèmes d’exploitation.

Composants affectés :

• Internet Explorer 5.01 Service Pack 3 sur Windows 2000 SP3 : téléchargez la mise à jour.
• Internet Explorer 5.01 Service Pack 4 sur Windows 2000 SP4 : téléchargez la mise à jour.
• Internet Explorer 5.5 Service Pack 2 sur Microsoft Windows Me : téléchargez la mise à jour.
• Internet Explorer 6 sur Windows XP : téléchargez la mise à jour.
• Internet Explorer 6 Service Pack 1 sur Microsoft Windows 2000 Service Pack 3, sur Microsoft Windows 2000 Service Pack 4, sur Microsoft Windows XP ou sur Microsoft Windows XP Service Pack 1 : télécharger la mise à jour.
• Internet Explorer 6 Service Pack 1 sur Microsoft Windows NT Server 4.0 Service Pack 6a, sur Microsoft Windows NT Server 4.0 Terminal Service Pack 6, sur Microsoft Windows 98, sur Microsoft Windows 98 SE ou sur Microsoft Windows Me : télécharger la mise à jour.
• Internet Explorer 6 pour Windows XP Service Pack 1 (édition 64 bits) : téléchargez la mise à jour.
• Internet Explorer 6 pour Windows Server 2003 : téléchargez la mise à jour.
• Internet Explorer 6 pour Windows Server 2003 Édition 64 bits et Windows XP 64 bits Version 2003 : Télécharger la mise à jour.
• Internet Explorer 6 pour Windows XP Service Pack 2 : téléchargez la mise à jour.

Le logiciel de cette liste a été testé pour déterminer si les versions sont affectées. Les autres versions n’incluent plus la prise en charge des mises à jour de sécurité ou peuvent ne pas être affectées. Pour déterminer le cycle de vie de support de votre produit et de votre version, visitez le site web Support Microsoft cycle de vie.

Informations générales

Résumé

Résumé:

Cette mise à jour résout plusieurs vulnérabilités récemment découvertes publiquement et signalées en privé. Chaque vulnérabilité est documentée dans ce bulletin dans sa propre section Détails des vulnérabilités.

Si un utilisateur est connecté avec des privilèges d’administration, un attaquant qui a réussi à exploiter la plus grave de ces vulnérabilités peut prendre le contrôle complet d’un système affecté, y compris l’installation de programmes ; affichage, modification ou suppression de données ; ou création de comptes avec des privilèges complets. Les utilisateurs dont les comptes sont configurés pour avoir moins de privilèges sur le système seraient moins risqués que les utilisateurs qui opèrent avec des privilèges d’administration.

Microsoft recommande aux clients d’installer la mise à jour immédiatement.

Évaluations de gravité et identificateurs de vulnérabilité :

Identificateurs de vulnérabilité	Impact de la vulnérabilité	Internet Explorer 5.01 SP3, SP4	Internet Explorer 5.5 SP2	Internet Explorer 6	Internet Explorer 6 SP1 (toutes les versions antérieures à Windows Server 2003)	Internet Explorer 6 pour Windows Server 2003 (y compris l’édition 64 bits)	Internet Explorer 6 sur Windows XP Service Pack 2
Vulnérabilité de corruption de mémoire du tas en cascade (CSS) - CAN-2004-0842	Exécution de code à distance\	Critique	Critique	Critique	Critique	Modéré	Aucun
Vulnérabilité inter-domaines de redirection de noms de méthode similaires - CAN-2004-0727	Exécution de code à distance\	Critique\	Critique\	Critique\	Critique\	Modéré	Aucun
Vulnérabilité du moteur d’installation - CAN-2004-0216	Exécution de code à distance\	Critique\	Critique\	Critique\	Critique\	Modéré	Aucun
Vulnérabilité glisser-déplacer - CAN-2004-0839	Exécution de code à distance	Important\	Important\	Important\	Important\	Modéré	Important
Usurpation de barre d’adresses sur la vulnérabilité des paramètres régionaux du jeu de caractères double octet - CAN-2004-0844	Divulgation d’informations	Aucun\	Aucun\	Aucun\	Important\	Important\	Aucun
Vulnérabilité d’usurpation d’identité de barre d’adresses de plug-in - CAN-2004-0843	Divulgation d’informations	Aucun	Important\	Important	Important	Modéré	Aucun
Vulnérabilité de téléchargement de fichier de balise d’image dans un script - CAN-2004-0841	Exécution de code à distance\	Important\	Important\	Important\	Important\	Modéré	Aucun
Vulnérabilité de mise en cache SSL - CAN-2004-0845	Divulgation d’informations	Modéré	Modéré	Modéré	Modéré	Modéré	Aucun
Gravité agrégée de toutes les vulnérabilités	Critique	Critique	Critique	Critique	Important	Important

Cette évaluation est basée sur les types de systèmes affectés par la vulnérabilité, leurs modèles de déploiement classiques et l’effet que l’exploitation de la vulnérabilité aurait sur eux.

Questions fréquentes (FAQ) relatives à cette mise à jour de sécurité

Pourquoi cette mise à jour traite-t-elle plusieurs vulnérabilités de sécurité signalées ?
Cette mise à jour contient la prise en charge de plusieurs vulnérabilités, car les modifications requises pour résoudre ces problèmes se trouvent dans des fichiers associés. Au lieu d’avoir à installer plusieurs mises à jour presque identiques, les clients ne peuvent installer que cette mise à jour.

Quelles mises à jour cette version remplace-t-elle ?
Cette mise à jour de sécurité remplace plusieurs bulletins de sécurité antérieurs. Les ID de bulletin de sécurité et les versions d’Internet Explorer affectées sont répertoriés dans le tableau suivant.

ID de bulletin	Internet Explorer 5.01 SP3, SP4	Internet Explorer 5.5 SP2	Internet Explorer 6	Internet Explorer 6 SP1 (toutes les versions antérieures à Windows Server 2003)	Internet Explorer 6 pour Windows Server 2003 (y compris l’édition 64 bits)	Internet Explorer 6 sur Windows XP Service Pack 2
MS04-025	Replaced	Replaced	Replaced	Replaced	Replaced	Non applicable

J’ai reçu un correctif logiciel de Microsoft ou de mon fournisseur de support depuis la publication de MS04-004. Ce correctif logiciel est-il inclus dans cette mise à jour de sécurité ?
Pour Internet Explorer 6 Service Pack 1 pour Windows 2000 Service Pack 3, Windows 2000 Service Pack 4, Windows XP, Windows XP Service Pack 1, Windows NT Server 4.0 Service Pack 6a, Windows NT Server 4.0 Terminal Server Edition Service Pack 6, Windows 98, Windows 98 Second Edition et Windows Me, la plupart des correctifs logiciels Internet Explorer ne sont pas inclus dans la mise à jour de sécurité MS04-038. Lorsque vous installez l’une des mises à jour de sécurité MS04-038 pour Internet Explorer 6 SP1, les correctifs logiciels Internet Explorer publiés depuis MS04-004 seront supprimés si le correctif logiciel a remplacé l’un des fichiers répertoriés dans la section « Informations de mise à jour de sécurité » de ce bulletin.

À compter de MS04-025, les correctifs logiciels cumulatifs pour Internet Explorer sont disponibles dans un correctif cumulatif distinct qui inclut les correctifs logiciels cumulatifs et les correctifs de sécurité inclus dans la dernière mise à jour de sécurité pour Internet Explorer. Par exemple, le correctif cumulatif 871260 inclut les correctifs de sécurité cumulés dans MS04-025 ainsi que les correctifs logiciels publiés depuis MS04-004. Le correctif cumulatif 873377 inclut les correctifs de sécurité cumulés dans MS04-038 ainsi que les correctifs logiciels publiés depuis MS04-004. Pour plus d’informations sur les correctifs logiciels inclus dans le correctif cumulatif 873377, ainsi que des instructions sur l’obtention et le déploiement du correctif cumulatif, contactez votre fournisseur de support Microsoft ou consultez l’article de la Base de connaissances Microsoft 873377.

Pour Internet Explorer 6 pour Microsoft Windows XP Service Pack 2, Windows Server 2003 et Windows 64 Bits Edition version 2003, cette mise à jour de sécurité contient des correctifs logiciels inclus ou après MS04-025, ainsi que des correctifs pour tous les problèmes de sécurité résolus dans cette mise à jour. Toutefois, les versions des correctifs logiciels inclus dans cette mise à jour de sécurité sont installées uniquement si vous avez déjà installé un correctif logiciel Internet Explorer pour mettre à jour les fichiers répertoriés dans la section « Informations de mise à jour de sécurité » de ce bulletin.

Pour Internet Explorer 5.01, Internet Explorer 5.5 SP2 et Internet Explorer 6 pour Windows XP, les mises à jour de sécurité MS04-038 contiennent des correctifs logiciels inclus après MS04-004, ainsi que des correctifs logiciels inclus après MS04-025 et les correctifs de sécurité cumulés dans MS04-038. Les versions des correctifs logiciels des fichiers inclus dans cette mise à jour de sécurité sont installées, que vous ayez déjà installé un correctif logiciel Internet Explorer pour mettre à jour les fichiers répertoriés dans la section « Informations de mise à jour de sécurité » de ce bulletin.

Cette mise à jour contient-elle d’autres modifications apportées aux fonctionnalités ?
Oui. Outre les modifications répertoriées dans la section Détails des vulnérabilités de ce bulletin, cette mise à jour inclut les modifications suivantes dans les fonctionnalités :

• Comme avec les Mises à jour de sécurité cumulative d’Internet Explorer précédentes qui ont été publiées depuis MS03-004, cette mise à jour entraîne le contrôle window.showHelp( ) de ne plus fonctionner si vous n’avez pas appliqué la mise à jour d’aide HTML. Si vous avez installé le contrôle d’aide HTML mis à jour à partir de l’article 811630 de la Base de connaissances Microsoft, vous pourrez toujours utiliser la fonctionnalité d’aide HTML après avoir installé cette mise à jour.
• Comme avec la mise à jour de sécurité cumulative d’Internet Explorer précédente, MS04-004, cette mise à jour vous empêche de visiter des sites web qui ont des URL « username :password@host.com » pour XMLHTTP. Nous avons créé une mise à jour vers MSXML qui résout ce problème spécifiquement pour XMLHTTP. Pour plus d’informations, consultez l’article de la Base de connaissances Microsoft 832414.

Cette mise à jour contient-elle d’autres modifications de sécurité ?
Oui. Outre les modifications répertoriées dans la section Détails des vulnérabilités de ce bulletin, cette mise à jour inclut les modifications de sécurité suivantes.

• Cette mise à jour définit le bit de destruction pour le contrôle Hrtbeat.ocx ActiveX. Ce contrôle implémente la prise en charge des jeux en ligne dans les sites associés à MSN. Internet Explorer ne prend plus en charge ce contrôle. Ce contrôle a été détecté pour contenir une vulnérabilité de sécurité. Pour protéger les clients qui ont installé ce contrôle, cette mise à jour empêche l’exécution ou la réintroduite sur les systèmes des utilisateurs en définissant le bit de destruction pour le contrôle. Pour plus d’informations sur les bits de destruction, consultez l’article de la Base de connaissances Microsoft 240797.

• Cette mise à jour affine les vérifications de sécurité effectuées lorsque vous ouvrez des fichiers d’aide HTML à partir d’Internet à l’aide de la méthode showHelp . Ces modifications empêchent les pages Web de la zone Internet d’accéder aux fichiers d’aide HTML sur le système local.

• La mise à jour répare le comportement du paramètre de sécurité « Glisser-déplacer ou copier-coller des fichiers » sur Internet Explorer sur Windows XP. Si ce paramètre a été défini sur Désactiver ou demander une zone particulière sur Windows XP, il ne désactive pas ou n’invite pas lors du glissement, de la suppression, de la copie ou du collage de fichiers comme indiqué dans la section « Configuration des zones de sécurité » a été apporté à ce paramètre pour qu’il corresponde au comportement tel qu’il est documenté.

• Cette mise à jour augmente le case activée de validation des éléments d’image utilisés dans les événements de glisser-déplacer. Si l’élément d’un événement de glisser-déplacer n’est pas une image valide, cette opération est bloquée. Vous trouverez plus d’informations sur cette modification dans l’article de la Base de connaissances Microsoft 887614.

• Cette mise à jour augmente la validation case activée ing pour les pointeurs de fonction. Cette validation accrue se produit lorsqu’un gestionnaire d’événements pointe directement vers une fonction DOM (Document Object Model). Pour plus d’informations et pour contourner cette case activée de validation accrue, consultez l’article 887741 de la Base de connaissances Microsoft.

• Comme avec les Mises à jour de sécurité cumulative d’Internet Explorer précédentes publiées depuis MS04-004, cette mise à jour inclut également une modification des fonctionnalités d’une fonctionnalité d’authentification en texte clair dans Internet Explorer. La mise à jour supprime la prise en charge de la gestion des noms d’utilisateurs et des mots de passe dans HTTP et HTTP avec des URL SSL (Secure Sockets Layer) ou HTTPS dans Microsoft Internet Explorer. La syntaxe d’URL suivante n’est plus prise en charge dans Internet Explorer ou dans Windows Explorer après avoir installé cette mise à jour logicielle :

  http(s) ://username :password@server/resource.ext

  Pour plus d’informations sur cette modification, consultez l’article de la Base de connaissances Microsoft 834489.

Comment la prise en charge étendue de Windows 98, Windows 98 Second Edition et Windows Millennium Edition affecte-t-elle la publication des mises à jour de sécurité pour ces systèmes d’exploitation ?
Microsoft publie uniquement les mises à jour de sécurité pour les problèmes de sécurité critiques. Les problèmes de sécurité non critiques ne sont pas proposés pendant cette période de support. Pour plus d’informations sur les stratégies de cycle de vie Support Microsoft pour ces systèmes d’exploitation, visitez ce site web Support Microsoft.

Pour plus d’informations sur les évaluations de gravité, visitez le site web Microsoft TechNet suivant.

Notez que les mises à jour de sécurité critiques pour ces plateformes peuvent ne pas être disponibles simultanément avec les autres mises à jour de sécurité fournies dans le cadre de ce bulletin de sécurité. Ils seront mis à disposition dès que possible après la publication. Lorsque ces mises à jour de sécurité sont disponibles, vous pouvez les télécharger uniquement à partir du site web Microsoft Update.

Windows 98, Windows 98 Second Edition ou Windows Millennium Edition sont-ils gravement affectés par les vulnérabilités qui sont traitées dans ce bulletin de sécurité ?
Oui. Windows 98, Windows 98 Second Edition et Windows Millennium Edition sont gravement affectés par cette vulnérabilité. Les mises à jour de sécurité critiques pour ces plateformes peuvent ne pas être disponibles simultanément avec les autres mises à jour de sécurité fournies dans le cadre de ce bulletin de sécurité. Ils seront mis à disposition dès que possible après la publication. Lorsque ces mises à jour de sécurité sont disponibles, vous pouvez les télécharger uniquement à partir du site web Windows Update. Pour plus d’informations sur les évaluations de gravité, visitez le site web suivant.

J’utilise toujours Microsoft Windows NT 4.0 Workstation Service Pack 6a ou Windows 2000 Service Pack 2, mais la prise en charge des mises à jour de sécurité étendues a pris fin le 30 juin 2004. Que dois-je faire ?
Windows NT 4.0 Workstation Service Pack 6a et Windows 2000 Service Pack 2 ont atteint la fin de leur cycle de vie comme indiqué précédemment, et Microsoft a étendu ce support au 30 juin 2004.

Il doit s’agir d’une priorité pour les clients qui ont ces versions du système d’exploitation à migrer vers des versions prises en charge afin d’éviter une exposition potentielle aux vulnérabilités futures. Pour plus d’informations sur le cycle de vie des produits Windows, visitez le site web Support Microsoft cycle de vie du cycle de vie. Pour plus d’informations sur la période de prise en charge des mises à jour de sécurité étendues pour ces versions du système d’exploitation, visitez le site web des services de support technique Microsoft.

Les clients qui ont besoin d’un support supplémentaire pour Windows NT Workstation 4.0 SP6a doivent contacter leur représentant de l’équipe de compte Microsoft, leur responsable de compte technique ou le représentant partenaire Microsoft approprié pour les options de support personnalisées. Les clients sans contrat Alliance, Premier ou Autorisé peuvent contacter leur bureau de vente Microsoft local. Pour obtenir des informations de contact, visitez le site web Microsoft Worldwide Information, sélectionnez le pays, puis cliquez sur Atteindre pour afficher la liste des numéros de téléphone. Lorsque vous appelez, demandez à parler avec le directeur commercial premier support local.

Pour plus d’informations, consultez le FAQ sur le système d’exploitation Windows.

J’utilise toujours Windows XP, mais la prise en charge des mises à jour de sécurité étendues a pris fin le 30 septembre 2004. Toutefois, ce bulletin a une mise à jour de sécurité pour cette version du système d’exploitation. Pourquoi ?

La version d’origine de Windows XP, communément appelée version Windows XP Gold ou Windows XP Release to Manufacturing (RTM), a atteint la fin de son cycle de vie de support de mise à jour de sécurité étendu le 30 septembre 2004. Toutefois, la fin de vie s’est produite très récemment. Dans ce cas, la majorité des étapes requises pour résoudre cette vulnérabilité ont été effectuées avant cette date. Par conséquent, nous avons décidé de publier une mise à jour de sécurité pour cette version du système d’exploitation dans le cadre de ce bulletin de sécurité. Nous ne prévoyons pas de faire cela pour les vulnérabilités futures affectant cette version du système d’exploitation, mais nous nous réservons le droit de produire des mises à jour et de rendre ces mises à jour disponibles si nécessaire. Il doit s’agir d’une priorité pour les clients disposant de cette version du système d’exploitation pour migrer vers les versions de système d’exploitation prises en charge afin d’éviter toute exposition potentielle aux vulnérabilités. Pour plus d’informations sur le cycle de vie du produit Windows Service Pack, visitez le site web Support Microsoft cycle de vie de cycle de vie suivant. Pour plus d’informations sur le cycle de vie des produits Windows, visitez le site web Support Microsoft cycle de vie suivant.

Pour plus d’informations, consultez le FAQ sur le système d’exploitation Windows.

Pourquoi les commutateurs d’installation de ligne de commande sont-ils différents pour les packages Internet Explorer 5.01 et Internet Explorer 6.0 SP1 sur les systèmes d’exploitation Windows 2000 et Windows XP pour cette version par rapport à la dernière mise à jour de sécurité cumulative d’Internet Explorer, MS04-025 ?
Ces packages répertoriés ci-dessus utilisent une nouvelle technologie d’installation, Update.exe. Par conséquent, les options d’installation sont différentes de celles des versions précédentes. En outre, dans le cadre de la modification apportée à la technologie d’installation Update.exe, le numéro d’article de la Base de connaissances de cette mise à jour ne s’affiche plus dans la fenêtre d’aide à propos d’Internet Explorer. Pour plus d’informations sur les commutateurs de ligne de commande utilisés pour cette version, reportez-vous à la section Informations sur les mises à jour de sécurité de ce bulletin. Vous trouverez plus d’informations sur Update.exe sur le site web Microsoft suivant.

Pourquoi existe-t-il deux versions de la mise à jour d’Internet Explorer 6 Service Pack 1 ?
Un package distinct a été créé pour Internet Explorer 6 Service Pack 1 lorsqu’il est utilisé sur Windows NT Server Service Pack 6a, Windows 98, Windows 98SE et Windows Me. Cette mise à jour utilise la même technologie d’installation que les versions précédentes, Iexpress. Pour plus d’informations sur l’installation de cette mise à jour de sécurité sur ces systèmes d’exploitation, consultez les sections Informations sur les mises à jour de sécurité de ce bulletin. Vous trouverez plus d’informations sur Iexpress sur le site web suivant.

Puis-je utiliser Microsoft Baseline Security Analyzer (Mo SA) pour déterminer si cette mise à jour est requise ?
Oui. Mo SA détermine si cette mise à jour est requise. Pour plus d’informations sur Mo SA, visitez le site web Mo SA.

Notez qu’après le 20 avril 2004, le fichier Mssecure.xml utilisé par Mo SA 1.1.1 et les versions antérieures n’est plus mis à jour avec de nouvelles données de bulletin de sécurité. Par conséquent, les analyses effectuées après cette date avec Mo SA 1.1.1 ou une version antérieure seront incomplètes. Tous les utilisateurs doivent effectuer une mise à niveau vers Mo SA 1.2, car ils fournissent une détection des mises à jour de sécurité plus précises et prennent en charge des produits supplémentaires. Les utilisateurs peuvent télécharger Mo SA 1.2 à partir du site web Mo SA. Pour plus d’informations sur la prise en charge de Mo SA, consultez le Q&A Microsoft Baseline Security Analyzer 1.2 suivant. Site web.

Puis-je utiliser Systems Management Server (SMS) pour déterminer si cette mise à jour est requise ?
SMS peut déployer cette mise à jour pour toutes les versions d’Internet Explorer, à l’exception d’Internet Explorer 6 SP1. Comme indiqué dans la section Composants affectés de ce bulletin, cette version inclut deux packages pour Internet Explorer 6 SP1. Un package est conçu pour Windows 2000, Windows XP et Windows XPSP1. Ce package utilise la technologie d’installation Update.exe décrite ci-dessus. Le deuxième package est conçu pour Windows NT, Windows 98 et Windows Me. Mo SA n’est pas en mesure de déterminer quelle mise à jour d’Internet Explorer 6 SP1 est requise pour un système d’exploitation spécifique. Un package destiné au déploiement SMS a été créé uniquement qui contient les deux versions des mises à jour d’Internet Explorer 6 SP1. Lors du déploiement avec SMS, ce package détecte le système d’exploitation et installe la version correcte de la mise à jour pour ce système d’exploitation. Mo SA lorsqu’il est utilisé avec SMS, demande aux administrateurs SMS de déployer ce package de déploiement SMS. Pour plus d’informations sur cette mise à jour, consultez l’article 887437 de la Base de connaissances Microsoft.

J’exécute Internet Explorer sur Windows Server 2003. Cela atténue-t-il l’une de ces vulnérabilités ?
Par défaut, Internet Explorer sur Windows Server 2003 s’exécute en mode restreint appelé Configuration de sécurité renforcée qui atténue de nombreuses vulnérabilités Internet Explorer. Étant donné que ce bulletin de sécurité traite plusieurs vulnérabilités, cette atténuation est spécifiée dans la section Atténuation des facteurs de la vulnérabilité respective.

Qu’est-ce que la configuration de sécurité renforcée d’Internet Explorer ?
La configuration de sécurité renforcée d’Internet Explorer est un groupe de paramètres Internet Explorer préconfigurés qui réduisent la probabilité qu’un utilisateur ou un administrateur télécharge et exécute du contenu web malveillant sur un serveur. La configuration de sécurité renforcée d’Internet Explorer réduit ce risque en modifiant de nombreux paramètres liés à la sécurité, notamment les paramètres de la sécurité et l’onglet Avancé dans la boîte de dialogue Options Internet. Voici quelques-unes des modifications importantes :

• Le niveau de sécurité de la zone Internet est défini sur High. Ce paramètre désactive les scripts, les contrôles ActiveX, la machine virtuelle Microsoft Java (MSJVM), le contenu HTML et les téléchargements de fichiers.
• La détection automatique des sites intranet est désactivée. Ce paramètre affecte tous les sites web intranet et tous les chemins d’accès UNC (Universal Naming Convention) qui ne sont pas explicitement répertoriés dans la zone Intranet local à la zone Internet.
• Les extensions de navigateur non-Microsoft et à la demande sont désactivées. Ce paramètre empêche les pages web d’installer automatiquement des composants et empêche l’exécution d’extensions non-Microsoft.
• Le contenu multimédia est désactivé. Ce paramètre empêche l’exécution de musique, d’animations et de clips vidéo.

Détails de la vulnérabilité

Vulnérabilité de corruption de mémoire du tas CSS - CAN-2004-0842 :

Une vulnérabilité d’exécution de code à distance existe dans Internet Explorer qui pourrait autoriser l’exécution de code à distance sur un système concerné. Un attaquant peut exploiter la vulnérabilité en construisant une page web malveillante qui pourrait autoriser l’exécution de code à distance si un utilisateur a visité un site Web malveillant. Un attaquant qui a réussi à exploiter cette vulnérabilité peut prendre le contrôle complet d’un système affecté. Toutefois, une interaction utilisateur importante est nécessaire pour exploiter cette vulnérabilité.

Atténuation des facteurs de vulnérabilité de corruption de mémoire du tas CSS - CAN-2004-0842 :

• Dans un scénario d’attaque web, un attaquant doit héberger un site Web qui contient une page Web utilisée pour exploiter cette vulnérabilité. Un attaquant n’aurait aucun moyen de forcer les utilisateurs à visiter un site Web malveillant. Au lieu de cela, un attaquant devra les persuader de visiter le site Web, généralement en les obtenant pour cliquer sur un lien qui les amène au site de l’attaquant. Une fois qu’ils cliquent sur le lien, ils sont invités à effectuer plusieurs actions. Une attaque ne peut se produire qu’après avoir effectué ces actions.

• Un attaquant qui a réussi à exploiter cette vulnérabilité peut obtenir les mêmes privilèges que l’utilisateur. Les utilisateurs dont les comptes sont configurés pour avoir moins de privilèges sur le système seraient moins risqués que les utilisateurs qui opèrent avec des privilèges d’administration.

• Par défaut, Outlook Express 6, Outlook 2002 et Outlook 2003 ouvrent des messages électroniques HTML dans la zone Sites restreints. En outre, Outlook 98 et Outlook 2000 ouvrent des messages électroniques HTML dans la zone Sites restreints si la mise à jour de sécurité de la messagerie Outlook a été installée. Outlook Express 5.5 Service Pack 2 ouvre un e-mail HTML dans la zone Sites restreints si le Bulletin de sécurité Microsoft MS04-018 a été installé. La zone sites restreints permet de réduire les attaques susceptibles d’exploiter cette vulnérabilité.

  Le risque d’attaque à partir du vecteur de messagerie HTML peut être considérablement réduit si vous remplissez toutes les conditions suivantes :

  • Installez la mise à jour incluse dans le Bulletin de sécurité Microsoft MS03-040 ou une mise à jour de sécurité cumulative ultérieure pour Internet Explorer.
  • Utilisez Outlook Express 5.5 Service Pack 2 ou version ultérieure et avez appliqué la mise à jour incluse dans le Bulletin de sécurité Microsoft MS04-018 ou une mise à jour de sécurité cumulative ultérieure pour Outlook Express.
  • Utiliser Microsoft Outlook 98 et Outlook 2000 avec la mise à jour de sécurité de messagerie Microsoft Outlook installée
  • Utilisez Microsoft Outlook Express 6 ou version ultérieure ou Microsoft Outlook 2000 Service Pack 2 ou version ultérieure dans leur configuration par défaut.

• Par défaut, Internet Explorer sur Windows Server 2003 s’exécute en mode restreint appelé Configuration de sécurité améliorée. Ce mode atténue cette vulnérabilité. Consultez la section FAQ de cette mise à jour de sécurité pour plus d’informations sur la configuration de sécurité renforcée d’Internet Explorer.

• Les produits suivants ne sont pas affectés par cette vulnérabilité.

  • Internet Explorer 6 sur Windows XP Service Pack 2

Solutions de contournement pour la vulnérabilité de corruption de mémoire du tas CSS - CAN-2004-0842 :

Microsoft a testé les solutions de contournement suivantes. Bien que ces solutions de contournement ne corrigent pas la vulnérabilité sous-jacente, elles aident à bloquer les vecteurs d’attaque connus. Lorsqu’une solution de contournement réduit les fonctionnalités, elle est identifiée ci-dessous.

• Définissez les paramètres de zone de sécurité Internet et Intranet local sur « Élevé » pour qu’il soit invité avant d’exécuter le contrôle ActiveX et les scripts actifs dans la zone Internet et dans la zone Intranet local.

  Vous pouvez vous protéger contre ces vulnérabilités en modifiant vos paramètres de la zone de sécurité Internet pour qu’ils s’affichent avant d’exécuter des contrôles ActiveX et des scripts actifs. Pour ce faire, procédez comme suit :

  1. Dans Internet Explorer, cliquez sur Options Internet dans le menu Outils .
  2. Cliquez sur l’onglet Security .
  3. Cliquez sur Internet, puis sur Niveau personnalisé.
  4. Sous Exécuter des contrôles ActiveX et des plug-ins dans la section Contrôles ActiveX et plug-ins , cliquez sur Invite.
  5. Sous Script actif dans la section Script, cliquez sur Invite, puis sur OK.
  6. Cliquez sur Intranet local, puis sur Niveau personnalisé.
  7. Sous Exécuter des contrôles ActiveX et des plug-ins dans la section Contrôles ActiveX et plug-ins , cliquez sur Invite.
  8. Sous Script actif dans la section Script, cliquez sur Invite.
  9. Cliquez sur OK deux fois pour revenir à Internet Explorer.

  Impact de la solution de contournement : il existe des effets secondaires à l’invite avant d’exécuter des contrôles ActiveX. De nombreux sites Web qui se trouvent sur Internet ou sur un intranet utilisent ActiveX pour fournir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peut utiliser des contrôles ActiveX pour fournir des menus, des formulaires de commande ou même des relevés de compte. L’invite avant d’exécuter des contrôles ActiveX est un paramètre global qui affecte tous les sites Internet et intranet. Vous serez invité fréquemment lorsque vous activez cette solution de contournement. Pour chaque invite, si vous pensez que vous faites confiance au site que vous visitez, cliquez sur Ouipour exécuter des contrôles ActiveX. Si vous ne souhaitez pas être invité à entrer tous ces sites, utilisez la solution de contournement « Restreindre les sites Web uniquement à vos sites web approuvés ».

• Restreindre les sites Web à vos sites Web approuvés uniquement

  Après avoir défini Internet Explorer pour exiger une invite avant d’exécuter des contrôles ActiveX et des scripts actifs dans la zone Internet et dans la zone Intranet local, vous pouvez ajouter des sites que vous approuvez à la zone sites approuvés d’Internet Explorer. Cela vous permettra de continuer à utiliser des sites Web approuvés exactement comme vous le faites aujourd’hui, tout en vous aidant à vous protéger contre cette attaque sur des sites non approuvés. Microsoft vous recommande d’ajouter uniquement des sites approuvés à la zone sites approuvés.

  Pour ce faire, procédez comme suit :

  1. Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l’onglet Sécurité .
  2. Dans la zone Sélectionner un contenu web pour spécifier sa zone de paramètres de sécurité actuelle, cliquez sur Sites approuvés, puis sur Sites.
  3. Si vous souhaitez ajouter des sites qui ne nécessitent pas de canal chiffré, cliquez pour effacer la case Exiger la vérification du serveur (https :) pour tous les sites de cette zone case activée zone.
  4. Dans la zone Ajouter ce site Web à la zone de zone , tapez l’URL d’un site approuvé, puis cliquez sur Ajouter.
  5. Répétez ces étapes pour chaque site que vous souhaitez ajouter à la zone
  6. Cliquez sur OK deux fois pour accepter les modifications et revenir à Internet Explorer.

  Ajoutez tous les sites que vous approuvez pour ne pas effectuer d’action malveillante sur votre ordinateur. L’une d’entre elles peut être ajoutée est « *.windowsupdate.microsoft.com » (sans les guillemets). Il s’agit du site qui hébergera la mise à jour et qui nécessite l’utilisation d’un contrôle ActiveX pour installer la mise à jour.

• Installez lamise à jourde sécurité de messagerie Outlook si vous utilisez Outlook 2000 SP1 ou une version antérieure.

  Par défaut, Outlook Express 6, Outlook 2002 et Outlook 2003 ouvrent des messages électroniques HTML dans la zone Sites restreints. En outre, Outlook 98 et Outlook 2000 ouvrent des messages électroniques HTML dans la zone Sites restreints si la mise à jour de sécurité de messagerie Outlook a été appliquée.

  Les clients qui utilisent l’un de ces produits peuvent être à un risque réduit d’une attaque par courrier électronique qui tente d’exploiter cette vulnérabilité, sauf si l’utilisateur clique sur un lien malveillant dans le message électronique.

• Installez la mise à jour incluse dans le Bulletinde sécurité Microsoft MS04-018si vous utilisez Outlook Express 5.5 SP2.

  Outlook Express 5.5 Service Pack 2 ouvre un e-mail HTML dans la zone Sites restreints si la mise à jour incluse dans le Bulletin de sécurité Microsoft MS04-018 a été appliquée.

  Les clients qui utilisent l’un de ces produits peuvent être à un risque réduit d’une attaque par courrier électronique qui tente d’exploiter cette vulnérabilité, sauf si l’utilisateur clique sur un lien malveillant dans le message électronique.

• Lisez les messages électroniques au format texte brut si vous utilisez Outlook 2002 ou version ultérieure, ou Outlook Express 6 SP1 ou version ultérieure, pour vous protéger contre le vecteur d’attaque de messagerie HTML.

  Les utilisateurs de Microsoft Outlook 2002 qui ont appliqué Bureau XP Service Pack 1 ou version ultérieure et les utilisateurs de Microsoft Outlook Express 6 ayant appliqué Internet Explorer 6 Service Pack 1 peuvent activer ce paramètre et afficher les messages électroniques qui ne sont pas signés numériquement ou messages électroniques qui ne sont pas chiffrés en texte brut uniquement.

  Les messages électroniques signés numériquement ou les messages électroniques chiffrés ne sont pas affectés par le paramètre et peuvent être lus dans leurs formats d’origine. Pour plus d’informations sur l’activation de ce paramètre dans Outlook 2002, consultez l’article 307594 de la Base de connaissances Microsoft.

  Pour plus d’informations sur ce paramètre dans Outlook Express 6, consultez l’article de la Base de connaissances Microsoft 291387.

  Impact de la solution de contournement : les messages électroniques affichés au format texte brut ne contiennent pas d’images, de polices spécialisées, d’animations ou d’autres contenus enrichis. De plus :

  • Les modifications sont appliquées au volet d’aperçu et à l’ouverture des messages.
  • Les images deviennent des pièces jointes afin qu’elles ne soient pas perdues.
  • Étant donné que le message est toujours au format Texte enrichi ou HTML dans le magasin, le modèle objet (solutions de code personnalisé) peut se comporter de manière inattendue.

FAQ sur la vulnérabilité de corruption de mémoire du tas CSS - CAN-2004-0842 :

Quelle est l’étendue de la vulnérabilité ?
Il s’agit d’une vulnérabilité de dépassement de mémoire tampon. Si un utilisateur est connecté avec des privilèges d’administration, un attaquant qui a réussi à exploiter cette vulnérabilité peut prendre le contrôle complet d’un système affecté, y compris l’installation de programmes ; affichage, modification ou suppression de données ; ou création de comptes disposant de privilèges complets. Les utilisateurs dont les comptes sont configurés pour avoir moins de privilèges sur le système seraient moins risqués que les utilisateurs qui opèrent avec des privilèges d’administration.

Quelles sont les causes de la vulnérabilité ?
Mémoire tampon non case activée dans le traitement css d’Internet Explorer.

Qu’est-ce que CSS ?
Les feuilles de style en cascade (CSS) sont une technologie qui permet aux auteurs web d’avoir un contrôle accru de la conception et de l’interaction de leurs pages Web. Pour plus d’informations sur CSS, visitez ce site web Microsoft Developer Network (MSDN).

Comment un attaquant pourrait-il exploiter la vulnérabilité ?
Un attaquant peut exploiter cette vulnérabilité en créant une page Web malveillante ou un message électronique HTML, puis en aidant l’utilisateur à visiter la page ou à afficher le message électronique HTML. Lorsque l’utilisateur a visité la page ou consulté le message électronique, l’attaquant pouvait accéder aux informations d’autres sites Web, accéder aux fichiers locaux sur le système ou provoquer l’exécution de code malveillant dans le contexte de sécurité de l’utilisateur connecté localement.

Quels systèmes sont principalement exposés à la vulnérabilité ?
Cette vulnérabilité nécessite qu’un utilisateur soit connecté et qu’il lisent des e-mails ou visitent des sites web pour toute action malveillante à effectuer. Par conséquent, tous les systèmes où le courrier électronique est lu ou où Internet Explorer est utilisé fréquemment, tels que les stations de travail ou les serveurs terminal des utilisateurs, sont à risque de cette vulnérabilité. Les systèmes qui ne sont généralement pas utilisés pour lire des messages électroniques ou pour visiter des sites Web, tels que la plupart des systèmes serveurs, sont à un risque réduit.

Windows 98, Windows 98 Second Edition ou Windows Millennium Edition sont-ils gravement affectés par cette vulnérabilité ?
Oui. Windows 98, Windows 98 Second Edition et Windows Millennium Edition sont gravement affectés par cette vulnérabilité. Les mises à jour de sécurité critiques pour ces plateformes peuvent ne pas être disponibles simultanément avec les autres mises à jour de sécurité fournies dans le cadre de ce bulletin de sécurité. Ils seront mis à disposition dès que possible après la publication. Lorsque ces mises à jour de sécurité sont disponibles, vous pouvez les télécharger uniquement à partir du site web Windows Update. Pour plus d’informations sur les évaluations de gravité, visitez ce site web Microsoft.

Que fait la mise à jour ?
La mise à jour supprime la vulnérabilité en modifiant la façon dont Internet Explorer valide la longueur d’un message lors du traitement de CSS.

Quand ce bulletin de sécurité a été émis, cette vulnérabilité a-t-elle été divulguée publiquement ?
Oui. Cette vulnérabilité a été divulguée publiquement. Il a été affecté au numéro de vulnérabilité et d’exposition courants CAN-2004-0842.

Quand ce bulletin de sécurité a été émis, Microsoft a-t-il reçu des rapports indiquant que cette vulnérabilité était exploitée ?
Non. Microsoft n’avait reçu aucune information indiquant que cette vulnérabilité avait été utilisée publiquement pour attaquer les clients et n’avait pas vu d’exemples de code de preuve de concept publié lorsque ce bulletin de sécurité a été émis à l’origine.

Vulnérabilité inter-domaines de redirection de noms de méthode similaire - CAN-2004-0727 :

Une vulnérabilité dans le modèle de sécurité inter-domaines existe dans Internet Explorer en raison de la façon dont Internet Explorer gère les méthodes de navigation par les fonctions qui ont des noms similaires. Un attaquant peut exploiter cette vulnérabilité en construisant une page Web malveillante qui pourrait autoriser l’exécution de code distant si un utilisateur a visité un site Web malveillant. Un attaquant qui a réussi à exploiter cette vulnérabilité peut exécuter du code de script malveillant dans la zone de sécurité de l’ordinateur local dans Internet Explorer ou accéder aux informations dans un autre domaine. Dans le pire des cas, si un utilisateur est connecté avec des privilèges d’administration, un attaquant qui a réussi à exploiter cette vulnérabilité peut prendre le contrôle complet d’un système affecté.

Atténuation des facteurs de vulnérabilité inter-domaines de redirection de noms de méthode similaires - CAN-2004-0727 :

• Dans un scénario d’attaque web, un attaquant doit héberger un site Web qui contient une page Web utilisée pour exploiter cette vulnérabilité. Un attaquant n’aurait aucun moyen de forcer les utilisateurs à visiter un site Web malveillant. Au lieu de cela, un attaquant devra les persuader de visiter le site Web, généralement en les obtenant pour cliquer sur un lien qui les amène au site de l’attaquant.

• Un attaquant qui a réussi à exploiter cette vulnérabilité peut obtenir les mêmes privilèges que l’utilisateur. Les utilisateurs dont les comptes sont configurés pour avoir moins de privilèges sur le système seraient moins risqués que les utilisateurs qui opèrent avec des privilèges d’administration.

• Les clients qui ont installé la mise à jour référencée dans le Bulletin de sécurité Microsoft MS04-024 et qui ont installé ADODB. La mise à jour de flux référencée dans l’article de la Base de connaissances 870669 sera à un risque réduit de cette vulnérabilité, ce qui entraîne l’exécution de code à distance.

• Par défaut, Outlook Express 6, Outlook 2002 et Outlook 2003 ouvrent des messages électroniques HTML dans la zone Sites restreints. En outre, Outlook 98 et Outlook 2000 ouvrent des messages électroniques HTML dans la zone Sites restreints si la mise à jour de sécurité de la messagerie Outlook a été installée. Outlook Express 5.5 Service Pack 2 ouvre un e-mail HTML dans la zone Sites restreints si le Bulletin de sécurité Microsoft MS04-018 a été installé. La zone sites restreints permet de réduire les attaques susceptibles d’exploiter cette vulnérabilité.

  Le risque d’attaque à partir du vecteur de messagerie HTML peut être considérablement réduit si vous remplissez toutes les conditions suivantes :

  • Installez la mise à jour incluse dans le Bulletin de sécurité Microsoft MS03-040 ou une mise à jour de sécurité cumulative ultérieure pour Internet Explorer.
  • Utilisez Outlook Express 5.5 Service Pack 2 ou version ultérieure et avez appliqué la mise à jour incluse dans le Bulletin de sécurité Microsoft MS04-018 ou une mise à jour de sécurité cumulative ultérieure pour Outlook Express.
  • Utiliser Microsoft Outlook 98 et Outlook 2000 avec la mise à jour de sécurité de messagerie Microsoft Outlook installée
  • Utilisez Microsoft Outlook Express 6 ou version ultérieure ou Microsoft Outlook 2000 Service Pack 2 ou version ultérieure dans leur configuration par défaut.

• Par défaut, Internet Explorer sur Windows Server 2003 s’exécute en mode restreint appelé Configuration de sécurité renforcée qui atténue cette vulnérabilité. Consultez la section FAQ de cette mise à jour de sécurité pour plus d’informations sur la configuration de sécurité renforcée d’Internet Explorer.

• Les produits suivants ne sont pas affectés par cette vulnérabilité.

  • Internet Explorer 6 sur Windows XP Service Pack 2

Solutions de contournement pour une vulnérabilité inter-domaines de redirection de noms de méthode similaire - CAN-2004-0727 :

Microsoft a testé les solutions de contournement suivantes. Bien que ces solutions de contournement ne corrigent pas la vulnérabilité sous-jacente, elles aident à bloquer les vecteurs d’attaque connus. Lorsqu’une solution de contournement réduit les fonctionnalités, elle est identifiée ci-dessous.

• Définissez les paramètres de zone de sécurité Internet et Intranet local sur « Élevé » pour qu’il soit invité avant d’exécuter des contrôles ActiveX et des scripts actifs dans la zone Internet et dans la zone Intranet local.

  Vous pouvez vous protéger contre ces vulnérabilités en modifiant vos paramètres de la zone de sécurité Internet pour qu’ils s’affichent avant d’exécuter des contrôles ActiveX et des scripts actifs. Pour ce faire, procédez comme suit :

  1. Dans Internet Explorer, cliquez sur Options Internet dans le menu Outils .
  2. Cliquez sur l’onglet Security .
  3. Cliquez sur Internet, puis sur Niveau personnalisé.
  4. Sous Exécuter des contrôles ActiveX et des plug-ins dans la section Contrôles ActiveX et plug-ins , cliquez sur Invite.
  5. Sous Script actif dans la section Script, cliquez sur Invite, puis sur OK.
  6. Cliquez sur Intranet local, puis sur Niveau personnalisé.
  7. Sous Exécuter des contrôles ActiveX et des plug-ins dans la section Contrôles ActiveX et plug-ins , cliquez sur Invite.
  8. Sous Script actif dans la section Scripting , cliquez sur Invite.
  9. Cliquez sur OK deux fois pour revenir à Internet Explorer.

  Impact de la solution de contournement : il existe des effets secondaires à l’invite avant d’exécuter des contrôles ActiveX. De nombreux sites Web qui se trouvent sur Internet ou sur un intranet utilisent ActiveX pour fournir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peut utiliser des contrôles ActiveX pour fournir des menus, des formulaires de commande ou même des relevés de compte.

  L’invite avant d’exécuter des contrôles ActiveX est un paramètre global qui affecte tous les sites Internet et intranet. Vous serez invité fréquemment lorsque vous activez cette solution de contournement. Pour chaque invite, si vous approuvez le site que vous visitez, cliquez sur Ouipour exécuter des contrôles ActiveX. Si vous ne souhaitez pas être invité à entrer tous ces sites, utilisez la solution de contournement « Restreindre les sites Web uniquement à vos sites web approuvés ».

• Restreindre les sites Web à vos sites Web approuvés uniquement

  Après avoir défini Internet Explorer pour exiger une invite avant d’exécuter des contrôles ActiveX et des scripts actifs dans la zone Internet et dans la zone Intranet local, vous pouvez ajouter des sites que vous approuvez à la zone sites approuvés d’Internet Explorer. Si vous procédez ainsi, vous pouvez continuer à utiliser des sites Web approuvés exactement comme vous le faites aujourd’hui, tout en vous aidant à vous protéger contre cette attaque sur des sites non approuvés. Nous vous recommandons d’ajouter uniquement des sites approuvés à la zone sites approuvés.

  Pour ce faire, procédez comme suit :

  1. Dans Internet Explorer, cliquez sur Options Internet dans le menu Outils .
  2. Cliquez sur l’onglet Security .
  3. Dans la zone Sélectionner un contenu web pour spécifier sa zone de paramètres de sécurité actuelle, cliquez sur Sites approuvés, puis sur Sites.
  4. Si vous souhaitez ajouter des sites qui ne nécessitent pas de canal chiffré, cliquez pour effacer la case Exiger la vérification du serveur (https :) pour tous les sites de cette zone case activée zone.
  5. Dans la zone Ajouter ce site Web à la zone de zone , tapez l’URL d’un site approuvé, puis cliquez sur Ajouter.
  6. Répétez ces étapes pour chaque site que vous souhaitez ajouter à la zone
  7. Cliquez sur OK deux fois pour accepter les modifications et revenir à Internet Explorer.

  Ajoutez tous les sites que vous approuvez pour ne pas effectuer d’action malveillante sur votre ordinateur. Vous pouvez ajouter « *.windowsupdate.microsoft.com » (sans guillemets) à votre zone Sites approuvés. Ce site héberge la mise à jour. Ce site utilise un contrôle ActiveX pour installer la mise à jour.

• Renforcer les paramètres de sécurité de la zone Ordinateur local dans Internet Explorer

  Étant donné que cette vulnérabilité permet à un attaquant d’exécuter du code HTML dans la zone de sécurité de l’ordinateur local, les utilisateurs peuvent réduire l’impact de cette vulnérabilité en limitant les paramètres par défaut de cette zone. Pour plus d’informations sur ces paramètres et pour plus d’informations sur les impacts potentiels de la modification de ces paramètres par défaut, consultez l’article de la Base de connaissances Microsoft 833633.

  Impact de la solution de contournement : Microsoft recommande aux clients de considérer ces modifications dans les paramètres de sécurité d’Internet Explorer uniquement en dernier recours. Si vous apportez ces modifications, vous risquez de perdre certaines fonctionnalités pour certains programmes et composants Windows. Avant d’apporter ces modifications dans un environnement de production, testez largement les modifications pour vérifier que les programmes stratégiques continuent de fonctionner correctement pour tous les utilisateurs.

• Installez lamise à jourde sécurité de messagerie Outlook si vous utilisez Outlook 2000 SP1 ou une version antérieure.

  Par défaut, Outlook Express 6, Outlook 2002 et Outlook 2003 ouvrent des messages électroniques HTML dans la zone Sites restreints. En outre, Outlook 98 et Outlook 2000 ouvrent des messages électroniques HTML dans la zone Sites restreints si la mise à jour de sécurité de messagerie Outlook a été appliquée.

  Les clients qui utilisent l’un de ces produits peuvent être à un risque réduit d’une attaque par courrier électronique qui tente d’exploiter cette vulnérabilité, sauf si l’utilisateur clique sur un lien malveillant dans le message électronique.

• Installez la mise à jour incluse dans le Bulletinde sécurité Microsoft MS04-018si vous utilisez Outlook Express 5.5 SP2.

  Outlook Express 5.5 Service Pack 2 ouvre un e-mail HTML dans la zone Sites restreints si la mise à jour incluse dans le Bulletin de sécurité Microsoft MS04-018 a été appliquée.

  Les clients qui utilisent l’un de ces produits peuvent être à un risque réduit d’une attaque par courrier électronique qui tente d’exploiter cette vulnérabilité, sauf si l’utilisateur clique sur un lien malveillant dans le message électronique.

• Lisez les messages électroniques au format texte brut si vous utilisez Outlook 2002 ou version ultérieure, ou Outlook Express 6 SP1 ou version ultérieure, pour vous protéger contre le vecteur d’attaque de messagerie HTML.

  Les utilisateurs de Microsoft Outlook 2002 qui ont appliqué Bureau XP Service Pack 1 ou version ultérieure et les utilisateurs de Microsoft Outlook Express 6 ayant appliqué Internet Explorer 6 Service Pack 1 peuvent activer ce paramètre et afficher les messages électroniques qui ne sont pas signés numériquement ou messages électroniques qui ne sont pas chiffrés en texte brut uniquement.

  Les messages électroniques signés numériquement ou les messages électroniques chiffrés ne sont pas affectés par le paramètre et peuvent être lus dans leurs formats d’origine. Pour plus d’informations sur l’activation de ce paramètre dans Outlook 2002, consultez l’article 307594 de la Base de connaissances Microsoft.

  Pour plus d’informations sur ce paramètre dans Outlook Express 6, consultez l’article de la Base de connaissances Microsoft 291387.

  Impact de la solution de contournement : les messages électroniques affichés au format texte brut ne contiennent pas d’images, de polices spécialisées, d’animations ou d’autres contenus enrichis. De plus :

  • Les modifications sont appliquées au volet d’aperçu et à l’ouverture des messages.
  • Les images deviennent des pièces jointes afin qu’elles ne soient pas perdues.
  • Étant donné que le message est toujours au format Texte enrichi ou HTML dans le magasin, le modèle objet (solutions de code personnalisé) peut se comporter de manière inattendue.

FAQ sur la vulnérabilité inter-domaines de redirection de noms de méthode similaires - CAN-2004-0727 :

Quelle est l’étendue de la vulnérabilité ?
Une vulnérabilité dans le modèle de sécurité inter-domaines existe dans Internet Explorer en raison de la façon dont elle gère les méthodes de navigation par les fonctions qui ont des noms similaires. Un attaquant peut exploiter la vulnérabilité en construisant une page Web malveillante qui pourrait potentiellement autoriser l’exécution de code à distance si un utilisateur a visité un site Web malveillant. Un attaquant qui a réussi à exploiter cette vulnérabilité peut exécuter du code de script malveillant dans la zone de sécurité de l’ordinateur local dans Internet Explorer ou accéder aux informations dans un autre domaine. Dans le pire des cas, si un utilisateur est connecté avec des privilèges d’administration, un attaquant qui a réussi à exploiter cette vulnérabilité peut prendre le contrôle complet d’un système affecté. Les utilisateurs dont les comptes sont configurés pour avoir moins de privilèges sur le système seraient moins risqués que les utilisateurs qui opèrent avec des privilèges d’administration.

Quelles sont les causes de la vulnérabilité ?
Processus que le modèle de sécurité inter-domaines Internet Explorer utilise pour valider les méthodes de navigation qui ont des noms de fonction similaires.

Qu’est-ce que le modèle de sécurité inter-domaines qu’Internet Explorer utilise ?
L’une des principales fonctions de sécurité d’un navigateur consiste à s’assurer que les fenêtres de navigateur qui sont sous le contrôle de différents sites Web ne peuvent pas interférer entre elles ou accéder aux données des uns des autres, tout en permettant aux fenêtres du même site d’interagir entre elles. Pour différencier les fenêtres de navigateur coopératives et non coopératives, le concept de « domaine » a été créé. Un domaine est une limite de sécurité : toutes les fenêtres ouvertes au sein du même domaine peuvent interagir entre elles, mais les fenêtres provenant de différents domaines ne peuvent pas. Le modèle de sécurité inter-domaines fait partie de l’architecture de sécurité qui empêche les fenêtres de différents domaines d’interférer entre eux.

L’exemple le plus simple d’un domaine est associé aux sites Web. Si vous visitez https://www.wingtiptoys.com, et il ouvre une fenêtre à https://www.wingtiptoys.com/security, les deux fenêtres peuvent interagir les unes avec les autres, car les deux sites appartiennent au même domaine, https://www.wingtiptoys.com. Toutefois, si vous avez visité https://www.wingtiptoys.com, et qu’il a ouvert une fenêtre sur un autre site Web, le modèle de sécurité inter-domaines protégerait les deux fenêtres les unes des autres. Le concept va encore plus loin. Le système de fichiers sur votre ordinateur local est également un domaine. Par exemple, https://www.wingtiptoys.com vous pouvez ouvrir une fenêtre et afficher un fichier sur votre disque dur. Toutefois, étant donné que votre système de fichiers local se trouve dans un domaine différent du site Web, le modèle de sécurité inter-domaines doit empêcher le site Web de lire le fichier affiché.

Le modèle de sécurité inter-domaines Internet Explorer peut être configuré à l’aide des paramètres de zone de sécurité dans Internet Explorer.

Qu’est-ce que les zones de sécurité Internet Explorer ?
Les zones de sécurité Internet Explorer font partie d’un système qui divise le contenu en ligne en catégories ou zones basées sur la fiabilité du contenu. Des domaines Web spécifiques peuvent être attribués à une zone, en fonction de la quantité d’approbation placée dans le contenu de chaque domaine. La zone limite ensuite les fonctionnalités du contenu Web, en fonction de la stratégie de la zone. Par défaut, la plupart des domaines Internet sont traités dans le cadre de la zone Internet. Par défaut, la stratégie de la zone Internet empêche les scripts et tout autre code actif d’accéder aux ressources sur le système local.

Qu’est-ce qu’un attaquant peut utiliser la vulnérabilité pour faire ?
Un attaquant qui a réussi à exploiter cette vulnérabilité peut exécuter du code de script malveillant dans la zone de sécurité de l’ordinateur local dans Internet Explorer. Cela peut permettre à un attaquant de prendre le contrôle total du système concerné.

Comment un attaquant pourrait-il exploiter la vulnérabilité ?
Un attaquant peut exploiter cette vulnérabilité en créant une page Web malveillante ou un message électronique HTML, puis en convaincre l’utilisateur de visiter cette page ou d’afficher le message électronique HTML. Lorsque l’utilisateur a visité la page ou consulté le message électronique, l’attaquant pouvait accéder aux informations d’autres sites Web, accéder aux fichiers locaux sur le système ou provoquer l’exécution du script dans le contexte de sécurité de la zone de sécurité de l’ordinateur local.

Quels systèmes sont principalement exposés à la vulnérabilité ?
Cette vulnérabilité nécessite qu’un utilisateur soit connecté et qu’il lisent des e-mails ou visitent des sites web pour toute action malveillante à effectuer. Par conséquent, tous les systèmes où le courrier électronique est lu ou où Internet Explorer est utilisé fréquemment, tels que les stations de travail ou les serveurs terminal des utilisateurs, sont à risque de cette vulnérabilité. Les systèmes qui ne sont généralement pas utilisés pour lire des messages électroniques ou pour visiter des sites Web, tels que la plupart des systèmes serveurs, sont à un risque réduit.

Windows 98, Windows 98 Second Edition ou Windows Millennium Edition sont-ils gravement affectés par cette vulnérabilité ?
Oui. Windows 98, Windows 98 Second Edition et Windows Millennium Edition sont gravement affectés par cette vulnérabilité. Les mises à jour de sécurité critiques pour ces plateformes peuvent ne pas être disponibles simultanément avec les autres mises à jour de sécurité fournies dans le cadre de ce bulletin de sécurité. Ils seront mis à disposition dès que possible après la publication. Lorsque ces mises à jour de sécurité sont disponibles, vous pouvez les télécharger uniquement à partir du site web Windows Update. Pour plus d’informations sur les évaluations de gravité, visitez ce site web Microsoft.

La vulnérabilité peut-elle être exploitée sur Internet ?
Oui. Un attaquant peut être en mesure d’exploiter cette vulnérabilité sur Internet. Microsoft a fourni des informations sur la façon dont vous pouvez protéger votre PC. Les utilisateurs finaux peuvent visiter le site Web Protéger votre PC. Les professionnels de l’informatique peuvent visiter le site web Security Center.

Que fait la mise à jour ?
La mise à jour supprime la vulnérabilité en modifiant la façon dont Internet Explorer valide les méthodes de navigation par les fonctions qui ont des noms similaires.

Quand ce bulletin de sécurité a été émis, cette vulnérabilité a-t-elle été divulguée publiquement ?
Oui. Cette vulnérabilité a été divulguée publiquement. Il a été affecté au numéro de vulnérabilité et d’exposition courants CAN-2004-0727. Elle a également été nommée « SimliarMethodNameRedir » par la plus grande communauté de sécurité.

Quand ce bulletin de sécurité a été émis, Microsoft a-t-il reçu des rapports indiquant que cette vulnérabilité était exploitée ?
Oui. Lorsque le bulletin de sécurité a été publié, Microsoft avait reçu des informations indiquant que cette vulnérabilité était exploitée.

L’installation de cette mise à jour de sécurité permet-elle de protéger les clients du code publié publiquement qui tente d’exploiter cette vulnérabilité ?
Oui. Cette mise à jour de sécurité résout la vulnérabilité en cours d’exploitation. La vulnérabilité qui a été traitée a été affectée au numéro d’exposition et de vulnérabilité CAN-2004-0727.

Vulnérabilité du moteur d’installation - CAN-2004-0216 :

La vulnérabilité d’exécution du code Aremote existe dans Inseng.dll qui pourrait autoriser l’exécution de code à distance sur un système affecté. Un attaquant qui a réussi à exploiter cette vulnérabilité peut prendre le contrôle complet du système concerné.

Facteurs d’atténuation de la vulnérabilité du moteur d’installation - CAN-2004-0216 :

• Dans un scénario d’attaque web, un attaquant doit héberger un site Web qui contient une page Web utilisée pour exploiter cette vulnérabilité. Un attaquant n’aurait aucun moyen de forcer les utilisateurs à visiter un site Web malveillant. Au lieu de cela, un attaquant devra les persuader de visiter le site Web, généralement en les obtenant pour cliquer sur un lien qui les amène au site de l’attaquant.

• Un attaquant qui a réussi à exploiter cette vulnérabilité peut obtenir les mêmes privilèges que l’utilisateur. Les utilisateurs dont les comptes sont configurés pour avoir moins de privilèges sur le système seraient moins risqués que les utilisateurs qui opèrent avec des privilèges d’administration.

• Par défaut, Outlook Express 6, Outlook 2002 et Outlook 2003 ouvrent des messages électroniques HTML dans la zone Sites restreints. En outre, Outlook 98 et Outlook 2000 ouvrent des messages électroniques HTML dans la zone Sites restreints si la mise à jour de sécurité de la messagerie Microsoft Outlook a été appliquée. Outlook Express 5.5 Service Pack 2 ouvre un e-mail HTML dans la zone Sites restreints si la mise à jour incluse dans le Bulletin de sécurité Microsoft MS04-018 a été appliquée. La zone sites restreints permet de réduire les attaques susceptibles d’exploiter cette vulnérabilité.

  Le risque d’attaque à partir du vecteur de messagerie HTML peut être considérablement réduit si vous remplissez toutes les conditions suivantes :

  • Installez la mise à jour incluse dans le Bulletin de sécurité Microsoft MS03-040 ou une mise à jour de sécurité cumulative ultérieure pour Internet Explorer.
  • Utilisez Outlook Express 5.5 Service Pack 2 ou version ultérieure et avez appliqué la mise à jour incluse dans le Bulletin de sécurité Microsoft MS04-018 ou une mise à jour de sécurité cumulative ultérieure pour Outlook Express.
  • Utilisez Microsoft Outlook 98 et Outlook 2000 avec la mise à jour de sécurité de messagerie Microsoft Outlook appliquée.
  • Utilisez Microsoft Outlook Express 6 ou version ultérieure ou Microsoft Outlook 2000 Service Pack 2 ou version ultérieure dans leur configuration par défaut.

• Par défaut, Internet Explorer sur Windows Server 2003 s’exécute en mode restreint appelé Configuration de sécurité renforcée qui atténue cette vulnérabilité. Consultez la section FAQ de cette mise à jour de sécurité pour plus d’informations sur la configuration de sécurité renforcée d’Internet Explorer.

• Les produits suivants ne sont pas affectés par cette vulnérabilité.

  • Internet Explorer 6 sur Windows XP Service Pack 2

Solutions de contournement pour la vulnérabilité du moteur d’installation - CAN-2004-0216 :

Microsoft a testé les solutions de contournement suivantes. Bien que ces solutions de contournement ne corrigent pas la vulnérabilité sous-jacente, elles aident à bloquer les vecteurs d’attaque connus. Lorsqu’une solution de contournement réduit les fonctionnalités, elle est identifiée ci-dessous.

• Définissez les paramètres de zone de sécurité Internet et Intranet local sur « Élevé » pour qu’il soit invité avant d’exécuter des contrôles ActiveX et des scripts actifs dans la zone Internet et dans la zone Intranet local.

  Vous pouvez vous protéger contre ces vulnérabilités en modifiant vos paramètres de la zone de sécurité Internet pour qu’ils s’affichent avant d’exécuter des contrôles ActiveX et des scripts actifs. Pour ce faire, procédez comme suit :

  1. Dans Internet Explorer, cliquez sur Options Internet dans le menu Outils .
  2. Cliquez sur l’onglet Security .
  3. Cliquez sur Internet, puis sur Niveau personnalisé.
  4. Sous Exécuter des contrôles ActiveX et des plug-ins dans la section Contrôles ActiveX et plug-ins , cliquez sur Invite.
  5. Sous Script actif dans la section Script, cliquez sur Invite, puis sur OK.
  6. Cliquez sur Intranet local, puis sur Niveau personnalisé.
  7. Sous Exécuter des contrôles ActiveX et des plug-ins dans la section Contrôles ActiveX et plug-ins , cliquez sur Invite.
  8. Sous Script actif dans la section Scripting , cliquez sur Invite.
  9. Cliquez sur OK deux fois pour revenir à Internet Explorer.

  Impact de la solution de contournement : il existe des effets secondaires à l’invite avant d’exécuter des contrôles ActiveX. De nombreux sites Web qui se trouvent sur Internet ou sur un intranet utilisent ActiveX pour fournir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peut utiliser des contrôles ActiveX pour fournir des menus, des formulaires de commande ou même des relevés de compte.

  L’invite avant d’exécuter des contrôles ActiveX est un paramètre global qui affecte tous les sites Internet et intranet. Vous serez invité fréquemment lorsque vous activez cette solution de contournement. Pour chaque invite, si vous approuvez le site que vous visitez, cliquez sur Ouipour exécuter des contrôles ActiveX. Si vous ne souhaitez pas être invité à entrer tous ces sites, utilisez la solution de contournement « Restreindre les sites Web uniquement à vos sites web approuvés ».

• Restreindre les sites Web à vos sites Web approuvés uniquement

  Après avoir défini Internet Explorer pour exiger une invite avant d’exécuter des contrôles ActiveX et des scripts actifs dans la zone Internet et dans la zone Intranet local, vous pouvez ajouter des sites que vous approuvez à la zone sites approuvés d’Internet Explorer. Si vous procédez ainsi, vous pouvez continuer à utiliser des sites Web approuvés exactement comme vous le faites aujourd’hui, tout en vous aidant à vous protéger contre cette attaque sur des sites non approuvés. Nous vous recommandons d’ajouter uniquement des sites approuvés à la zone sites approuvés.

  Pour ce faire, procédez comme suit :

  1. Dans Internet Explorer, cliquez sur Options Internet dans le menu Outils .
  2. Cliquez sur l’onglet Security .
  3. Dans la zone Sélectionner un contenu web pour spécifier sa zone de paramètres de sécurité actuelle, cliquez sur Sites approuvés, puis sur Sites.
  4. Si vous souhaitez ajouter des sites qui ne nécessitent pas de canal chiffré, cliquez pour effacer la case Exiger la vérification du serveur (https :) pour tous les sites de cette zone case activée zone.
  5. Dans la zone Ajouter ce site Web à la zone de zone , tapez l’URL d’un site approuvé, puis cliquez sur Ajouter.
  6. Répétez ces étapes pour chaque site que vous souhaitez ajouter à la zone
  7. Cliquez sur OK deux fois pour accepter les modifications et revenir à Internet Explorer.

  Ajoutez tous les sites que vous approuvez pour ne pas effectuer d’action malveillante sur votre ordinateur. Vous pouvez ajouter « *.windowsupdate.microsoft.com » (sans guillemets) à votre zone Sites approuvés. Ce site héberge la mise à jour. Ce site utilise un contrôle ActiveX pour installer la mise à jour.

• Installez lamise à jourde sécurité de messagerie Outlook si vous utilisez Outlook 2000 SP1 ou une version antérieure.

  Par défaut, Outlook Express 6, Outlook 2002 et Outlook 2003 ouvrent des messages électroniques HTML dans la zone Sites restreints. En outre, Outlook 98 et Outlook 2000 ouvrent des messages électroniques HTML dans la zone Sites restreints si la mise à jour de sécurité de messagerie Outlook a été appliquée.

  Les clients qui utilisent l’un de ces produits peuvent être à un risque réduit d’une attaque par courrier électronique qui tente d’exploiter cette vulnérabilité, sauf si l’utilisateur clique sur un lien malveillant dans le message électronique.

• Installez la mise à jour incluse dans le Bulletinde sécurité Microsoft MS04-018si vous utilisez Outlook Express 5.5 SP2.

  Outlook Express 5.5 Service Pack 2 ouvre un e-mail HTML dans la zone Sites restreints si la mise à jour incluse dans le Bulletin de sécurité Microsoft MS04-018 a été appliquée.

  Les clients qui utilisent l’un de ces produits peuvent être à un risque réduit d’une attaque par courrier électronique qui tente d’exploiter cette vulnérabilité, sauf si l’utilisateur clique sur un lien malveillant dans le message électronique.

• Lisez les messages électroniques au format texte brut si vous utilisez Outlook 2002 ou version ultérieure, ou Outlook Express 6 SP1 ou version ultérieure, pour vous protéger contre le vecteur d’attaque de messagerie HTML.

  Les utilisateurs de Microsoft Outlook 2002 qui ont appliqué Bureau XP Service Pack 1 ou version ultérieure et les utilisateurs de Microsoft Outlook Express 6 ayant appliqué Internet Explorer 6 Service Pack 1 peuvent activer ce paramètre et afficher les messages électroniques qui ne sont pas signés numériquement ou messages électroniques qui ne sont pas chiffrés en texte brut uniquement.

  Les messages électroniques signés numériquement ou les messages électroniques chiffrés ne sont pas affectés par le paramètre et peuvent être lus dans leurs formats d’origine. Pour plus d’informations sur l’activation de ce paramètre dans Outlook 2002, consultez l’article 307594 de la Base de connaissances Microsoft.

  Pour plus d’informations sur ce paramètre dans Outlook Express 6, consultez l’article de la Base de connaissances Microsoft 291387.

  Impact de la solution de contournement : les messages électroniques affichés au format texte brut ne contiennent pas d’images, de polices spécialisées, d’animations ou d’autres contenus enrichis. De plus :

  • Les modifications sont appliquées au volet d’aperçu et à l’ouverture des messages.
  • Les images deviennent des pièces jointes afin qu’elles ne soient pas perdues.
  • Étant donné que le message est toujours au format Texte enrichi ou HTML dans le magasin, le modèle objet (solutions de code personnalisé) peut se comporter de manière inattendue.

FAQ sur la vulnérabilité du moteur d’installation - CAN-2004-0216 :

Quelle est l’étendue de la vulnérabilité ?
Il s’agit d’une vulnérabilité d’exécution de code à distance. Si un utilisateur est connecté avec des privilèges d’administration, un attaquant qui a réussi à exploiter la plus grave de ces vulnérabilités peut prendre le contrôle complet d’un système affecté, y compris l’installation de programmes ; affichage, modification ou suppression de données ; ou création de comptes avec des privilèges complets. Les utilisateurs dont les comptes sont configurés pour avoir moins de privilèges sur le système seraient moins risqués que les utilisateurs qui opèrent avec des privilèges d’administration.

Quelles sont les causes de la vulnérabilité ?
Mémoire tampon non case activée dans le moteur d’installation d’Internet Explorer.

Qu’est-ce que le moteur d’installation ?
Le moteur d’installation fait partie de la technologie d’installation active d’Internet Explorer. Le programme d’installation actif permet à un programme d’installation de recevoir des fichiers supplémentaires à partir d’Internet nécessaires à l’initialisation du programme.

Comment un attaquant pourrait-il exploiter la vulnérabilité ?
Un attaquant peut exploiter cette vulnérabilité en créant une page Web malveillante ou un message électronique HTML, puis en demandant à l’utilisateur de visiter cette page ou d’afficher le message électronique HTML. Lorsque l’utilisateur a visité la page ou consulté le message électronique, l’attaquant pouvait accéder aux informations d’autres sites web, fichiers locaux sur le système ou provoquer l’exécution de code malveillant dans le contexte de sécurité de l’utilisateur connecté localement.

Quels systèmes sont principalement exposés à la vulnérabilité ?
Cette vulnérabilité nécessite qu’un utilisateur soit connecté et qu’il lisent des e-mails ou visitent des sites web pour toute action malveillante à effectuer. Par conséquent, tous les systèmes où le courrier électronique est lu ou où Internet Explorer est utilisé fréquemment, tels que les stations de travail ou les serveurs terminal des utilisateurs, sont à risque de cette vulnérabilité. Les systèmes qui ne sont généralement pas utilisés pour lire des messages électroniques ou pour visiter des sites Web, tels que la plupart des systèmes serveurs, sont à un risque réduit.

Windows 98, Windows 98 Second Edition ou Windows Millennium Edition sont-ils gravement affectés par cette vulnérabilité ?
Oui. Windows 98, Windows 98 Second Edition et Windows Millennium Edition sont gravement affectés par cette vulnérabilité. Les mises à jour de sécurité critiques pour ces plateformes peuvent ne pas être disponibles simultanément avec les autres mises à jour de sécurité fournies dans le cadre de ce bulletin de sécurité. Ils seront mis à disposition dès que possible après la publication. Lorsque ces mises à jour de sécurité sont disponibles, vous pouvez les télécharger uniquement à partir du site web Windows Update. Pour plus d’informations sur les évaluations de gravité, visitez ce site web Microsoft.

Que fait la mise à jour ?
La mise à jour supprime la vulnérabilité en modifiant la façon dont le moteur d’installation dans Internet Explorer valide la longueur d’un message avant de passer le message à la mémoire tampon allouée.

Quand ce bulletin de sécurité a été émis, cette vulnérabilité a-t-elle été divulguée publiquement ?
Non. Microsoft a reçu des informations sur cette vulnérabilité par le biais d’une divulgation responsable.

Quand ce bulletin de sécurité a été émis, Microsoft a-t-il reçu des rapports indiquant que cette vulnérabilité était exploitée ?
Non. Microsoft n’avait reçu aucune information indiquant que cette vulnérabilité avait été utilisée publiquement pour attaquer les clients et n’avait pas vu d’exemples de code de preuve de concept publié lorsque ce bulletin de sécurité a été émis à l’origine.

Vulnérabilité glisser-déplacer - CAN-2004-0839 :

Unevulnérabilité d’élévation de privilèges existe dans Internet Explorer en raison de la façon dont Internet Explorer gère les événements glisser-déplacer. Un attaquant peut exploiter la vulnérabilité en construisant une page Web malveillante qui pourrait permettre à un attaquant d’enregistrer un fichier sur le système de l’utilisateur si un utilisateur a visité un site Web malveillant ou consulté un message électronique malveillant. Un attaquant qui a réussi à exploiter cette vulnérabilité peut prendre le contrôle complet d’un système affecté. L’interaction utilisateur est nécessaire pour exploiter cette vulnérabilité.

Atténuation des facteurs de vulnérabilité de glisser-déplacer - CAN-2004-0839 :

• Dans un scénario d’attaque web, un attaquant doit héberger un site Web qui contient une page Web utilisée pour exploiter cette vulnérabilité. Un attaquant n’aurait aucun moyen de forcer les utilisateurs à visiter un site Web malveillant. Au lieu de cela, un attaquant devra les persuader de visiter le site Web, généralement en les obtenant pour cliquer sur un lien qui les amène au site de l’attaquant. Une fois qu’ils cliquent sur le lien, ils doivent effectuer une action sur le site web malveillant qui appellerait la gestion glisser-déplacer dans Internet Explorer.

• Cette vulnérabilité permet à un attaquant de placer du code malveillant sur le système de l’utilisateur dans des emplacements spécifiés. Une attaque ne peut se produire qu’après l’exécution de ce code par l’utilisateur, soit en redémarrant le système, en se désactivant, puis en vous reconnectant au système, soit en exécutant par inadvertance le code que l’attaquant a enregistré localement sur le système.

• Un attaquant qui a réussi à exploiter cette vulnérabilité peut obtenir les mêmes privilèges que l’utilisateur. Les utilisateurs dont les comptes sont configurés pour avoir moins de privilèges sur le système seraient moins risqués que les utilisateurs qui opèrent avec des privilèges d’administration.

• Par défaut, Outlook Express 6, Outlook 2002 et Outlook 2003 ouvrent des messages électroniques HTML dans la zone Sites restreints. En outre, Outlook 98 et Outlook 2000 ouvrent des messages électroniques HTML dans la zone Sites restreints si la mise à jour de sécurité de messagerie Outlook a été appliquée. Outlook Express 5.5 Service Pack 2 ouvre un e-mail HTML dans la zone Sites restreints si la mise à jour incluse dans le Bulletin de sécurité Microsoft MS04-018 a été appliquée. La zone sites restreints permet de réduire les attaques susceptibles d’essayer d’exploiter cette vulnérabilité.

  Le risque d’attaque à partir du vecteur de messagerie HTML peut être considérablement réduit si vous remplissez toutes les conditions suivantes :

  • Installez la mise à jour incluse dans le Bulletin de sécurité Microsoft MS03-040 ou une mise à jour de sécurité cumulative ultérieure pour Internet Explorer.
  • Utilisez Outlook Express 5.5 Service Pack 2 ou version ultérieure et avez appliqué la mise à jour incluse dans le Bulletin de sécurité Microsoft MS04-018 ou une mise à jour de sécurité cumulative ultérieure pour Outlook Express.
  • Utilisez Microsoft Outlook 98 et Outlook 2000 avec la mise à jour de sécurité de messagerie Microsoft Outlook appliquée.
  • Utilisez Microsoft Outlook Express 6 ou version ultérieure ou Microsoft Outlook 2000 Service Pack 2 ou version ultérieure dans leur configuration par défaut.

• Par défaut, Internet Explorer sur Windows Server 2003 s’exécute en mode restreint appelé Configuration de sécurité améliorée. Ce mode atténue cette vulnérabilité. Consultez la section FAQ sur cette vulnérabilité pour plus d’informations sur la configuration de sécurité renforcée d’Internet Explorer.

Solutions de contournement pour la vulnérabilité de glisser-déplacer - CAN-2004-0839 :

Microsoft a testé les solutions de contournement suivantes. Bien que ces solutions de contournement ne corrigent pas la vulnérabilité sous-jacente, elles aident à bloquer les vecteurs d’attaque connus. Lorsqu’une solution de contournement réduit les fonctionnalités, elle est identifiée ci-dessous.

• Définissez les paramètres de zone de sécurité Internet et Intranet local sur « Élevé » pour qu’il soit invité avant d’exécuter des contrôles ActiveX et des scripts actifs dans la zone Internet et dans la zone Intranet local.

  Vous pouvez vous protéger contre ces vulnérabilités en modifiant vos paramètres de la zone de sécurité Internet pour qu’ils s’affichent avant d’exécuter des contrôles ActiveX et des scripts actifs. Pour ce faire, procédez comme suit :

  1. Dans Internet Explorer, cliquez sur Options Internet dans le menu Outils .
  2. Cliquez sur l’onglet Security .
  3. Cliquez sur Internet, puis sur Niveau personnalisé.
  4. Sous Exécuter des contrôles ActiveX et des plug-ins dans la section Contrôles ActiveX et plug-ins , cliquez sur Invite.
  5. Sous Script actif dans la section Script, cliquez sur Invite, puis sur OK.
  6. Cliquez sur Intranet local, puis sur Niveau personnalisé.
  7. Sous Exécuter des contrôles ActiveX et des plug-ins dans la section Contrôles ActiveX et plug-ins , cliquez sur Invite.
  8. Sous Script actif dans la section Scripting , cliquez sur Invite.
  9. Cliquez sur OK deux fois pour revenir à Internet Explorer.

  Impact de la solution de contournement : il existe des effets secondaires à l’invite avant d’exécuter des contrôles ActiveX. De nombreux sites Web qui se trouvent sur Internet ou sur un intranet utilisent ActiveX pour fournir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peut utiliser des contrôles ActiveX pour fournir des menus, des formulaires de commande ou même des relevés de compte.

  L’invite avant d’exécuter des contrôles ActiveX est un paramètre global qui affecte tous les sites Internet et intranet. Vous serez invité fréquemment lorsque vous activez cette solution de contournement. Pour chaque invite, si vous approuvez le site que vous visitez, cliquez sur Ouipour exécuter des contrôles ActiveX. Si vous ne souhaitez pas être invité à entrer tous ces sites, utilisez la solution de contournement « Restreindre les sites Web uniquement à vos sites web approuvés ».

• Restreindre les sites Web à vos sites Web approuvés uniquement

  Après avoir défini Internet Explorer pour exiger une invite avant d’exécuter des contrôles ActiveX et des scripts actifs dans la zone Internet et dans la zone Intranet local, vous pouvez ajouter des sites que vous approuvez à la zone sites approuvés d’Internet Explorer. Si vous procédez ainsi, vous pouvez continuer à utiliser des sites Web approuvés exactement comme vous le faites aujourd’hui, tout en vous aidant à vous protéger contre cette attaque sur des sites non approuvés. Nous vous recommandons d’ajouter uniquement des sites approuvés à la zone sites approuvés.

  Pour ce faire, procédez comme suit :

  1. Dans Internet Explorer, cliquez sur Options Internet dans le menu Outils .
  2. Cliquez sur l’onglet Security .
  3. Dans la zone Sélectionner un contenu web pour spécifier sa zone de paramètres de sécurité actuelle, cliquez sur Sites approuvés, puis sur Sites.
  4. Si vous souhaitez ajouter des sites qui ne nécessitent pas de canal chiffré, cliquez pour effacer la case Exiger la vérification du serveur (https :) pour tous les sites de cette zone case activée zone.
  5. Dans la zone Ajouter ce site Web à la zone de zone , tapez l’URL d’un site approuvé, puis cliquez sur Ajouter.
  6. Répétez ces étapes pour chaque site que vous souhaitez ajouter à la zone
  7. Cliquez sur OK deux fois pour accepter les modifications et revenir à Internet Explorer.

  Ajoutez tous les sites que vous approuvez pour ne pas effectuer d’action malveillante sur votre ordinateur. Vous pouvez ajouter « *.windowsupdate.microsoft.com » (sans guillemets) à votre zone Sites approuvés. Ce site héberge la mise à jour. Ce site utilise un contrôle ActiveX pour installer la mise à jour.

• Installez lamise à jourde sécurité de messagerie Outlook si vous utilisez Outlook 2000 SP1 ou une version antérieure.

  Par défaut, Outlook Express 6, Outlook 2002 et Outlook 2003 ouvrent des messages électroniques HTML dans la zone Sites restreints. En outre, Outlook 98 et Outlook 2000 ouvrent des messages électroniques HTML dans la zone Sites restreints si la mise à jour de sécurité de messagerie Outlook a été appliquée.

  Les clients qui utilisent l’un de ces produits peuvent être à un risque réduit d’une attaque par courrier électronique qui tente d’exploiter cette vulnérabilité, sauf si l’utilisateur clique sur un lien malveillant dans le message électronique.

• Installez la mise à jour incluse dans le Bulletinde sécurité Microsoft MS04-018si vous utilisez Outlook Express 5.5 SP2.

  Outlook Express 5.5 Service Pack 2 ouvre un e-mail HTML dans la zone Sites restreints si la mise à jour incluse dans le Bulletin de sécurité Microsoft MS04-018 a été appliquée.

  Les clients qui utilisent l’un de ces produits peuvent être à un risque réduit d’une attaque par courrier électronique qui tente d’exploiter cette vulnérabilité, sauf si l’utilisateur clique sur un lien malveillant dans le message électronique.

• Lisez les messages électroniques au format texte brut si vous utilisez Outlook 2002 ou version ultérieure, ou Outlook Express 6 SP1 ou version ultérieure, pour vous protéger contre le vecteur d’attaque de messagerie HTML.

  Les utilisateurs de Microsoft Outlook 2002 qui ont appliqué Bureau XP Service Pack 1 ou version ultérieure et les utilisateurs de Microsoft Outlook Express 6 ayant appliqué Internet Explorer 6 Service Pack 1 peuvent activer ce paramètre et afficher les messages électroniques qui ne sont pas signés numériquement ou messages électroniques qui ne sont pas chiffrés en texte brut uniquement.

  Les messages électroniques signés numériquement ou les messages électroniques chiffrés ne sont pas affectés par le paramètre et peuvent être lus dans leurs formats d’origine. Pour plus d’informations sur l’activation de ce paramètre dans Outlook 2002, consultez l’article 307594 de la Base de connaissances Microsoft.

  Pour plus d’informations sur ce paramètre dans Outlook Express 6, consultez l’article de la Base de connaissances Microsoft 291387.

  Impact de la solution de contournement : les messages électroniques affichés au format texte brut ne contiennent pas d’images, de polices spécialisées, d’animations ou d’autres contenus enrichis. De plus :

  • Les modifications sont appliquées au volet d’aperçu et à l’ouverture des messages.
  • Les images deviennent des pièces jointes afin qu’elles ne soient pas perdues.
  • Étant donné que le message est toujours au format Texte enrichi ou HTML dans le magasin, le modèle objet (solutions de code personnalisé) peut se comporter de manière inattendue.

FAQ sur la vulnérabilité de glisser-déplacer - CAN-2004-0839 :

Quelle est l’étendue de la vulnérabilité ?
Cette vulnérabilité implique des événements glisser-déplacer dans Internet Explorer et peut entraîner l’enregistrement d’un fichier exécutable sur le système de l’utilisateur. L’utilisateur ne reçoit pas de boîte de dialogue demandant d’approuver le téléchargement. Pour exploiter cette vulnérabilité, un attaquant doit héberger un site Web malveillant qui contenait une page Web conçue pour exploiter cette vulnérabilité, puis persuader un utilisateur de visiter ce site. Si l’utilisateur a effectué certaines actions sur cette page web, le code du choix de l’attaquant peut être enregistré dans des emplacements spécifiés sur le système de l’utilisateur.

Quelles sont les causes de la vulnérabilité ?
Cette vulnérabilité est due à une technologie glisser-déplacer qui valide incorrectement certains événements HTML dynamiques (DHTML). Cette vulnérabilité permet à un fichier d’être téléchargé sur le système de l’utilisateur une fois que l’utilisateur clique sur un lien.

Qu’est-ce que les événements DHMTL ?
Les événements DHTML sont des actions spéciales fournies par le modèle objet DHTML. Ces événements peuvent être utilisés dans le code de script pour ajouter du contenu dynamique à un site Web. Pour plus d’informations sur les événements DHTML, visitez ce site web MSDN.

Comment un attaquant pourrait-il exploiter la vulnérabilité ?
Un attaquant qui a réussi à exploiter cette vulnérabilité peut enregistrer le code de son choix dans le système de fichiers local de l’utilisateur. Bien que ce code ne puisse pas être exécuté directement via cette vulnérabilité, le système d’exploitation peut ouvrir le fichier s’il est enregistré dans un emplacement sensible, ou un utilisateur peut activer le fichier par inadvertance et provoquer l’exécution du code de l’attaquant.

Quels systèmes sont principalement exposés à la vulnérabilité ?
Cette vulnérabilité nécessite qu’un utilisateur soit connecté et qu’il lisent des e-mails ou visitent des sites web pour toute action malveillante à effectuer. Par conséquent, tous les systèmes où le courrier électronique est lu ou où Internet Explorer est utilisé fréquemment, tels que les stations de travail ou les serveurs terminal des utilisateurs, sont à risque de cette vulnérabilité. Les systèmes qui ne sont généralement pas utilisés pour lire des messages électroniques ou pour visiter des sites Web, tels que la plupart des systèmes serveurs, sont à un risque réduit.

Windows 98, Windows 98 Second Edition ou Windows Millennium Edition sont-ils gravement affectés par cette vulnérabilité ?
Non. Bien que Windows 98, Windows 98 Second Edition et Windows Millennium Edition contiennent le composant affecté, la vulnérabilité n’est pas critique. Pour plus d’informations sur les évaluations de gravité, visitez ce site web Microsoft.

Que fait la mise à jour ?
La mise à jour supprime la vulnérabilité en modifiant la façon dont Internet Explorer valide certains événements glisser-déplacer.

Quand ce bulletin de sécurité a été émis, cette vulnérabilité a-t-elle été divulguée publiquement ?
Oui. Cette vulnérabilité a été divulguée publiquement. Il a été affecté au numéro de vulnérabilité et d’exposition courants CAN-2004-0839. En outre, il a été nommé « Vulnérabilité de barre de défilement » par la communauté de sécurité plus grande.

Quand ce bulletin de sécurité a été émis, Microsoft a-t-il reçu des rapports indiquant que cette vulnérabilité était exploitée ?
Oui. Lorsque le bulletin de sécurité a été publié, Microsoft avait reçu des informations indiquant que cette vulnérabilité était exploitée.

L’installation de cette mise à jour de sécurité permet-elle de protéger les clients du code publié publiquement qui tente d’exploiter cette vulnérabilité ?
Oui. Cette mise à jour de sécurité résout la vulnérabilité en cours d’exploitation. La vulnérabilité qui a été traitée a été affectée au numéro d’exposition et de vulnérabilité CAN-2004-0839.

Usurpation de barre d’adresses sur les systèmes de jeux de caractères double octet - CAN-2004-0844 :

Une vulnérabilité d’usurpation existe dans le traitement d’URL d’Internet Explorer sur les systèmes de jeu de caractères double octet. Cette vulnérabilité peut entraîner une URL incorrecte répertoriée dans la barre d’adresses qui n’est pas la page Web réelle affichée par Internet Explorer.

Atténuation des facteurs d’usurpation de barre d’adresses sur les systèmes de jeux de caractères sur deux octets - CAN-2004-0844 :

• Cette vulnérabilité affecte uniquement les systèmes qui utilisent des jeux de caractères double octet. Ces jeux de caractères sont utilisés sur certaines versions asiatiques de Microsoft Windows et peuvent être définis à l’aide des paramètres régionaux système.
• Dans un scénario d’attaque web, un attaquant doit héberger un site Web qui contient une page Web utilisée pour exploiter cette vulnérabilité. Un attaquant n’aurait aucun moyen de forcer les utilisateurs à visiter un site Web malveillant. Au lieu de cela, un attaquant devra les persuader de visiter le site Web, généralement en les obtenant pour cliquer sur un lien qui les amène au site de l’attaquant.
• Les produits suivants ne sont pas affectés par cette vulnérabilité.
  • Internet Explorer 6 sur Microsoft Windows XP Service Pack 2
  • Internet Explorer 6.0
  • Internet Explorer 5.5 Service Pack 2
  • Internet Explorer 5.01 Service Pack 4
  • Internet Explorer 5.01 Service Pack 3

Solutions de contournement pour l’usurpation de barre d’adresses sur les systèmes de jeux de caractères sur deux octets - CAN-2004-0844 :

• Aucun

FAQ sur l’usurpation de barre d’adresses sur les systèmes de jeux de caractères sur deux octets - CAN-2004-0844 :

Quelle est l’étendue de la vulnérabilité ?
Il s’agit d’une vulnérabilité d’usurpation d’identité. Elle affecte la barre d’adresses utilisée par Internet Explorer pour afficher le site Web actuellement visité. Cette vulnérabilité peut entraîner une URL incorrecte répertoriée dans la barre d’adresses qui n’est pas la page Web réelle qui apparaît dans Internet Explorer. Par exemple, un attaquant peut créer un lien qui s’affiche https://www.tailspintoys.com dans la barre d’adresses lorsque l’utilisateur a cliqué sur le lien. Toutefois, Internet Explorer affiche en fait du contenu à partir d’un autre site Web, tel que https://www.wingtiptoys.com.

Quelles sont les causes de la vulnérabilité ?
Cette vulnérabilité est due à une erreur de canonisation qui se produit lorsque Internet Explorer analyse des caractères spéciaux dans une URL HTTP sur des systèmes de jeu de caractères codés sur deux octets.

Qu’est-ce que les jeux de caractères d’octets doubles ?
Les jeux de caractères double octet (DBCS) sont un jeu de caractères 8 bits développé où la plus petite unité est un octet. Certains caractères d’un DBCS ont une valeur de code d’octet unique et certains ont une valeur de code double octet. Un DBCS peut être considéré comme l’ensemble de caractères ANSI pour certaines versions asiatiques de Microsoft Windows. Pour plus d’informations sur DBCS, consultez la page Jeux de caractères sur deux octets sur MSDN.

Comment faire savoir si j’exécute des paramètres régionaux DBCS ?
DBCS peut être considéré comme l’ensemble de caractères ANSI pour certaines versions asiatiques de Microsoft Windows. En règle générale, ils sont limités aux langues chinoise, japonaise et coréenne. Pour plus d’informations sur les paramètres régionaux système et sur la détermination des paramètres régionaux système, visitez ce site web Microsoft.

Comment un attaquant pourrait-il exploiter la vulnérabilité ?
Un attaquant peut utiliser cette vulnérabilité pour créer une page Web qui affiche une URL du choix de l’attaquant dans la barre d’adresses, tout en affichant un autre site web dans la fenêtre du navigateur. Un attaquant peut utiliser cette vulnérabilité pour créer une page malveillante qui usurpe un site légitime. Par exemple, un attaquant peut créer une page web qui ressemble au site de messagerie en ligne d’un utilisateur. Toutefois, cette page web serait hébergée sur un site web malveillant. Un attaquant peut utiliser cette vulnérabilité pour afficher une URL de recherche légitime dans la barre d’adresses. Un utilisateur peut voir cette URL et fournir par erreur des informations sensibles au site de l’attaquant.

Quels systèmes sont principalement exposés à la vulnérabilité ?
Cette vulnérabilité nécessite qu’un utilisateur soit connecté et qu’il lisent des e-mails ou visitent des sites web pour toute action malveillante à effectuer. Par conséquent, tous les systèmes où le courrier électronique est lu ou où Internet Explorer est utilisé fréquemment, tels que les stations de travail ou les serveurs terminal des utilisateurs, sont à risque de cette vulnérabilité. Les systèmes qui ne sont généralement pas utilisés pour lire des messages électroniques ou pour visiter des sites Web, tels que la plupart des systèmes serveurs, sont à un risque réduit.

Windows 98, Windows 98 Second Edition ou Windows Millennium Edition sont-ils gravement affectés par cette vulnérabilité ?
Non. Bien que Windows 98, Windows 98 Second Edition et Windows Millennium Edition contiennent le composant affecté, la vulnérabilité n’est pas critique. Pour plus d’informations sur les évaluations de gravité, visitez ce site web Microsoft.

Que fait la mise à jour ?
La mise à jour supprime la vulnérabilité en modifiant la façon dont Internet Explorer valide les URL sur les paramètres régionaux DBCS.

Quand ce bulletin de sécurité a été émis, cette vulnérabilité a-t-elle été divulguée publiquement ?
Microsoft n’avait reçu aucune information indiquant que cette vulnérabilité avait été divulguée publiquement lorsque ce bulletin de sécurité a été émis à l’origine.

Vulnérabilité d’usurpation d’identité de barre d’adresses de plug-in - CAN-2004-0843 :

Une vulnérabilité d’usurpation existe dans le traitement par Internet Explorer des navigations de plug-in. Cette vulnérabilité peut entraîner une URL incorrecte répertoriée dans la barre d’adresses qui n’est pas la page Web réelle qui apparaît dans Internet Explorer.

Atténuation des facteurs de vulnérabilité d’usurpation de barre d’adresses de plug-in - CAN-2004-0843 :

• Dans un scénario d’attaque web, un attaquant doit héberger un site Web qui contient une page Web utilisée pour exploiter cette vulnérabilité. Un attaquant n’aurait aucun moyen de forcer les utilisateurs à visiter un site Web malveillant. Au lieu de cela, un attaquant devra les persuader de visiter le site Web, généralement en les obtenant pour cliquer sur un lien qui les amène au site de l’attaquant.
• Par défaut, Internet Explorer sur Windows Server 2003 s’exécute en mode restreint appelé Configuration de sécurité renforcée qui atténue cette vulnérabilité. Consultez la section FAQ de cette mise à jour de sécurité pour plus d’informations sur la configuration de sécurité renforcée d’Internet Explorer.
• Les produits suivants ne sont pas affectés par cette vulnérabilité.
  • Internet Explorer 5.01 Service Pack 4
  • Internet Explorer 5.01 Service Pack 3

Solutions de contournement pour la vulnérabilité d’usurpation de barre d’adresses de plug-in - CAN-2004-0843 :

Microsoft a testé les solutions de contournement suivantes. Bien que ces solutions de contournement ne corrigent pas la vulnérabilité sous-jacente, elles aident à bloquer les vecteurs d’attaque connus. Lorsqu’une solution de contournement réduit les fonctionnalités, elle est identifiée ci-dessous.

• Définissez les paramètres de zone de sécurité Internet et Intranet local sur « Élevé » pour qu’il soit invité avant d’exécuter des contrôles ActiveX et des scripts actifs dans la zone Internet et dans la zone Intranet local.

  Vous pouvez vous protéger contre ces vulnérabilités en modifiant vos paramètres de la zone de sécurité Internet pour qu’ils s’affichent avant d’exécuter des contrôles ActiveX et des scripts actifs. Pour ce faire, procédez comme suit :

  1. Dans Internet Explorer, cliquez sur Options Internet dans le menu Outils .
  2. Cliquez sur l’onglet Security .
  3. Cliquez sur Internet, puis sur Niveau personnalisé.
  4. Sous Exécuter des contrôles ActiveX et des plug-ins dans la section Contrôles ActiveX et plug-ins , cliquez sur Invite.
  5. Sous Script actif dans la section Script, cliquez sur Invite, puis sur OK.
  6. Cliquez sur Intranet local, puis sur Niveau personnalisé.
  7. Sous Exécuter des contrôles ActiveX et des plug-ins dans la section Contrôles ActiveX et plug-ins , cliquez sur Invite.
  8. Sous Script actif dans la section Scripting , cliquez sur Invite.
  9. Cliquez sur OK deux fois pour revenir à Internet Explorer.

  Impact de la solution de contournement : il existe des effets secondaires à l’invite avant d’exécuter des contrôles ActiveX. De nombreux sites Web qui se trouvent sur Internet ou sur un intranet utilisent ActiveX pour fournir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peut utiliser des contrôles ActiveX pour fournir des menus, des formulaires de commande ou même des relevés de compte.

  L’invite avant d’exécuter des contrôles ActiveX est un paramètre global qui affecte tous les sites Internet et intranet. Vous serez invité fréquemment lorsque vous activez cette solution de contournement. Pour chaque invite, si vous approuvez le site que vous visitez, cliquez sur Ouipour exécuter des contrôles ActiveX. Si vous ne souhaitez pas être invité à entrer tous ces sites, utilisez la solution de contournement « Restreindre les sites Web uniquement à vos sites web approuvés ».

• Restreindre les sites Web à vos sites Web approuvés uniquement

  Après avoir défini Internet Explorer pour exiger une invite avant d’exécuter des contrôles ActiveX et des scripts actifs dans la zone Internet et dans la zone Intranet local, vous pouvez ajouter des sites que vous approuvez à la zone sites approuvés d’Internet Explorer. Si vous procédez ainsi, vous pouvez continuer à utiliser des sites Web approuvés exactement comme vous le faites aujourd’hui, tout en vous aidant à vous protéger contre cette attaque sur des sites non approuvés. Nous vous recommandons d’ajouter uniquement des sites approuvés à la zone sites approuvés.

  Pour ce faire, procédez comme suit :

  1. Dans Internet Explorer, cliquez sur Options Internet dans le menu Outils .
  2. Cliquez sur l’onglet Security .
  3. Dans la zone Sélectionner un contenu web pour spécifier sa zone de paramètres de sécurité actuelle, cliquez sur Sites approuvés, puis sur Sites.
  4. Si vous souhaitez ajouter des sites qui ne nécessitent pas de canal chiffré, cliquez pour effacer la case Exiger la vérification du serveur (https :) pour tous les sites de cette zone case activée zone.
  5. Dans la zone Ajouter ce site Web à la zone de zone , tapez l’URL d’un site approuvé, puis cliquez sur Ajouter.
  6. Répétez ces étapes pour chaque site que vous souhaitez ajouter à la zone
  7. Cliquez sur OK deux fois pour accepter les modifications et revenir à Internet Explorer.

  Ajoutez tous les sites que vous approuvez pour ne pas effectuer d’action malveillante sur votre ordinateur. Vous pouvez ajouter « *.windowsupdate.microsoft.com » (sans guillemets) à votre zone Sites approuvés. Ce site héberge la mise à jour. Ce site utilise un contrôle ActiveX pour installer la mise à jour.

FAQ sur la vulnérabilité d’usurpation de barre d’adresses de plug-in - CAN-2004-0843 :

Quelle est l’étendue de la vulnérabilité ?
Il s’agit d’une vulnérabilité d’usurpation d’identité. Elle affecte la barre d’adresses utilisée par Internet Explorer pour afficher le site Web actuellement visité. Cette vulnérabilité peut entraîner une URL incorrecte répertoriée dans la barre d’adresses qui n’est pas la page Web réelle qui apparaît dans Internet Explorer. Par exemple, un attaquant peut créer un lien qui s’affiche https://www.tailspintoys.com dans la barre d’adresses lorsque l’utilisateur a cliqué sur le lien. Toutefois, Internet Explorer affiche en fait du contenu à partir d’un autre site Web, tel que https://www.wingtiptoys.com.

Quelles sont les causes de la vulnérabilité ?
La façon dont Internet Explorer gère les navigations à partir de plug-ins.

Qu’est-ce que les plug-ins ?
Les plug-ins sont des composants tiers qui étendent les fonctionnalités d’Internet Explorer. Des exemples de plug-ins incluent des contrôles ActiveX.

Comment un attaquant pourrait-il exploiter la vulnérabilité ?
Un attaquant peut utiliser cette vulnérabilité pour créer une page Web qui héberge un plug-in qui peut rendre Internet Explorer afficher une URL du choix de l’attaquant dans la barre d’adresses, tout en affichant un autre site web dans la fenêtre du navigateur. Un attaquant peut utiliser cette vulnérabilité pour créer une page malveillante qui usurpe un site légitime. Par exemple, un attaquant peut créer une page web qui ressemble au site de messagerie en ligne d’un utilisateur. Toutefois, cette page web serait hébergée sur un site web malveillant. Un attaquant peut utiliser cette vulnérabilité pour afficher une URL de recherche légitime dans la barre d’adresses. Un utilisateur peut voir cette URL et fournir par erreur des informations sensibles au site de l’attaquant.

Quels systèmes sont principalement exposés à la vulnérabilité ?
Cette vulnérabilité nécessite qu’un utilisateur soit connecté et qu’il lisent des e-mails ou visitent des sites web pour toute action malveillante à effectuer. Par conséquent, tous les systèmes où le courrier électronique est lu ou où Internet Explorer est utilisé fréquemment, tels que les stations de travail ou les serveurs terminal des utilisateurs, sont à risque de cette vulnérabilité. Les systèmes qui ne sont généralement pas utilisés pour lire des messages électroniques ou pour visiter des sites Web, tels que la plupart des systèmes serveurs, sont à un risque réduit.

Windows 98, Windows 98 Second Edition ou Windows Millennium Edition sont-ils gravement affectés par cette vulnérabilité ?
Non. Bien que Windows 98, Windows 98 Second Edition et Windows Millennium Edition contiennent le composant affecté, la vulnérabilité n’est pas critique. Pour plus d’informations sur les évaluations de gravité, visitez ce site web Microsoft.

Que fait la mise à jour ?
La mise à jour supprime la vulnérabilité en modifiant la façon dont Internet Explorer valide les navigations de plug-in.

Quand ce bulletin de sécurité a été émis, cette vulnérabilité a-t-elle été divulguée publiquement ?
Microsoft n’avait reçu aucune information indiquant que cette vulnérabilité avait été divulguée publiquement lorsque ce bulletin de sécurité a été émis à l’origine.

Vulnérabilité de téléchargement de fichier de balise d’image - CAN-2004-0841 :

Une vulnérabilité d’élévation de privilèges existe de la façon dont Internet Explorer traite le script dans les balises d’image. Un attaquant peut exploiter la vulnérabilité en construisant une page web malveillante qui pourrait permettre à un attaquant d’enregistrer un fichier sur le système de l’utilisateur si un utilisateur a visité un site Web malveillant ou consulté un message électronique malveillant. Un attaquant qui a réussi à exploiter cette vulnérabilité peut prendre le contrôle complet d’un système affecté. L’interaction utilisateur est nécessaire pour exploiter cette vulnérabilité.

Atténuation des facteurs de script dans la vulnérabilité de téléchargement de fichier de balise d’image - CAN-2004-0841 :

• Dans un scénario d’attaque web, un attaquant doit héberger un site Web qui contient une page Web utilisée pour exploiter cette vulnérabilité. Un attaquant n’aurait aucun moyen de forcer les utilisateurs à visiter un site Web malveillant. Au lieu de cela, un attaquant devra les persuader de visiter le site Web, généralement en les obtenant pour cliquer sur un lien qui les amène au site de l’attaquant. Une fois qu’ils cliquent sur le lien, ils doivent effectuer une action sur le site Web malveillant, par exemple cliquer sur une image.

• Cette vulnérabilité permet à un attaquant de placer du code malveillant sur le système de l’utilisateur dans des emplacements spécifiés. Une attaque ne peut se produire qu’après que l’utilisateur a exécuté ce code, soit en redémarrant le système, en se désactivant, puis en vous connectant au système, soit en exécutant par inadvertance le code que l’attaquant a enregistré localement sur le système.

• Un attaquant qui a réussi à exploiter cette vulnérabilité peut obtenir les mêmes privilèges que l’utilisateur. Les utilisateurs dont les comptes sont configurés pour avoir moins de privilèges sur le système seraient moins risqués que les utilisateurs qui opèrent avec des privilèges d’administration.

• Par défaut, Outlook Express 6, Outlook 2002 et Outlook 2003 ouvrent des messages électroniques HTML dans la zone Sites restreints. En outre, Outlook 98 et Outlook 2000 ouvrent des messages électroniques HTML dans la zone Sites restreints si la mise à jour de sécurité de messagerie Outlook a été appliquée. Outlook Express 5.5 Service Pack 2 ouvre un e-mail HTML dans la zone Sites restreints si la mise à jour incluse dans le Bulletin de sécurité Microsoft MS04-018 a été appliquée. La zone sites restreints permet de réduire les attaques susceptibles d’essayer d’exploiter cette vulnérabilité.

  Le risque d’attaque à partir du vecteur de messagerie HTML peut être considérablement réduit si vous remplissez toutes les conditions suivantes :

  • Installez la mise à jour incluse dans le Bulletin de sécurité Microsoft MS03-040 ou une mise à jour de sécurité cumulative ultérieure pour Internet Explorer.
  • Utilisez Outlook Express 5.5 Service Pack 2 ou version ultérieure et avez appliqué la mise à jour incluse dans le Bulletin de sécurité Microsoft MS04-018 ou une mise à jour de sécurité cumulative ultérieure pour Outlook Express.
  • Utilisez Microsoft Outlook 98 et Outlook 2000 avec la mise à jour de sécurité de messagerie Microsoft Outlook appliquée.
  • Utilisez Microsoft Outlook Express 6 ou version ultérieure ou Microsoft Outlook 2000 Service Pack 2 ou version ultérieure dans la configuration par défaut.
  • Par défaut, Internet Explorer sur Windows Server 2003 s’exécute en mode restreint appelé Configuration de sécurité améliorée. Ce mode atténue cette vulnérabilité. Consultez la section FAQ sur cette vulnérabilité pour plus d’informations sur la configuration de sécurité renforcée d’Internet Explorer.

• Les produits suivants ne sont pas affectés par cette vulnérabilité :

  • Internet Explorer 6 sur Microsoft Windows XP Service Pack 2

Solutions de contournement pour la vulnérabilité de téléchargement de fichier de balise d’image - CAN-2004-0841 :

Microsoft a testé les solutions de contournement suivantes. Bien que ces solutions de contournement ne corrigent pas la vulnérabilité sous-jacente, elles aident à bloquer les vecteurs d’attaque connus. Lorsqu’une solution de contournement réduit les fonctionnalités, elle est identifiée ci-dessous.

• Définissez les paramètres de zone de sécurité Internet et Intranet local sur « Élevé » pour qu’il soit invité avant d’exécuter des contrôles ActiveX et des scripts actifs dans la zone Internet et dans la zone Intranet local.

  Vous pouvez vous protéger contre ces vulnérabilités en modifiant vos paramètres de la zone de sécurité Internet pour qu’ils s’affichent avant d’exécuter des contrôles ActiveX et des scripts actifs. Pour ce faire, procédez comme suit :

  1. Dans Internet Explorer, cliquez sur Options Internet dans le menu Outils .
  2. Cliquez sur l’onglet Security .
  3. Cliquez sur Internet, puis sur Niveau personnalisé.
  4. Sous Exécuter des contrôles ActiveX et des plug-ins dans la section Contrôles ActiveX et plug-ins , cliquez sur Invite.
  5. Sous Script actif dans la section Script, cliquez sur Invite, puis sur OK.
  6. Cliquez sur Intranet local, puis sur Niveau personnalisé.
  7. Sous Exécuter des contrôles ActiveX et des plug-ins dans la section Contrôles ActiveX et plug-ins , cliquez sur Invite.
  8. Sous Script actif dans la section Scripting , cliquez sur Invite.
  9. Cliquez sur OK deux fois pour revenir à Internet Explorer.

  Impact de la solution de contournement : il existe des effets secondaires à l’invite avant d’exécuter des contrôles ActiveX. De nombreux sites Web qui se trouvent sur Internet ou sur un intranet utilisent ActiveX pour fournir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peut utiliser des contrôles ActiveX pour fournir des menus, des formulaires de commande ou même des relevés de compte.

  L’invite avant d’exécuter des contrôles ActiveX est un paramètre global qui affecte tous les sites Internet et intranet. Vous serez invité fréquemment lorsque vous activez cette solution de contournement. Pour chaque invite, si vous approuvez le site que vous visitez, cliquez sur Ouipour exécuter des contrôles ActiveX. Si vous ne souhaitez pas être invité à entrer tous ces sites, utilisez la solution de contournement « Restreindre les sites Web uniquement à vos sites web approuvés ».

• Restreindre les sites Web à vos sites Web approuvés uniquement

  Après avoir défini Internet Explorer pour exiger une invite avant d’exécuter des contrôles ActiveX et des scripts actifs dans la zone Internet et dans la zone Intranet local, vous pouvez ajouter des sites que vous approuvez à la zone sites approuvés d’Internet Explorer. Si vous procédez ainsi, vous pouvez continuer à utiliser des sites Web approuvés exactement comme vous le faites aujourd’hui, tout en vous aidant à vous protéger contre cette attaque sur des sites non approuvés. Nous vous recommandons d’ajouter uniquement des sites approuvés à la zone sites approuvés.

  Pour ce faire, procédez comme suit :

  1. Dans Internet Explorer, cliquez sur Options Internet dans le menu Outils .
  2. Cliquez sur l’onglet Security .
  3. Dans la zone Sélectionner un contenu web pour spécifier sa zone de paramètres de sécurité actuelle, cliquez sur Sites approuvés, puis sur Sites.
  4. Si vous souhaitez ajouter des sites qui ne nécessitent pas de canal chiffré, cliquez pour effacer la case Exiger la vérification du serveur (https :) pour tous les sites de cette zone case activée zone.
  5. Dans la zone Ajouter ce site Web à la zone de zone , tapez l’URL d’un site approuvé, puis cliquez sur Ajouter.
  6. Répétez ces étapes pour chaque site que vous souhaitez ajouter à la zone
  7. Cliquez sur OK deux fois pour accepter les modifications et revenir à Internet Explorer.

  Ajoutez tous les sites que vous approuvez pour ne pas effectuer d’action malveillante sur votre ordinateur. Vous pouvez ajouter « *.windowsupdate.microsoft.com » (sans guillemets) à votre zone Sites approuvés. Ce site héberge la mise à jour. Ce site utilise un contrôle ActiveX pour installer la mise à jour.

• Installez lamise à jourde sécurité de messagerie Outlook si vous utilisez Outlook 2000 SP1 ou une version antérieure.

  Par défaut, Outlook Express 6, Outlook 2002 et Outlook 2003 ouvrent des messages électroniques HTML dans la zone Sites restreints. En outre, Outlook 98 et Outlook 2000 ouvrent des messages électroniques HTML dans la zone Sites restreints si la mise à jour de sécurité de messagerie Outlook a été appliquée.

  Les clients qui utilisent l’un de ces produits peuvent être à un risque réduit d’une attaque par courrier électronique qui tente d’exploiter cette vulnérabilité, sauf si l’utilisateur clique sur un lien malveillant dans le message électronique.

• Installez la mise à jour incluse dans le Bulletinde sécurité Microsoft MS04-018si vous utilisez Outlook Express 5.5 SP2.

  Outlook Express 5.5 Service Pack 2 ouvre un e-mail HTML dans la zone Sites restreints si la mise à jour incluse dans le Bulletin de sécurité Microsoft MS04-018 a été appliquée.

  Les clients qui utilisent l’un de ces produits peuvent être à un risque réduit d’une attaque par courrier électronique qui tente d’exploiter cette vulnérabilité, sauf si l’utilisateur clique sur un lien malveillant dans le message électronique.

• Lisez les messages électroniques au format texte brut si vous utilisez Outlook 2002 ou version ultérieure, ou Outlook Express 6 SP1 ou version ultérieure, pour vous protéger contre le vecteur d’attaque de messagerie HTML.

  Les utilisateurs de Microsoft Outlook 2002 qui ont appliqué Bureau XP Service Pack 1 ou version ultérieure et les utilisateurs de Microsoft Outlook Express 6 ayant appliqué Internet Explorer 6 Service Pack 1 peuvent activer ce paramètre et afficher les messages électroniques qui ne sont pas signés numériquement ou messages électroniques qui ne sont pas chiffrés en texte brut uniquement.

  Les messages électroniques signés numériquement ou les messages électroniques chiffrés ne sont pas affectés par le paramètre et peuvent être lus dans leurs formats d’origine. Pour plus d’informations sur l’activation de ce paramètre dans Outlook 2002, consultez l’article 307594 de la Base de connaissances Microsoft.

  Pour plus d’informations sur ce paramètre dans Outlook Express 6, consultez l’article de la Base de connaissances Microsoft 291387.

  Impact de la solution de contournement : les messages électroniques affichés au format texte brut ne contiennent pas d’images, de polices spécialisées, d’animations ou d’autres contenus enrichis. De plus :

  • Les modifications sont appliquées au volet d’aperçu et à l’ouverture des messages.
  • Les images deviennent des pièces jointes afin qu’elles ne soient pas perdues.
  • Étant donné que le message est toujours au format Texte enrichi ou HTML dans le magasin, le modèle objet (solutions de code personnalisé) peut se comporter de manière inattendue.

FAQ sur le script dans la vulnérabilité de téléchargement de fichier d’étiquette d’image - CAN-2004-0841 :

Quelle est l’étendue de la vulnérabilité ?
Il s’agit d’une vulnérabilité d’élévation de privilèges dans Internet Explorer et peut entraîner l’enregistrement d’un fichier sur le système de l’utilisateur. L’utilisateur ne reçoit pas de boîte de dialogue demandant d’approuver le téléchargement. Pour exploiter cette vulnérabilité, un attaquant doit héberger un site Web malveillant contenant une page Web contenant un lien conçu pour exploiter cette vulnérabilité particulière, puis persuader un utilisateur de visiter ce site. Si l’utilisateur a effectué des actions sur cette page web, tout code du choix de l’attaquant peut être enregistré dans un emplacement spécifique sur le système de l’utilisateur.

Quelles sont les causes de la vulnérabilité ?
Cette vulnérabilité est due à la façon dont Internet Explorer valide le script dans les balises d’image.

Comment un attaquant pourrait-il exploiter la vulnérabilité ?
Un attaquant qui a réussi à exploiter cette vulnérabilité peut enregistrer le code de son choix dans le système de fichiers local de l’utilisateur. Bien que ce code ne puisse pas être exécuté directement via cette vulnérabilité, le système d’exploitation peut ouvrir le fichier s’il est enregistré dans un emplacement sensible, ou un utilisateur peut activer le fichier par inadvertance, ce qui provoque l’exécution du code de l’attaquant.

Quels systèmes sont principalement exposés à la vulnérabilité ?
Cette vulnérabilité nécessite qu’un utilisateur soit connecté et qu’il lisent des e-mails ou visitent des sites web pour toute action malveillante à effectuer. Par conséquent, tous les systèmes où le courrier électronique est lu ou où Internet Explorer est utilisé fréquemment, tels que les stations de travail ou les serveurs terminal des utilisateurs, sont à risque de cette vulnérabilité. Les systèmes qui ne sont généralement pas utilisés pour lire des messages électroniques ou pour visiter des sites Web, tels que la plupart des systèmes serveurs, sont à un risque réduit.

Windows 98, Windows 98 Second Edition ou Windows Millennium Edition sont-ils gravement affectés par cette vulnérabilité ?
Non. Bien que Windows 98, Windows 98 Second Edition et Windows Millennium Edition contiennent le composant affecté, la vulnérabilité n’est pas critique. Pour plus d’informations sur les évaluations de gravité, visitez ce site web Microsoft.

Que fait la mise à jour ?
La mise à jour supprime la vulnérabilité en modifiant la façon dont Internet Explorer valide le script dans les balises d’image.

Quand ce bulletin de sécurité a été émis, cette vulnérabilité a-t-elle été divulguée publiquement ?
Oui. Cette vulnérabilité a été divulguée publiquement. Il a été affecté au numéro de vulnérabilité et d’exposition courants CAN-2004-0841. En outre, il a été nommé « HijackClick3 » par la communauté de sécurité.

Quand ce bulletin de sécurité a été émis, Microsoft a-t-il reçu des rapports indiquant que cette vulnérabilité était exploitée ?
Oui. Lorsque le bulletin de sécurité a été publié, nous avons reçu des informations indiquant que cette vulnérabilité était exploitée.

L’installation de cette mise à jour de sécurité permet-elle de protéger les clients du code publié publiquement qui tente d’exploiter cette vulnérabilité ?
Oui. Cette mise à jour de sécurité résout la vulnérabilité en cours d’exploitation. La vulnérabilité qui a été traitée a été affectée au numéro d’exposition et de vulnérabilité CAN-2004-0841.

Vulnérabilité de mise en cache SSL - CAN-2004-0845 :

Une vulnérabilité d’usurpation existe de la façon dont Internet Explorer valide le contenu mis en cache à partir de sites Web protégés par SSL. Cette vulnérabilité peut permettre à un attaquant d’exécuter un script de son choix sur des sites Web améliorés en matière de sécurité.

Facteurs d’atténuation de la vulnérabilité de mise en cache SSL - CAN-2004-0845 :

• Un attaquant doit héberger un site Web qui contient une page Web utilisée pour exploiter cette vulnérabilité. Un attaquant n’aurait aucun moyen de forcer les utilisateurs à visiter un site Web malveillant. Au lieu de cela, un attaquant devra les persuader de visiter le site Web, généralement en les obtenant pour cliquer sur un lien qui les amène au site de l’attaquant.
• Avant que l’utilisateur visite le site Web protégé par SSL légitime, un attaquant doit rediriger la navigation de l’utilisateur du site Web légitime vers son site Web malveillant qui a le même nom d’hôte. Pour ce faire, l’attaquant doit intercepter le trafic réseau ou pointer le système de l’utilisateur vers un serveur DNS malveillant.
• Les produits suivants ne sont pas affectés par cette vulnérabilité.
  • Internet Explorer 6 sur Microsoft Windows XP Service Pack 2

Solutions de contournement pour la vulnérabilité de mise en cache SSL - CAN-2004-0845 :

Microsoft a testé les solutions de contournement suivantes. Bien que ces solutions de contournement ne corrigent pas la vulnérabilité sous-jacente, elles aident à bloquer les vecteurs d’attaque connus. Lorsqu’une solution de contournement réduit les fonctionnalités, elle est identifiée ci-dessous.

• Définissez les paramètres de sécurité avancés pour ne pas enregistrer les pages chiffrées sur le disque.

  Vous pouvez vous protéger contre ces vulnérabilités en modifiant vos paramètres pour ne pas enregistrer le contenu chiffré sur le disque. Pour ce faire, procédez comme suit :

  1. Dans Internet Explorer, cliquez sur Options Internet dans le menu Outils .
  2. Cliquez sur l’onglet Avancé.
  3. Sous Paramètres, faites défiler jusqu’à Sécurité.
  4. Sous Paramètres, dans la section Sécurité, cliquez sur Ne pas enregistrer les pages chiffrées sur le disque.
  5. Cliquez sur OK deux fois pour revenir à Internet Explorer.

FAQ sur la vulnérabilité de mise en cache SSL - CAN-2004-0845 :

Quelle est l’étendue de la vulnérabilité ?
Il s’agit d’une vulnérabilité d’usurpation et de divulgation d’informations. Un attaquant qui a réussi à exploiter cette vulnérabilité peut accéder à des informations ou à du contenu d’usurpation sur des sites web protégés par SSL.

Quelles sont les causes de la vulnérabilité ?
Gestion du contenu SSL mis en cache par Internet Explorer.

Qu’est-ce que SSL ?
Ssl (Secure Sockets Layer ) est un protocole qui permet aux sessions web d’être chiffrées pour une plus grande sécurité. Dans Internet Explorer, lorsque vous visitez un site Web et qu’une icône de verrou jaune apparaît dans le coin inférieur droit de la fenêtre du navigateur, la session active est protégée par SSL.

Qu’est-ce qu’un attaquant peut utiliser la vulnérabilité pour faire ?
Un attaquant qui a réussi à exploiter cette vulnérabilité peut accéder aux informations ou au contenu d’usurpation sur des sites Web protégés par SSL.

Comment un attaquant pourrait-il exploiter la vulnérabilité ?
Un attaquant peut exploiter la vulnérabilité en créant un site Web portant le même nom d’hôte qu’un site Web protégé par SSL légitime. Si l’attaquant a ensuite pu rediriger la navigation à partir du site Web légitime à cette adresse vers son site Web malveillant, les éléments du choix de l’attaquant peuvent être mis en cache vers le système local.

Lorsque l’utilisateur a visité le site légitime dans une deuxième session, ces éléments sont chargés dans le contexte du site Web légitime. Ces éléments peuvent inclure du code de script, des images ou d’autres contenus mis en cache localement. Ce contenu peut être conçu pour obtenir des informations sensibles qui seraient généralement protégées par la sécurité SSL.

Quels systèmes sont principalement exposés à la vulnérabilité ?
Cette vulnérabilité nécessite qu’un utilisateur soit connecté et qu’il lisent des e-mails ou visitent des sites web pour toute action malveillante à effectuer. Par conséquent, tous les systèmes où le courrier électronique est lu ou où Internet Explorer est utilisé fréquemment, tels que les stations de travail ou les serveurs terminal des utilisateurs, sont à risque de cette vulnérabilité. Les systèmes qui ne sont généralement pas utilisés pour lire des messages électroniques ou pour visiter des sites Web, tels que la plupart des systèmes serveurs, sont à un risque réduit.

Windows 98, Windows 98 Second Edition ou Windows Millennium Edition sont-ils gravement affectés par cette vulnérabilité ?
Non. Bien que Windows 98, Windows 98 Second Edition et Windows Millennium Edition contiennent le composant affecté, la vulnérabilité n’est pas critique. Pour plus d’informations sur les évaluations de gravité, visitez ce site web Microsoft.

Que fait la mise à jour ?
La mise à jour supprime la vulnérabilité en modifiant la façon dont Internet Explorer valide le contenu pendant les sessions SSL.

Quand ce bulletin de sécurité a été émis, cette vulnérabilité a-t-elle été divulguée publiquement ?
Non. Nous avons reçu des informations sur cette vulnérabilité par le biais d’une divulgation responsable.

Informations sur les mises à jour de sécurité

Plateformes d’installation et conditions préalables :

Pour plus d’informations sur la façon de déterminer la version d’Internet Explorer que vous exécutez, consultez l’article de la Base de connaissances Microsoft 164539.

Pour plus d’informations sur la mise à jour de sécurité spécifique pour votre système, cliquez sur le lien approprié :

Internet Explorer 6 pour Windows Server 2003 (toutes les versions) et Windows XP 64 bits Edition, version 2003

Conditions préalables
Cette mise à jour nécessite Internet Explorer 6 (version 6.00.3790.0000) sur Windows Server 2003 (32 bits ou 64 bits) ou Internet Explorer 6 (version 6.00.3790.0000) sur Windows XP 64 bits, version 2003.

Inclusion dans les Service Packs futurs :
Les mises à jour de ces problèmes seront incluses dans Windows Server 2003 Service Pack 1.

Informations d’installation

Cette mise à jour de sécurité prend en charge les commutateurs d’installation suivants :

/help Affiche les options de ligne de commande

Modes d’installation

Mode silencieux /quiet (aucune interaction ou affichage de l’utilisateur)

Mode /passif sans assistance (barre de progression uniquement)

/uninstall désinstalle le package

Options de redémarrage

/norestart Ne redémarrez pas une fois l’installation terminée

/forcerestart Restart after installation

Options spéciales

/l Lists installé des correctifs logiciels Windows ou des packages de mise à jour

/o Remplacer les fichiers OEM sans inviter

/n Ne pas sauvegarder les fichiers nécessaires à la désinstallation

/f Forcer la fermeture d’autres programmes lorsque l’ordinateur s’arrête

/extracte les fichiers sans démarrer l’installation

Notez que vous pouvez combiner ces commutateurs en une seule commande. Pour la compatibilité descendante, la mise à jour de sécurité prend également en charge les commutateurs d’installation que la version précédente de l’utilitaire d’installation utilise. Pour plus d’informations sur les commutateurs d’installation pris en charge, consultez l’article de la Base de connaissances Microsoft sur les commutateurs d’installation pris en charge, consultez l’article de la Base de connaissances Microsoft 262841.

Informations de déploiement

Pour installer la mise à jour de sécurité sans intervention de l’utilisateur, utilisez la commande suivante à l’invite de commandes pour Windows Server 2003 :

Windowsserver2003-kb834707-x86-enu /passive /quiet

Pour installer la mise à jour de sécurité sans forcer le système à redémarrer, utilisez la commande suivante à l’invite de commandes pour Windows Server 2003 :

Windowsserver2003-kb834707-x86-enu /norestart

Pour plus d’informations sur le déploiement de cette mise à jour de sécurité avec Software Update Services, visitez le site web Software Update Services.

Configuration requise pour le redémarrage

Vous devez redémarrer votre système après avoir installé cette mise à jour de sécurité. Vous n’avez pas besoin d’utiliser une ouverture de session administrateur après le redémarrage de l’ordinateur pour toute version de cette mise à jour.

Informations de suppression

Pour supprimer cette mise à jour, utilisez l’outil Ajouter ou supprimer des programmes dans Panneau de configuration.

Les administrateurs système peuvent également utiliser l’utilitaire de Spuninst.exe pour supprimer cette mise à jour de sécurité. L’utilitaire Spuninst.exe se trouve dans le dossier %Windir%\$NTUninstall Ko 834707$\Spuninst. L’utilitaire Spuninst.exe prend en charge les commutateurs d’installation suivants :

/ ?: Affichez la liste des commutateurs d’installation.

/u : Utilisez le mode sans assistance.

/f : forcer l’arrêt d’autres programmes lorsque l’ordinateur s’arrête.

/z : ne redémarrez pas une fois l’installation terminée.

/q : Utilisez le mode silencieux (aucune interaction utilisateur).

Informations sur le fichier

La version anglaise de cette mise à jour comporte les attributs de fichier (ou version ultérieure) répertoriés dans le tableau suivant. Les dates et heures de ces fichiers sont répertoriées en temps universel coordonné (UTC). Lorsque vous affichez les informations du fichier, elle est convertie en heure locale. Pour trouver la différence entre l’heure UTC et l’heure locale, utilisez l’onglet Fuseau horaire dans l’outil Date et Heure dans Panneau de configuration.

Internet Explorer 6 pour Windows Server 2003 Êdition Entreprise, Windows Server 2003 Édition Standard, Windows Server 2003 Web Edition et Windows Server 2003 Datacenter Edition :

Date Time Version Size File name Folder
-----------------------------------------------------------------------
29-Sep-2004 19:40 6.0.3790.212 1,057,792 Browseui.dll RTMGDR
29-Sep-2004 19:40 6.0.3790.218 73,216 Inseng.dll RTMGDR
29-Sep-2004 19:40 6.0.3790.219 2,924,544 Mshtml.dll RTMGDR
29-Sep-2004 19:40 6.0.3790.212 1,395,200 Shdocvw.dll RTMGDR
29-Sep-2004 19:40 6.0.3790.212 287,232 Shlwapi.dll RTMGDR
29-Sep-2004 19:40 6.0.3790.218 513,536 Urlmon.dll RTMGDR
29-Sep-2004 19:40 6.0.3790.218 624,640 Wininet.dll RTMGDR
29-Sep-2004 19:25 6.0.3790.218 1,057,792 Browseui.dll RTMQFE
29-Sep-2004 19:25 6.0.3790.218 73,216 Inseng.dll RTMQFE
29-Sep-2004 19:25 6.0.3790.219 2,924,544 Mshtml.dll RTMQFE
29-Sep-2004 19:25 6.0.3790.214 1,395,712 Shdocvw.dll RTMQFE
29-Sep-2004 19:25 6.0.3790.212 287,232 Shlwapi.dll RTMQFE
29-Sep-2004 19:25 6.0.3790.218 513,536 Urlmon.dll RTMQFE
29-Sep-2004 19:25 6.0.3790.218 625,152 Wininet.dll RTMQFE

Internet Explorer 6 pour Windows XP 64 bits Edition, version 2003 ; Windows Server 2003 64 bits Êdition Entreprise et Windows Server 2003 64 bits Datacenter Edition :

Date Time Version Size File name Platform Folder
----------------------------------------------------------------------------------
29-Sep-2004 12:40 6.0.3790.212 2,536,960 Browseui.dll IA64RTMGDR
29-Sep-2004 12:40 6.0.3790.218 217,600 Inseng.dll IA64RTMGDR
29-Sep-2004 12:40 6.0.3790.219 8,228,864 Mshtml.dll IA64RTMGDR
29-Sep-2004 12:40 6.0.3790.212 3,362,304 Shdocvw.dll IA64RTMGDR
29-Sep-2004 12:40 6.0.3790.212 738,816 Shlwapi.dll IA64RTMGDR
29-Sep-2004 12:40 6.0.3790.218 1,278,976 Urlmon.dll IA64RTMGDR
29-Sep-2004 12:40 6.0.3790.218 1,503,232 Wininet.dll IA64RTMGDR
29-Sep-2004 12:40 6.0.3790.212 1,057,792 Wbrowseui.dll X86RTMGDR
29-Sep-2004 12:40 6.0.3790.218 73,216 Winseng.dll X86RTMGDR
29-Sep-2004 12:40 6.0.3790.219 2,924,544 Wmshtml.dll X86RTMGDR
29-Sep-2004 12:40 6.0.3790.212 1,395,200 Wshdocvw.dll X86RTMGDR
29-Sep-2004 12:40 6.0.3790.212 287,232 Wshlwapi.dll X86RTMGDR
29-Sep-2004 12:40 6.0.3790.218 513,536 Wurlmon.dll X86RTMGDR
29-Sep-2004 12:40 6.0.3790.218 624,640 Wwininet.dll X86RTMGDR
29-Sep-2004 12:21 6.0.3790.218 2,536,960 Browseui.dll IA64RTMQFE
29-Sep-2004 12:21 6.0.3790.218 217,600 Inseng.dll IA64RTMQFE
29-Sep-2004 12:21 6.0.3790.219 8,230,400 Mshtml.dll IA64RTMQFE
29-Sep-2004 12:21 6.0.3790.214 3,364,864 Shdocvw.dll IA64RTMQFE
29-Sep-2004 12:21 6.0.3790.212 738,816 Shlwapi.dll IA64RTMQFE
29-Sep-2004 12:21 6.0.3790.218 1,278,976 Urlmon.dll IA64RTMQFE
29-Sep-2004 12:21 6.0.3790.218 1,503,744 Wininet.dll IA64RTMQFE
29-Sep-2004 12:25 6.0.3790.218 1,057,792 Wbrowseui.dll X86RTMQFE
29-Sep-2004 12:25 6.0.3790.218 73,216 Winseng.dll X86RTMQFE
29-Sep-2004 12:25 6.0.3790.219 2,924,544 Wmshtml.dll X86RTMQFE
29-Sep-2004 12:25 6.0.3790.214 1,395,712 Wshdocvw.dll X86RTMQFE
29-Sep-2004 12:25 6.0.3790.212 287,232 Wshlwapi.dll X86RTMQFE
29-Sep-2004 12:25 6.0.3790.218 513,536 Wurlmon.dll X86RTMQFE
29-Sep-2004 12:25 6.0.3790.218 625,152 Wwininet.dll X86RTMQFE

Notez que lorsque vous installez cette mise à jour de sécurité sur Windows Server 2003 ou sur Windows XP version 64 bits version 2003, le programme d’installation case activée pour voir si l’un des fichiers mis à jour sur votre système a été précédemment mis à jour par un correctif logiciel Microsoft. Si vous avez déjà installé un correctif logiciel pour mettre à jour l’un de ces fichiers, le programme d’installation copie les fichiers RTMQFE sur votre système. Sinon, le programme d’installation copie les fichiers RTMGDR sur votre système. Pour plus d’informations, consultez l’article de la Base de connaissances Microsoft 824994.

Vérification de l’installation de la mise à jour

• Microsoft Baseline Security Analyzer

  Pour vérifier qu’une mise à jour de sécurité est installée sur un système affecté, vous pouvez utiliser l’outil Microsoft Baseline Security Analyzer (Mo SA). Cet outil permet aux administrateurs d’analyser les systèmes locaux et distants pour détecter les mises à jour de sécurité manquantes et pour les configurations incorrectes de sécurité courantes. Pour plus d’informations sur Mo SA, visitez le site web Microsoft Baseline Security Analyzer.

• Vérification de version de fichier

  Notez qu’il existe plusieurs versions de Microsoft Windows, les étapes suivantes peuvent être différentes sur votre ordinateur. Si c’est le cas, consultez la documentation de votre produit pour effectuer ces étapes.

  1. Cliquez sur Démarrer, puis sur Rechercher.
  2. Dans le volet Résultats de la recherche, cliquez sur Tous les fichiers et dossiers sous Compagnon de recherche.
  3. Dans la zone Tout ou partie du nom de fichier, tapez un nom de fichier à partir de la table d’informations de fichier appropriée, puis cliquez sur Rechercher.
  4. Dans la liste des fichiers, cliquez avec le bouton droit sur un nom de fichier à partir de la table d’informations de fichier appropriée, puis cliquez sur Propriétés.

  Notez que , selon la version du système d’exploitation ou des programmes installés, certains fichiers répertoriés dans la table d’informations de fichier peuvent ne pas être installés.

  1. Sous l’onglet Version , déterminez la version du fichier installé sur votre ordinateur en la comparant à la version documentée dans la table d’informations de fichier appropriée.

  Notez que les attributs autres que la version du fichier peuvent changer pendant l’installation. La comparaison d’autres attributs de fichier aux informations de la table d’informations de fichier n’est pas une méthode prise en charge pour vérifier l’installation de la mise à jour. En outre, dans certains cas, les fichiers peuvent être renommés lors de l’installation. Si les informations de fichier ou de version ne sont pas présentes, utilisez l’une des autres méthodes disponibles pour vérifier l’installation de la mise à jour.

• Vérification de la clé de Registre

  Vous pouvez également vérifier les fichiers installés par cette mise à jour de sécurité en confirmant que la valeur DWORD installée avec une valeur de données de 1 existe dans les clés de Registre suivantes.

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Ko 834707

Internet Explorer 6 pour Windows XP Service Pack 2

Conditions préalables
Cette mise à jour nécessite Internet Explorer 6 (version 6.00.2900.2180) sur Windows XP Service Pack 2.

Inclusion dans les Service Packs futurs :
La mise à jour de ce problème sera incluse dans tous les futurs Service Pack de Windows XP.

Informations d’installation

Cette mise à jour de sécurité prend en charge les commutateurs d’installation suivants :

/help Affiche les options de ligne de commande

Modes d’installation

Mode silencieux /quiet (aucune interaction ou affichage de l’utilisateur)

Mode /passif sans assistance (barre de progression uniquement)

/uninstall désinstalle le package

Options de redémarrage

/norestart Ne redémarrez pas une fois l’installation terminée

/forcerestart Restart after installation

Options spéciales

/l Lists installé des correctifs logiciels Windows ou des packages de mise à jour

/o Remplacer les fichiers OEM sans inviter

/n Ne pas sauvegarder les fichiers nécessaires à la désinstallation

/f Forcer la fermeture d’autres programmes lorsque l’ordinateur s’arrête

/extracte les fichiers sans démarrer l’installation

Notez que vous pouvez combiner ces commutateurs en une seule commande. Pour la compatibilité descendante, la mise à jour de sécurité prend également en charge les commutateurs d’installation que la version précédente de l’utilitaire d’installation utilise. Pour plus d’informations sur les commutateurs d’installation pris en charge, consultez l’article de la Base de connaissances Microsoft sur les commutateurs d’installation pris en charge, consultez l’article de la Base de connaissances Microsoft 262841.

Informations de déploiement

Pour installer la mise à jour de sécurité sans intervention de l’utilisateur, utilisez la commande suivante à l’invite de commandes pour Windows XP SP2 :

WindowXP-kb834707-x86-enu /passive /quiet

Pour installer la mise à jour de sécurité sans forcer le système à redémarrer, utilisez la commande suivante à l’invite de commandes pour Windows Server 2003 :

WindowsXP-kb834707-x86-enu /norestart

Pour plus d’informations sur le déploiement de cette mise à jour de sécurité avec Software Update Services, visitez le site web Software Update Services.

Configuration requise pour le redémarrage

Vous devez redémarrer votre système après avoir installé cette mise à jour de sécurité. Vous n’avez pas besoin d’utiliser une ouverture de session administrateur après le redémarrage de l’ordinateur pour toute version de cette mise à jour.

Informations de suppression

Pour supprimer cette mise à jour, utilisez l’outil Ajouter ou supprimer des programmes dans Panneau de configuration. Pour afficher la liste des mises à jour installées dans Ajouter ou supprimer des programmes, l’utilisateur doit d’abord case activée la boîte de réception Afficher Mises à jour case activée box.

Les administrateurs système peuvent également utiliser l’utilitaire de Spuninst.exe pour supprimer cette mise à jour de sécurité. L’utilitaire Spuninst.exe se trouve dans le dossier %Windir%\$NTUninstall Ko 834707$\Spuninst. L’utilitaire Spuninst.exe prend en charge les commutateurs d’installation suivants :

/ ?: Affichez la liste des commutateurs d’installation.

/u : Utilisez le mode sans assistance.

/f : forcer l’arrêt d’autres programmes lorsque l’ordinateur s’arrête.

/z : ne redémarrez pas une fois l’installation terminée.

/q : Utilisez le mode silencieux (aucune interaction utilisateur).

Informations sur le fichier

La version anglaise de cette mise à jour comporte les attributs de fichier (ou version ultérieure) répertoriés dans le tableau suivant. Les dates et heures de ces fichiers sont répertoriées en temps universel coordonné (UTC). Lorsque vous affichez les informations du fichier, elle est convertie en heure locale. Pour trouver la différence entre l’heure UTC et l’heure locale, utilisez l’onglet Fuseau horaire dans l’outil Date et Heure dans Panneau de configuration.

Internet Explorer 6 pour Windows XP Service Pack 2 :

Date Time Version Size File name Platform Folder
----------------------------------------------------------------------------------
29-Sep-2004 18:47 6.0.2900.2518 1,016,832 Browseui.dll X86SP2GDR
29-Sep-2004 18:47 6.0.2900.2523 3,004,928 Mshtml.dll X86SP2GDR
29-Sep-2004 18:47 6.0.2900.2518 1,483,264 Shdocvw.dll X86SP2GDR
29-Sep-2004 18:47 6.0.2900.2518 603,648 Urlmon.dll X86SP2GDR
29-Sep-2004 18:47 6.0.2900.2518 656,896 Wininet.dll X86SP2GDR
29-Sep-2004 18:27 6.0.2900.2518 1,016,832 Browseui.dll X86SP2QFE
29-Sep-2004 18:27 6.0.2900.2524 3,004,928 Mshtml.dll X86SP2QFE
29-Sep-2004 18:27 6.0.2900.2520 1,483,264 Shdocvw.dll X86SP2QFE
29-Sep-2004 18:27 6.0.2900.2518 603,648 Urlmon.dll X86SP2QFE
29-Sep-2004 18:27 6.0.2900.2518 656,896 Wininet.dll X86SP2QFE

Notez que lorsque vous installez cette mise à jour de sécurité sur Windows XP Service Pack 2, le programme d’installation case activée s pour voir si l’un des fichiers mis à jour sur votre système a déjà été mis à jour par un correctif logiciel Microsoft. Si vous avez déjà installé un correctif logiciel pour mettre à jour l’un de ces fichiers, le programme d’installation copie les fichiers X86SP2QFE dans votre système. Sinon, le programme d’installation copie les fichiers X86SP2GDR sur votre système. Pour plus d’informations, consultez l’article de la Base de connaissances Microsoft 824994.

Vérification de l’installation de la mise à jour

• Microsoft Baseline Security Analyzer

  Pour vérifier qu’une mise à jour de sécurité est installée sur un système affecté, vous pouvez utiliser l’outil Microsoft Baseline Security Analyzer (Mo SA). Cet outil permet aux administrateurs d’analyser les systèmes locaux et distants pour détecter les mises à jour de sécurité manquantes et pour les configurations incorrectes de sécurité courantes. Pour plus d’informations sur Mo SA, visitez le site web Microsoft Baseline Security Analyzer.

• Vérification de version de fichier

  Notez qu’il existe plusieurs versions de Microsoft Windows, les étapes suivantes peuvent être différentes sur votre ordinateur. Si c’est le cas, consultez la documentation de votre produit pour effectuer ces étapes.

  1. Cliquez sur Démarrer, puis sur Rechercher.
  2. Dans le volet Résultats de la recherche, cliquez sur Tous les fichiers et dossiers sous Compagnon de recherche.
  3. Dans la zone Tout ou partie du nom de fichier, tapez un nom de fichier à partir de la table d’informations de fichier appropriée, puis cliquez sur Rechercher.
  4. Dans la liste des fichiers, cliquez avec le bouton droit sur un nom de fichier à partir de la table d’informations de fichier appropriée, puis cliquez sur Propriétés.

  Notez que , selon la version du système d’exploitation ou des programmes installés, certains fichiers répertoriés dans la table d’informations de fichier peuvent ne pas être installés.

  1. Sous l’onglet Version , déterminez la version du fichier installé sur votre ordinateur en la comparant à la version documentée dans la table d’informations de fichier appropriée.

  Notez que les attributs autres que la version du fichier peuvent changer pendant l’installation. La comparaison d’autres attributs de fichier aux informations de la table d’informations de fichier n’est pas une méthode prise en charge pour vérifier l’installation de la mise à jour. En outre, dans certains cas, les fichiers peuvent être renommés lors de l’installation. Si les informations de fichier ou de version ne sont pas présentes, utilisez l’une des autres méthodes disponibles pour vérifier l’installation de la mise à jour.

• Vérification de la clé de Registre

  Vous pouvez également vérifier les fichiers installés par cette mise à jour de sécurité en confirmant que la valeur DWORD installée avec une valeur de données de 1 existe dans les clés de Registre suivantes.

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Ko 834707

Internet Explorer 6 SP1 pour Windows XP (jusqu’à Service Pack 1), Windows 2000 (toutes les versions)

Remarque pour Windows XP version 64 bits version 2003, cette mise à jour de sécurité est identique à la mise à jour de sécurité windows Server 2003 64 bits Edition.

Conditions préalables
Pour installer les versions d’Internet Explorer 6 Service Pack 1 (SP1) de cette mise à jour, vous devez exécuter Internet Explorer 6 SP1 (version 6.00.2800.1106) sur l’une des versions suivantes de Windows :

• Microsoft Windows 2000 Service Pack 3, Service Pack 4
• Microsoft Windows XP
• Microsoft Windows XP Service Pack 1
• Microsoft Windows XP 64 Bits Edition, Service Pack 1

Informations d’installation

Cette mise à jour de sécurité prend en charge les commutateurs d’installation suivants :

/help Affiche les options de ligne de commande

Modes d’installation

Mode silencieux /quiet (aucune interaction ou affichage de l’utilisateur)

Mode /passif sans assistance (barre de progression uniquement)

/uninstall désinstalle le package

Options de redémarrage

/norestart Ne redémarrez pas une fois l’installation terminée

/forcerestart Restart after installation

Options spéciales

/l Lists installé des correctifs logiciels Windows ou des packages de mise à jour

/o Remplacer les fichiers OEM sans inviter

/n Ne pas sauvegarder les fichiers nécessaires à la désinstallation

/f Forcer la fermeture d’autres programmes lorsque l’ordinateur s’arrête

/extracte les fichiers sans démarrer l’installation

Notez que vous pouvez combiner ces commutateurs en une seule commande. Pour la compatibilité descendante, la mise à jour de sécurité prend également en charge les commutateurs d’installation que la version précédente de l’utilitaire d’installation utilise. Pour plus d’informations sur les commutateurs d’installation pris en charge, consultez l’article de la Base de connaissances Microsoft sur les commutateurs d’installation pris en charge, consultez l’article de la Base de connaissances Microsoft 262841.

Informations de déploiement

Pour installer la mise à jour de sécurité sans intervention de l’utilisateur, utilisez la commande suivante à l’invite de commandes pour Windows XP SP1 :

IE6.0sp1-Ko 834707-Windows-2000-XP-x86-enu /passive /quiet

Pour installer la mise à jour de sécurité sans forcer le système à redémarrer, utilisez la commande suivante à l’invite de commandes pour Windows Server 2003 :

IE6.0sp1-Ko 834707-Windows-2000-XP-x86-enu /norestart

Pour plus d’informations sur le déploiement de cette mise à jour de sécurité avec Software Update Services, visitez le site web Software Update Services.

Pour plus d’informations sur le déploiement de cette mise à jour avec SMS, consultez l’article de la Base de connaissances Microsoft suivant 887437.

Configuration requise pour le redémarrage

Vous devez redémarrer votre système après avoir installé cette mise à jour de sécurité. Vous n’avez pas besoin d’utiliser une ouverture de session administrateur après le redémarrage de l’ordinateur pour toute version de cette mise à jour.

Informations de suppression

Pour supprimer cette mise à jour, utilisez l’outil Ajouter ou supprimer des programmes dans Panneau de configuration. L’élément qui fait référence à cette mise à jour la répertorie comme une mise à jour Windows et non comme une mise à jour d’Internet Explorer. Il s’agit d’une modification de la sécurité cumulative d’Internet Explorer passée Mises à jour.

Les administrateurs système peuvent également utiliser l’utilitaire de Spuninst.exe pour supprimer cette mise à jour de sécurité. L’utilitaire Spuninst.exe se trouve dans le dossier Windir%\$NTUninstall Ko 834707-ie6sp1-20040929.091901$\Spuninst. L’utilitaire Spuninst.exe prend en charge les commutateurs d’installation suivants :

/ ?: Affichez la liste des commutateurs d’installation.

/u : Utilisez le mode sans assistance.

/f : forcer l’arrêt d’autres programmes lorsque l’ordinateur s’arrête.

/z : ne redémarrez pas une fois l’installation terminée.

/q : Utilisez le mode silencieux (aucune interaction utilisateur).

Informations sur le fichier

La version anglaise de cette mise à jour comporte les attributs de fichier (ou version ultérieure) répertoriés dans le tableau suivant. Les dates et heures de ces fichiers sont répertoriées en temps universel coordonné (UTC). Lorsque vous affichez les informations du fichier, elle est convertie en heure locale. Pour trouver la différence entre l’heure UTC et l’heure locale, utilisez l’onglet Fuseau horaire dans l’outil Date et Heure dans Panneau de configuration.

Internet Explorer 6 Service Pack 1 sur Windows 2000, Windows XP et Windows 2003 :

Date Time Version Size File name Platform
----------------------------------------------------------------------
23-Aug-2004 02:34 6.0.2800.1584 1,025,536 Browseui.dll X86
26-Aug-2004 17:53 6.0.2800.1469 69,632 Inseng.dll X86
29-Sep-2004 07:57 6.0.2800.1476 2,805,760 Mshtml.dll X86
27-Aug-2004 20:58 6.0.2800.1584 1,340,416 Shdocvw.dll X86
20-Aug-2004 22:01 6.0.2800.1584 422,912 Shlwapi.dll X86
24-Sep-2004 00:08 6.0.2800.1474 487,936 Urlmon.dll X86
24-Aug-2004 03:32 6.0.2800.1468 589,312 Wininet.dll X86

Internet Explorer 6 Service Pack 1 (édition 64 bits) sur Windows XP :

Date Time Version Size File name Platform
----------------------------------------------------------------------
22-Aug-2004 23:49 6.0.2800.1584 2,855,936 Browseui.dll IA64
26-Aug-2004 17:53 6.0.2800.1469 230,912 Inseng.dll IA64
29-Sep-2004 07:28 6.0.2800.1476 9,107,456 Mshtml.dll IA64
22-Aug-2004 23:47 6.0.2800.1584 3,651,584 Shdocvw.dll IA64
20-Aug-2004 21:52 6.0.2800.1584 1,117,184 Shlwapi.dll IA64
23-Sep-2004 23:14 6.0.2800.1474 1,424,384 Urlmon.dll IA64
24-Aug-2004 01:56 6.0.2800.1468 1,798,656 Wininet.dll IA64
23-Aug-2004 02:34 6.0.2800.1584 1,025,536 Wbrowseui.dll X86
26-Aug-2004 17:53 6.0.2800.1469 69,632 Winseng.dll X86
29-Sep-2004 07:57 6.0.2800.1476 2,805,760 Wmshtml.dll X86
27-Aug-2004 20:58 6.0.2800.1584 1,340,416 Wshdocvw.dll X86
20-Aug-2004 22:01 6.0.2800.1584 422,912 Wshlwapi.dll X86
24-Sep-2004 00:08 6.0.2800.1474 487,936 Wurlmon.dll X86
24-Aug-2004 03:32 6.0.2800.1468 589,312 Wwininet.dll X86

Vérification de l’installation de la mise à jour

• Microsoft Baseline Security Analyzer

  Pour vérifier qu’une mise à jour de sécurité est installée sur un système affecté, vous pouvez utiliser l’outil Microsoft Baseline Security Analyzer (Mo SA). Cet outil permet aux administrateurs d’analyser les systèmes locaux et distants pour détecter les mises à jour de sécurité manquantes et pour les configurations incorrectes de sécurité courantes. Pour plus d’informations sur Mo SA, visitez le site web Microsoft Baseline Security Analyzer.

• Vérification de version de fichier

  Notez qu’il existe plusieurs versions de Microsoft Windows, les étapes suivantes peuvent être différentes sur votre ordinateur. Si c’est le cas, consultez la documentation de votre produit pour effectuer ces étapes.

  1. Cliquez sur Démarrer, puis sur Rechercher.
  2. Dans le volet Résultats de la recherche, cliquez sur Tous les fichiers et dossiers sous Compagnon de recherche.
  3. Dans la zone Tout ou partie du nom de fichier, tapez un nom de fichier à partir de la table d’informations de fichier appropriée, puis cliquez sur Rechercher.
  4. Dans la liste des fichiers, cliquez avec le bouton droit sur un nom de fichier à partir de la table d’informations de fichier appropriée, puis cliquez sur Propriétés.

  Notez que , selon la version du système d’exploitation ou des programmes installés, certains fichiers répertoriés dans la table d’informations de fichier peuvent ne pas être installés.

  1. Sous l’onglet Version , déterminez la version du fichier installé sur votre ordinateur en la comparant à la version documentée dans la table d’informations de fichier appropriée.

  Notez que les attributs autres que la version du fichier peuvent changer pendant l’installation. La comparaison d’autres attributs de fichier aux informations de la table d’informations de fichier n’est pas une méthode prise en charge pour vérifier l’installation de la mise à jour. En outre, dans certains cas, les fichiers peuvent être renommés lors de l’installation. Si les informations de fichier ou de version ne sont pas présentes, utilisez l’une des autres méthodes disponibles pour vérifier l’installation de la mise à jour.

• Vérification de la clé de Registre

  Vous pouvez également vérifier les fichiers installés par cette mise à jour de sécurité en confirmant que la valeur DWORD installée avec une valeur de données de 1 existe dans les clés de Registre suivantes.

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Ko 834707-ie6sp1-20040929.091901

Internet Explorer 6 SP1 pour Windows NT Server 4.0 Service Pack 6a (toutes les versions), Windows Millennium Edition (Me) et Windows 98 (toutes les versions)

Conditions préalables
Pour installer les versions d’Internet Explorer 6 Service Pack 1 (SP1) de cette mise à jour, vous devez exécuter Internet Explorer 6 SP1 (version 6.00.2800.1106) sur l’une des versions suivantes de Windows :

• Microsoft Windows 98
• Microsoft Windows 98 Second Edition (SE)
• Microsoft Windows Millennium Edition (Me)
• Microsoft Windows NT Server 4.0 Service Pack 6a
• Microsoft Windows NT Server 4.0 Terminal Server Edition, Service Pack 6

Notez que les versions de Windows et les versions d’Internet Explorer qui ne sont pas répertoriées dans cet article ne sont plus prises en charge ou non affectées. Microsoft vous recommande de procéder à une mise à niveau vers une version prise en charge de Windows et d’Internet Explorer, puis d’installer la mise à jour appropriée.

Pour plus d’informations sur les cycles de vie de support pour les composants Windows, consultez le site web Support Microsoft cycle de vie suivant.

Pour plus d’informations sur l’obtention du dernier Service Pack pour Internet Explorer 6, consultez l’article de la Base de connaissances Microsoft 328548.

Inclusion dans les Service Packs futurs :
La mise à jour de ce problème sera incluse dans une prochaine version de Windows XP.

La mise à jour de sécurité prend en charge les commutateurs d’installation suivants :

/Q Spécifie le mode silencieux ou supprime les invites lorsque des fichiers sont extraits.

/Q :U Spécifie le mode silencieux utilisateur, qui présente certaines boîtes de dialogue à l’utilisateur.

/Q :A spécifie le mode silencieux administrateur, qui ne présente aucune boîte de dialogue à l’utilisateur.

/T : <chemin d’accès> complet Spécifie le dossier cible pour l’extraction de fichiers.

/C extrait les fichiers sans les installer. Si le chemin /T : n’est pas spécifié, vous êtes invité à entrer un dossier cible.

/C : <Cmd> Remplacer la commande Install définie par l’auteur. Spécifie le chemin d’accès et le nom du fichier setup .inf ou .exe.

/R :N Ne redémarre jamais l’ordinateur après l’installation.

/R :I invite l’utilisateur à redémarrer l’ordinateur si un redémarrage est requis, sauf lorsqu’il est utilisé avec /Q :A.

/R :A redémarre toujours l’ordinateur après l’installation.

/R :S redémarre l’ordinateur après l’installation sans inviter l’utilisateur.

/N :V Aucune version case activée ing : installez le programme sur n’importe quelle version précédente.

Notez que ces commutateurs ne fonctionnent pas nécessairement avec toutes les mises à jour. Si un commutateur n’est pas disponible, cette fonctionnalité est nécessaire pour l’installation correcte de la mise à jour. En outre, l’utilisation du commutateur /N :V n’est pas prise en charge et peut entraîner un système inbootable. Si l’installation échoue, vous devez consulter votre professionnel du support technique pour comprendre pourquoi elle n’a pas pu être installée.

Pour plus d’informations sur les commutateurs d’installation pris en charge, consultez l’article 197147 de la Base de connaissances Microsoft.

Informations de déploiement

Par exemple, pour installer la mise à jour sans intervention de l’utilisateur et ne pas forcer le système à redémarrer, utilisez la commande suivante à l’invite de commandes :

IE6.0sp1-Ko 834707-Windows NT4sp6a-98-ME-x86-ENU.exe /q :a /r :n

Pour plus d’informations sur le déploiement de cette mise à jour de sécurité avec Software Update Services, visitez le site web Software Update Services.

Pour plus d’informations sur le déploiement de cette mise à jour avec SMS, consultez l’article de la Base de connaissances Microsoft 887437.

Configuration requise pour le redémarrage

Vous devez redémarrer votre système après avoir installé cette mise à jour de sécurité.

Pour supprimer cette mise à jour, utilisez l’outil Ajouter ou supprimer des programmes dans Panneau de configuration. Cliquez sur Internet Explorer 834707, puis sur Modifier/Supprimer (ou sur Ajouter/Supprimer).

Les administrateurs système peuvent utiliser l’utilitaire Ieuninst.exe pour supprimer cette mise à jour. Cette mise à jour de sécurité installe l’utilitaire Ieuninst.exe dans le dossier %Windir%. Cet utilitaire prend en charge les commutateurs d’installation suivants :

/?: Afficher la liste des commutateurs pris en charge

/z : Ne redémarrez pas une fois l’installation terminée

/q : Utiliser le mode silencieux (aucune interaction utilisateur)

Par exemple, pour supprimer cette mise à jour silencieusement, utilisez la commande suivante :

c :\windows\ieuninst /q c :\windows\inf\q834707.inf

Notez que cette commande suppose que Windows est installé dans le dossier C :\Windows.

Informations sur le fichier

La version anglaise de cette mise à jour comporte les attributs de fichier (ou version ultérieure) répertoriés dans le tableau suivant. Les dates et heures de ces fichiers sont répertoriées en temps universel coordonné (UTC). Lorsque vous affichez les informations du fichier, elle est convertie en heure locale. Pour trouver la différence entre l’heure UTC et l’heure locale, utilisez l’onglet Fuseau horaire dans l’outil Date et Heure dans Panneau de configuration.

Internet Explorer 6 Service Pack 1 sur Windows 98, Windows 98 SE, Windows Me et Windows NT :

Date Time Version Size File name Platform
----------------------------------------------------------------------
22-Aug-2004 19:34 6.0.2800.1584 1,025,536 Browseui.dll X86
26-Aug-2004 10:53 6.0.2800.1469 69,632 Inseng.dll X86
29-Sep-2004 00:57 6.0.2800.1476 2,805,760 Mshtml.dll X86
27-Aug-2004 13:58 6.0.2800.1584 1,340,416 Shdocvw.dll X86
20-Aug-2004 15:01 6.0.2800.1584 422,912 Shlwapi.dll X86
23-Sep-2004 17:08 6.0.2800.1474 487,936 Urlmon.dll X86
23-Aug-2004 20:32 6.0.2800.1468 589,312 Wininet.dll X86

Vérification de l’installation de la mise à jour

• Microsoft Baseline Security Analyzer

  Pour vérifier qu’une mise à jour de sécurité est installée sur un système affecté, vous pouvez utiliser l’outil Microsoft Baseline Security Analyzer (Mo SA). Cet outil permet aux administrateurs d’analyser les systèmes locaux et distants pour détecter les mises à jour de sécurité manquantes et pour les configurations incorrectes de sécurité courantes. Pour plus d’informations sur Mo SA, visitez le site web Microsoft Baseline Security Analyzer.

• Vérification de version de fichier

  Notez qu’il existe plusieurs versions de Microsoft Windows, les étapes suivantes peuvent être différentes sur votre ordinateur. Si c’est le cas, consultez la documentation de votre produit pour effectuer ces étapes.

  1. Cliquez sur Démarrer, puis sur Rechercher.
  2. Dans le volet Résultats de la recherche, cliquez sur Tous les fichiers et dossiers sous Compagnon de recherche.
  3. Dans la zone Tout ou partie du nom de fichier, tapez un nom de fichier à partir de la table d’informations de fichier appropriée, puis cliquez sur Rechercher.
  4. Dans la liste des fichiers, cliquez avec le bouton droit sur un nom de fichier à partir de la table d’informations de fichier appropriée, puis cliquez sur Propriétés.

  Notez que , selon la version du système d’exploitation ou des programmes installés, certains fichiers répertoriés dans la table d’informations de fichier peuvent ne pas être installés.

  1. Sous l’onglet Version , déterminez la version du fichier installé sur votre ordinateur en la comparant à la version documentée dans la table d’informations de fichier appropriée.

  Notez que les attributs autres que la version du fichier peuvent changer pendant l’installation. La comparaison d’autres attributs de fichier aux informations de la table d’informations de fichier n’est pas une méthode prise en charge pour vérifier l’installation de la mise à jour. En outre, dans certains cas, les fichiers peuvent être renommés lors de l’installation. Si les informations de fichier ou de version ne sont pas présentes, utilisez l’une des autres méthodes disponibles pour vérifier l’installation de la mise à jour.

• Vérification de la clé de Registre

Vous pouvez également vérifier les fichiers installés par cette mise à jour de sécurité en examinant la clé de Registre suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{3e7bb08a-a7a3-4692-8eac-ac5e789575b}

Notez que la valeur DWORD IsInstalled avec une valeur de données de 1 apparaît dans la clé de Registre.

• Vérification de version du programme

Vérifiez que Q834707 est répertorié dans le champ Versions de mise à jour dans la boîte de dialogue À propos d’Internet Explorer

Internet Explorer 6 pour Windows XP

Conditions préalables
Pour installer la version Internet Explorer 6 de cette mise à jour, vous devez exécuter Internet Explorer 6 (version 6.00.2600.0000) sur une version 32 bits de Windows XP.

Notez que les versions de Windows et les versions d’Internet Explorer qui ne sont pas répertoriées dans cet article ne sont plus prises en charge ou non affectées. Microsoft vous recommande de procéder à une mise à niveau vers une version prise en charge de Windows et d’Internet Explorer, puis d’installer la mise à jour appropriée.

Pour plus d’informations sur les cycles de vie de support pour les composants Windows, consultez le site web Support Microsoft cycle de vie suivant.

Pour plus d’informations sur l’obtention du dernier Service Pack pour Internet Explorer 6, consultez l’article de la Base de connaissances Microsoft 328548.

Informations d’installation

Cette mise à jour de sécurité prend en charge les commutateurs d’installation suivants :

/help Affiche les options de ligne de commande

Modes d’installation

Mode silencieux /quiet (aucune interaction ou affichage de l’utilisateur)

Mode /passif sans assistance (barre de progression uniquement)

/uninstall désinstalle le package

Options de redémarrage

/norestart Ne redémarrez pas une fois l’installation terminée

/forcerestart Restart after installation

Options spéciales

/l Lists installé des correctifs logiciels Windows ou des packages de mise à jour

/o Remplacer les fichiers OEM sans inviter

/n Ne pas sauvegarder les fichiers nécessaires à la désinstallation

/f Forcer la fermeture d’autres programmes lorsque l’ordinateur s’arrête

/extracte les fichiers sans démarrer l’installation

Notez que vous pouvez combiner ces commutateurs en une seule commande. Pour la compatibilité descendante, la mise à jour de sécurité prend également en charge les commutateurs d’installation que la version précédente de l’utilitaire d’installation utilise. Pour plus d’informations sur les commutateurs d’installation pris en charge, consultez l’article de la Base de connaissances Microsoft sur les commutateurs d’installation pris en charge, consultez l’article de la Base de connaissances Microsoft 262841.

Informations de déploiement

Pour installer la mise à jour de sécurité sans intervention de l’utilisateur, utilisez la commande suivante à l’invite de commandes pour Windows XP SP2 :

IE6.0-Ko 834707-WindowsXP-x86-ENU.exe /passive /quiet

Pour installer la mise à jour de sécurité sans forcer le système à redémarrer, utilisez la commande suivante à l’invite de commandes pour Windows Server 2003 :

IE6.0-Ko 834707-WindowsXP-x86-ENU.exe /norestart

Pour plus d’informations sur le déploiement de cette mise à jour de sécurité avec Software Update Services, visitez le site web Software Update Services.

Configuration requise pour le redémarrage

Vous devez redémarrer votre système après avoir installé cette mise à jour de sécurité. Vous n’avez pas besoin d’utiliser une ouverture de session administrateur après le redémarrage de l’ordinateur pour toute version de cette mise à jour.

Informations de suppression

Pour supprimer cette mise à jour, utilisez l’outil Ajouter ou supprimer des programmes dans Panneau de configuration. L’élément qui fait référence à cette mise à jour la répertorie comme une mise à jour Windows et non comme une mise à jour d’Internet Explorer. Il s’agit d’une modification de la sécurité cumulative d’Internet Explorer passée Mises à jour.

Les administrateurs système peuvent également utiliser l’utilitaire de Spuninst.exe pour supprimer cette mise à jour de sécurité. L’utilitaire Spuninst.exe se trouve dans le dossier %Windir%\$NTUninstall Ko 834707-ie6-20040929.115007$\Spuninst. L’utilitaire Spuninst.exe prend en charge les commutateurs d’installation suivants :

/ ?: Affichez la liste des commutateurs d’installation.

/u : Utilisez le mode sans assistance.

/f : forcer l’arrêt d’autres programmes lorsque l’ordinateur s’arrête.

/z : ne redémarrez pas une fois l’installation terminée.

/q : Utilisez le mode silencieux (aucune interaction utilisateur).

Informations sur le fichier

La version anglaise de cette mise à jour comporte les attributs de fichier (ou version ultérieure) répertoriés dans le tableau suivant. Les dates et heures de ces fichiers sont répertoriées en temps universel coordonné (UTC). Lorsque vous affichez les informations du fichier, elle est convertie en heure locale. Pour trouver la différence entre l’heure UTC et l’heure locale, utilisez l’onglet Fuseau horaire dans l’outil Date et Heure dans Panneau de configuration.

Internet Explorer 6 :

Date Time Version Size File name Platform
---------------------------------------------------------------------
16-Jan-2004 12:29 6.0.2737.1600 1,024,512 Browseui.dll X86
26-Aug-2004 18:17 6.0.2744.2600 69,632 Inseng.dll X86
29-Sep-2004 08:45 6.0.2745.2800 2,772,992 Mshtml.dll X86
15-Aug-2003 20:31 6.0.2722.900 34,304 Pngfilt.dll X86
05-Mar-2002 04:09 6.0.2715.400 548,864 Shdoclc.dll X86
27-Aug-2004 19:57 6.0.2750.167 1,332,224 Shdocvw.dll X86
20-Aug-2004 21:41 6.0.2750.167 393,728 Shlwapi.dll X86
15-Aug-2003 20:31 6.0.2715.400 109,568 Url.dll X86
23-Sep-2004 23:07 6.0.2745.2300 485,376 Urlmon.dll X86
08-Jan-2004 23:23 6.0.2737.800 585,216 Wininet.dll X86

Vérification de l’installation de la mise à jour

• Microsoft Baseline Security Analyzer

  Pour vérifier qu’une mise à jour de sécurité est installée sur un système affecté, vous pouvez utiliser l’outil Microsoft Baseline Security Analyzer (Mo SA). Cet outil permet aux administrateurs d’analyser les systèmes locaux et distants pour détecter les mises à jour de sécurité manquantes et pour les configurations incorrectes de sécurité courantes. Pour plus d’informations sur Mo SA, visitez le site web Microsoft Baseline Security Analyzer.

• Vérification de version de fichier

  Notez qu’il existe plusieurs versions de Microsoft Windows, les étapes suivantes peuvent être différentes sur votre ordinateur. Si c’est le cas, consultez la documentation de votre produit pour effectuer ces étapes.

  1. Cliquez sur Démarrer, puis sur Rechercher.
  2. Dans le volet Résultats de la recherche, cliquez sur Tous les fichiers et dossiers sous Compagnon de recherche.
  3. Dans la zone Tout ou partie du nom de fichier, tapez un nom de fichier à partir de la table d’informations de fichier appropriée, puis cliquez sur Rechercher.
  4. Dans la liste des fichiers, cliquez avec le bouton droit sur un nom de fichier à partir de la table d’informations de fichier appropriée, puis cliquez sur Propriétés.

  Notez que , selon la version du système d’exploitation ou des programmes installés, certains fichiers répertoriés dans la table d’informations de fichier peuvent ne pas être installés.

  1. Sous l’onglet Version , déterminez la version du fichier installé sur votre ordinateur en la comparant à la version documentée dans la table d’informations de fichier appropriée.

  Notez que les attributs autres que la version du fichier peuvent changer pendant l’installation. La comparaison d’autres attributs de fichier aux informations de la table d’informations de fichier n’est pas une méthode prise en charge pour vérifier l’installation de la mise à jour. En outre, dans certains cas, les fichiers peuvent être renommés lors de l’installation. Si les informations de fichier ou de version ne sont pas présentes, utilisez l’une des autres méthodes disponibles pour vérifier l’installation de la mise à jour.

• Vérification de la clé de Registre

  Vous pouvez également vérifier les fichiers installés par cette mise à jour de sécurité en confirmant que la valeur DWORD installée avec une valeur de données de 1 existe dans les clés de Registre suivantes.

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Ko 834707-ie6-20040929.115007

Internet Explorer 5.5 SP2 pour Windows Millennium Edition (Me)

Conditions préalables
Pour installer la version Internet Explorer 5.5 de cette mise à jour, vous devez exécuter Internet Explorer 5.5 Service Pack 2 (version 5.50.4807.2300) sur Microsoft Windows Millennium Edition

Remarque : Internet Explorer 5.5 SP2 est actuellement pris en charge uniquement sur Windows Millennium Edition (Me). Pour plus d’informations sur la prise en charge d’Internet Explorer 5.5 SP2, consultez la page de cycle de vie des produits Microsoft suivante. Windows Me est actuellement en support étendu. Pour plus d’informations sur la prise en charge de Windows Me, consultez l’annonce suivante.

Pour plus d’informations sur les cycles de vie de support pour les composants Windows, consultez le site web Support Microsoft cycle de vie suivant.

La mise à jour de sécurité prend en charge les commutateurs d’installation suivants :

/Q Spécifie le mode silencieux ou supprime les invites lorsque des fichiers sont extraits.

/Q :U Spécifie le mode silencieux utilisateur, qui présente certaines boîtes de dialogue à l’utilisateur.

/Q :A spécifie le mode silencieux administrateur, qui ne présente aucune boîte de dialogue à l’utilisateur.

/T : <chemin d’accès> complet Spécifie le dossier cible pour l’extraction de fichiers.

/C extrait les fichiers sans les installer. Si le chemin /T : n’est pas spécifié, vous êtes invité à entrer un dossier cible.

/C : <Cmd> Remplacer la commande Install définie par l’auteur. Spécifie le chemin d’accès et le nom du fichier setup .inf ou .exe.

/R :N Ne redémarre jamais l’ordinateur après l’installation.

/R :I invite l’utilisateur à redémarrer l’ordinateur si un redémarrage est requis, sauf lorsqu’il est utilisé avec /Q :A.

/R :A redémarre toujours l’ordinateur après l’installation.

/R :S redémarre l’ordinateur après l’installation sans inviter l’utilisateur.

/N :V Aucune version case activée ing : installez le programme sur n’importe quelle version précédente.

Notez que ces commutateurs ne fonctionnent pas nécessairement avec toutes les mises à jour. Si un commutateur n’est pas disponible, cette fonctionnalité est nécessaire pour l’installation correcte de la mise à jour. En outre, l’utilisation du commutateur /N :V n’est pas prise en charge et peut entraîner un système inbootable. Si l’installation échoue, vous devez consulter votre professionnel du support technique pour comprendre pourquoi elle n’a pas pu être installée.

Pour plus d’informations sur les commutateurs d’installation pris en charge, consultez l’article 197147 de la Base de connaissances Microsoft.

Informations de déploiement

Par exemple, pour installer la mise à jour sans intervention de l’utilisateur et ne pas forcer le système à redémarrer, utilisez la commande suivante à l’invite de commandes :

IE5.5sp2-Ko 834707-WindowsME-x86-ENU.exe/q :a /r :n

Configuration requise pour le redémarrage

Vous devez redémarrer votre système après avoir installé cette mise à jour de sécurité.

Pour supprimer cette mise à jour, utilisez l’outil Ajouter ou supprimer des programmes dans Panneau de configuration. Cliquez sur Internet Explorer 834707, puis sur Modifier/Supprimer (ou sur Ajouter/Supprimer).

Les administrateurs système peuvent utiliser l’utilitaire Ieuninst.exe pour supprimer cette mise à jour. Cette mise à jour de sécurité installe l’utilitaire Ieuninst.exe dans le dossier %Windir%. Cet utilitaire prend en charge les commutateurs d’installation suivants :

/?: Afficher la liste des commutateurs pris en charge

/z : Ne redémarrez pas une fois l’installation terminée

/q : Utiliser le mode silencieux (aucune interaction utilisateur)

Par exemple, pour supprimer cette mise à jour silencieusement, utilisez la commande suivante :

c :\windows\ieuninst /q c :\windows\inf\q834707.inf

Notez que cette commande suppose que Windows est installé dans le dossier C :\Windows.

Informations sur le fichier

La version anglaise de cette mise à jour comporte les attributs de fichier (ou version ultérieure) répertoriés dans le tableau suivant. Les dates et heures de ces fichiers sont répertoriées en temps universel coordonné (UTC). Lorsque vous affichez les informations du fichier, elle est convertie en heure locale. Pour trouver la différence entre l’heure UTC et l’heure locale, utilisez l’onglet Fuseau horaire dans l’outil Date et Heure dans Panneau de configuration.

Internet Explorer 5.5 Service Pack 2 pour Windows Millennium Edition (Me) :

Date Time Version Size File name Platform
---------------------------------------------------------------------
04-Jul-2004 12:30 5.50.4943.400 796,432 Browseui.dll X86
26-Aug-2004 18:36 5.50.4944.2600 75,024 Inseng.dll X86
29-Sep-2004 08:30 5.50.4945.2800 2,667,280 Mshtml.dll X86
17-Oct-2002 03:01 5.50.4922.900 48,912 Pngfilt.dll X86
27-Aug-2004 20:05 5.50.4944.2700 1,141,008 Shdocvw.dll X86
24-Aug-2004 00:05 5.50.4944.2300 293,648 Shlwapi.dll X86
05-Mar-2002 05:53 5.50.4915.500 84,240 Url.dll X86
24-Sep-2004 22:03 5.50.4945.2400 412,432 Urlmon.dll X86
03-Sep-2004 02:07 5.50.4945.200 464,144 Wininet.dll X86

Vérification de l’installation de la mise à jour

• Vérification de version de fichier

  Notez qu’il existe plusieurs versions de Microsoft Windows, les étapes suivantes peuvent être différentes sur votre ordinateur. Si c’est le cas, consultez la documentation de votre produit pour effectuer ces étapes.

  1. Cliquez sur Démarrer, puis sur Rechercher.
  2. Dans le volet Résultats de la recherche, cliquez sur Tous les fichiers et dossiers sous Compagnon de recherche.
  3. Dans la zone Tout ou partie du nom de fichier, tapez un nom de fichier à partir de la table d’informations de fichier appropriée, puis cliquez sur Rechercher.
  4. Dans la liste des fichiers, cliquez avec le bouton droit sur un nom de fichier à partir de la table d’informations de fichier appropriée, puis cliquez sur Propriétés.

  Notez que , selon la version du système d’exploitation ou des programmes installés, certains fichiers répertoriés dans la table d’informations de fichier peuvent ne pas être installés.

  1. Sous l’onglet Version , déterminez la version du fichier installé sur votre ordinateur en la comparant à la version documentée dans la table d’informations de fichier appropriée.

  Notez que les attributs autres que la version du fichier peuvent changer pendant l’installation. La comparaison d’autres attributs de fichier aux informations de la table d’informations de fichier n’est pas une méthode prise en charge pour vérifier l’installation de la mise à jour. En outre, dans certains cas, les fichiers peuvent être renommés lors de l’installation. Si les informations de fichier ou de version ne sont pas présentes, utilisez l’une des autres méthodes disponibles pour vérifier l’installation de la mise à jour.

• Vérification de la clé de Registre

Vous pouvez également vérifier les fichiers installés par cette mise à jour de sécurité en examinant la clé de Registre suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{3e7bb08a-a7a3-4692-8eac-ac5e789575b}

Notez que la valeur DWORD IsInstalled avec une valeur de données de 1 apparaît dans la clé de Registre.

• Vérification de version du programme

Vérifiez que Q834707 est répertorié dans le champ Versions de mise à jour dans la boîte de dialogue À propos d’Internet Explorer

Internet Explorer 5.01 pour Windows 2000 (toutes les versions)

Conditions préalables
Pour installer la version 5.01 d’Internet Explorer de cette mise à jour, vous devez exécuter l’une des opérations suivantes :

• Internet Explorer 5.01 Service Pack 3 (version 5.00.3502.1000) sur Windows 2000 SP3
• Internet Explorer 5.01 Service Pack 4 (version 5.00.3700.1000) sur Windows 2000 SP4

Remarque : Les versions de Windows et les versions d’Internet Explorer qui ne sont pas répertoriées dans cet article ne sont plus prises en charge. Bien que vous puissiez installer certains des packages de mise à jour décrits dans cet article sur ces versions de Windows et d’Internet Explorer, Microsoft n’a pas testé ces versions pour déterminer si elles sont affectées par ces vulnérabilités ou pour confirmer que la mise à jour décrite par ce bulletin décrit ces vulnérabilités. Microsoft vous recommande de procéder à une mise à niveau vers une version prise en charge de Windows et d’Internet Explorer, puis d’installer la mise à jour appropriée.

Pour plus d’informations sur les cycles de vie de support pour les composants Windows, consultez le site web Support Microsoft cycle de vie suivant.

Informations d’installation

Cette mise à jour de sécurité prend en charge les commutateurs d’installation suivants :

/help Affiche les options de ligne de commande

Modes d’installation

Mode silencieux /quiet (aucune interaction ou affichage de l’utilisateur)

Mode /passif sans assistance (barre de progression uniquement)

/uninstall désinstalle le package

Options de redémarrage

/norestart Ne redémarrez pas une fois l’installation terminée

/forcerestart Restart after installation

Options spéciales

/l Lists installé des correctifs logiciels Windows ou des packages de mise à jour

/o Remplacer les fichiers OEM sans inviter

/n Ne pas sauvegarder les fichiers nécessaires à la désinstallation

/f Forcer la fermeture d’autres programmes lorsque l’ordinateur s’arrête

/extracte les fichiers sans démarrer l’installation

Notez que vous pouvez combiner ces commutateurs en une seule commande. Pour la compatibilité descendante, la mise à jour de sécurité prend également en charge les commutateurs d’installation que la version précédente de l’utilitaire d’installation utilise. Pour plus d’informations sur les commutateurs d’installation pris en charge, consultez l’article de la Base de connaissances Microsoft sur les commutateurs d’installation pris en charge, consultez l’article de la Base de connaissances Microsoft 262841.

Informations de déploiement

Pour installer la mise à jour de sécurité sans intervention de l’utilisateur, utilisez la commande suivante à l’invite de commandes pour Windows 2000 SP3 :

IE5.01sp3-kb834707-Windows2000sp3-x86-enu /passive /quiet

Pour installer la mise à jour de sécurité sans forcer le système à redémarrer, utilisez la commande suivante à l’invite de commandes pour Windows 2000 SP3 :

IE5.01sp3-kb834707-Windows2000sp3-x86-enu /norestart

Pour plus d’informations sur le déploiement de cette mise à jour de sécurité avec Software Update Services, visitez le site web Software Update Services.

Configuration requise pour le redémarrage

Vous devez redémarrer votre système après avoir installé cette mise à jour de sécurité. Vous n’avez pas besoin d’utiliser une ouverture de session administrateur après le redémarrage de l’ordinateur pour toute version de cette mise à jour.

Informations de suppression

Pour supprimer cette mise à jour, utilisez l’outil Ajouter ou supprimer des programmes dans Panneau de configuration. L’élément qui fait référence à cette mise à jour la répertorie comme une mise à jour Windows et non comme une mise à jour d’Internet Explorer. Il s’agit d’une modification de la sécurité cumulative d’Internet Explorer passée Mises à jour.

Les administrateurs système peuvent également utiliser l’utilitaire de Spuninst.exe pour supprimer cette mise à jour de sécurité. L’utilitaire Spuninst.exe se trouve dans le dossier %Windir%\$NTUninstall Ko 834707-ie501sp4-20040929.111451$\Spuninst pour Windows 2000 SP4 et %Windir%\$NTUninstall Ko 834707-ie501sp3-20040929.121357$\Spuninst pour Windows 2000 SP3 . L’utilitaire Spuninst.exe prend en charge les commutateurs d’installation suivants :

/ ?: Affichez la liste des commutateurs d’installation.

/u : Utilisez le mode sans assistance.

/f : forcer l’arrêt d’autres programmes lorsque l’ordinateur s’arrête.

/z : ne redémarrez pas une fois l’installation terminée.

/q : Utilisez le mode silencieux (aucune interaction utilisateur).

Informations sur le fichier

La version anglaise de cette mise à jour comporte les attributs de fichier (ou version ultérieure) répertoriés dans le tableau suivant. Les dates et heures de ces fichiers sont répertoriées en temps universel coordonné (UTC). Lorsque vous affichez les informations du fichier, elle est convertie en heure locale. Pour trouver la différence entre l’heure UTC et l’heure locale, utilisez l’onglet Fuseau horaire dans l’outil Date et Heure dans Panneau de configuration.

Internet Explorer 5.01 Service Pack 4 :

Date Time Version Size File name Platform
----------------------------------------------------------------------
21-Aug-2004 06:11 5.0.3820.2000 792,848 Browseui.dll X86
26-Aug-2004 19:03 5.0.3820.2600 74,000 Inseng.dll X86
29-Sep-2004 08:06 5.0.3821.2800 2,290,960 Mshtml.dll X86
24-Sep-2004 02:08 5.0.3821.2300 48,912 Pngfilt.dll X86
27-Aug-2004 22:05 5.0.3820.2700 1,100,048 Shdocvw.dll X86
20-Aug-2004 22:49 5.0.3900.6969 282,384 Shlwapi.dll X86
05-Mar-2002 04:53 5.50.4915.500 84,240 Url.dll X86
24-Sep-2004 00:57 5.0.3821.2300 412,944 Urlmon.dll X86
03-Sep-2004 00:16 5.0.3821.200 450,832 Wininet.dll X86

Internet Explorer 5.01 Service Pack 3 :

Date Time Version Size File name Platform
----------------------------------------------------------------------
21-Aug-2004 09:05 5.0.3533.2000 792,848 Browseui.dll X86
26-Aug-2004 18:33 5.0.3533.2600 74,000 Inseng.dll X86
29-Sep-2004 08:18 5.0.3534.2800 2,290,960 Mshtml.dll X86
24-Sep-2004 02:08 5.0.3534.2300 48,912 Pngfilt.dll X86
27-Aug-2004 22:08 5.0.3533.2700 1,100,048 Shdocvw.dll X86
20-Aug-2004 22:49 5.0.3900.6969 282,384 Shlwapi.dll X86
05-Mar-2002 05:53 5.50.4915.500 84,240 Url.dll X86
24-Sep-2004 00:50 5.0.3534.2300 412,944 Urlmon.dll X86
03-Sep-2004 00:26 5.0.3534.200 450,832 Wininet.dll X86

Vérification de l’installation de la mise à jour

• Microsoft Baseline Security Analyzer

  Pour vérifier qu’une mise à jour de sécurité est installée sur un système affecté, vous pouvez utiliser l’outil Microsoft Baseline Security Analyzer (Mo SA). Cet outil permet aux administrateurs d’analyser les systèmes locaux et distants pour détecter les mises à jour de sécurité manquantes et pour les configurations incorrectes de sécurité courantes. Pour plus d’informations sur Mo SA, visitez le site web Microsoft Baseline Security Analyzer.

• Vérification de version de fichier

  Notez qu’il existe plusieurs versions de Microsoft Windows, les étapes suivantes peuvent être différentes sur votre ordinateur. Si c’est le cas, consultez la documentation de votre produit pour effectuer ces étapes.

  1. Cliquez sur Démarrer, puis sur Rechercher.
  2. Dans le volet Résultats de la recherche, cliquez sur Tous les fichiers et dossiers sous Compagnon de recherche.
  3. Dans la zone Tout ou partie du nom de fichier, tapez un nom de fichier à partir de la table d’informations de fichier appropriée, puis cliquez sur Rechercher.
  4. Dans la liste des fichiers, cliquez avec le bouton droit sur un nom de fichier à partir de la table d’informations de fichier appropriée, puis cliquez sur Propriétés.

  Notez que , selon la version du système d’exploitation ou des programmes installés, certains fichiers répertoriés dans la table d’informations de fichier peuvent ne pas être installés.

  1. Sous l’onglet Version , déterminez la version du fichier installé sur votre ordinateur en la comparant à la version documentée dans la table d’informations de fichier appropriée.

  Notez que les attributs autres que la version du fichier peuvent changer pendant l’installation. La comparaison d’autres attributs de fichier aux informations de la table d’informations de fichier n’est pas une méthode prise en charge pour vérifier l’installation de la mise à jour. En outre, dans certains cas, les fichiers peuvent être renommés lors de l’installation. Si les informations de fichier ou de version ne sont pas présentes, utilisez l’une des autres méthodes disponibles pour vérifier l’installation de la mise à jour.

• Vérification de la clé de Registre

  Vous pouvez également vérifier les fichiers installés par cette mise à jour de sécurité en confirmant que la valeur DWORD installée avec une valeur de données de 1 existe dans les clés de Registre suivantes.

  Windows 2000 SP3 : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Ko 834707-ie501sp3-20040929.121357

  Windows 2000 SP4 : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Ko 834707-ie501sp4-20040929.111451

Autres informations

Accusés de réception

Microsoft remercie ce qui suit pour nous aider à protéger les clients :

• Greg Jones de KPMG UK et Peter Winter-Smith de Next Generation Security Software Ltd. pour signaler la vulnérabilité de contrôle du moteur d’installation (CAN-2004-0216).
• Mitja Kolsek de ACROS Security pour signaler la vulnérabilité de mise en cache SSL (CAN-2004-0845).
• John Heasman de Next Generation Security Software Ltd. pour signaler le problème dans Hrtbeat.ocx pour lequel un kill-bit a été défini dans cette mise à jour de sécurité.
• Liu Die Yu pour signaler l’usurpation de barre d’adresses sur les paramètres régionaux du jeu de caractères sur deux octets (CAN-2004-0844) et la vulnérabilité d’usurpation d’adresse de navigation de la barre d’adresses (CAN-2004-0843).

Obtention d’autres Mises à jour de sécurité :

Mises à jour pour d’autres problèmes de sécurité sont disponibles à partir des emplacements suivants :

• Les mises à jour de sécurité sont disponibles à partir du Centre de téléchargement Microsoft : vous pouvez les trouver plus facilement en effectuant une recherche mot clé pour « security_patch ».
• Mises à jour pour les plateformes grand public sont disponibles à partir de la Site web Microsoft Update.

Support :

• Les clients aux États-Unis et au Canada peuvent recevoir un support technique de Microsoft Product Support Services au 1-866-PCSAFETY. Il n’existe aucun frais pour les appels de support associés aux mises à jour de sécurité.
• Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Il n’existe aucun frais pour la prise en charge associée aux mises à jour de sécurité. Pour plus d’informations sur la façon de contacter Microsoft pour connaître les problèmes de support, visitez le site web du support international.

Ressources de sécurité :

• Le site web Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.
• Microsoft Software Update Services
• Microsoft Baseline Security Analyzer (Mo SA)
• Microsoft Update
• Catalogue Windows Update : Pour plus d’informations sur le catalogue Windows Update, consultez l’article de la Base de connaissances Microsoft 323166.
• mise à jour Bureau

Software Update Services :

En utilisant Microsoft Software Update Services (SUS), les administrateurs peuvent déployer rapidement et de manière fiable les dernières mises à jour critiques et mises à jour de sécurité sur les serveurs Windows 2000 et Windows Server 2003, ainsi que sur les systèmes de bureau exécutant Windows 2000 Professionnel ou Windows XP Professionnel.

Pour plus d’informations sur le déploiement de cette mise à jour de sécurité avec Software Update Services, visitez le site web des services de mise à jour logicielle.

Serveur d’administration des systèmes :

Microsoft Systems Management Server (SMS) fournit une solution d’entreprise hautement configurable pour la gestion des mises à jour. En utilisant SMS, les administrateurs peuvent identifier les systèmes Windows qui nécessitent des mises à jour de sécurité et effectuer un déploiement contrôlé de ces mises à jour dans l’entreprise avec une interruption minimale pour les utilisateurs finaux. Pour plus d’informations sur la façon dont les administrateurs peuvent utiliser SMS 2003 pour déployer des mises à jour de sécurité, consultez le site web sms 2003 Security Patch Management. Les utilisateurs sms 2.0 peuvent également utiliser software Mises à jour Service Feature Pack pour aider à déployer des mises à jour de sécurité. Pour plus d’informations sur SMS, visitez le site web SMS.

Notez que SMS utilise Microsoft Baseline Security Analyzer et Microsoft Bureau Detection Tool pour fournir une prise en charge étendue de la détection et du déploiement des mises à jour des bulletins de sécurité. Certaines mises à jour logicielles peuvent ne pas être détectées par ces outils. Administration istrateurs peuvent utiliser les fonctionnalités d’inventaire des SMS dans ces cas pour cibler les mises à jour vers des systèmes spécifiques. Pour plus d’informations sur cette procédure, consultez le site web suivant. Certaines mises à jour de sécurité nécessitent des droits d’administration après un redémarrage du système. Administration istrateurs peuvent utiliser l’outil de déploiement de droits élevés (disponible dans le pack de fonctionnalités SMS 2003 Administration istration et dans le pack de fonctionnalités SMS 2.0 Administration istration) pour installer ces mises à jour.

Exclusion de responsabilité :

Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.

Révisions:

• V1.0 (12 octobre 2004) : Bulletin publié

  V1.1 (9 novembre 2004) : Mise à jour du nom du contrôle ActiveX de « Heartbeat.ocx » à « Hrtbeat.ocx », ajout d’informations GUID à la section Informations de mise à jour de sécurité, et ajout de l’accusé de réception à Liu Die Yu pour travailler avec nous de manière responsable sur deux vulnérabilités traitées par cette mise à jour.

Construit à 2014-04-18T13 :49 :36Z-07 :00