Bulletin de sécurité Microsoft MS09-043 - Critique

Une atténuation fait référence à un paramètre, une configuration générale ou à des préférences existant dans un état par défaut qui pourraient diminuer l'impact de l'exploitation d'une vulnérabilité. Les facteurs atténuants suivants peuvent être utiles, selon votre situation :

• Par défaut, Internet Explorer sur Windows Server 2003 et Windows Server 2008 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. Ce mode permet d'atténuer cette vulnérabilité. Pour plus d'informations sur la Configuration de sécurité améliorée d'Internet Explorer, reportez-vous à la section Forum aux questions sur cette vulnérabilité.
• Par défaut, Outlook Express 6, Outlook 2002 et Outlook 2003 ouvrent les messages au format HTML dans la zone Sites sensibles. De plus, Outlook 2000 ouvre les messages HTML dans la zone Sites sensibles si la mise à jour de sécurité de messagerie Outlook a été installée. Outlook Express 5.5 Service Pack 2 ouvre les messages HTML dans la zone Sites sensibles si le Bulletin de sécurité Microsoft MS04-018 est installé.
  
  La zone Sites sensibles contribue à réduire les attaques qui tenteraient d’exploiter cette vulnérabilité en empêchant l'utilisation des contrôles ActiveX lors de la lecture de messages électroniques au format HTML. Cependant, en cliquant sur un lien figurant dans un message, l'utilisateur s'expose toujours à une attaque Web.
• Dans le cas d'une attaque Web, l'attaquant devrait héberger un site Web qui contiendrait une page Web spécialement conçue pour exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent des contenus ou des annonces provenant d'utilisateurs pourraient contenir un contenu malveillant susceptible d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l’utilisateur, généralement en l’incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site.
• Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Une solution de contournement fait référence à une modification de paramètre ou de configuration qui ne corrige pas la vulnérabilité sous-jacente mais qui pourrait contribuer à bloquer certains vecteurs d'attaque connus jusqu'à ce que la mise à jour soit appliquée. Microsoft a testé les solutions de contournement suivantes et indique le cas échéant si une solution réduit certaines fonctionnalités :

• Bloquer l'exécution de la bibliothèque Office Web Components dans Internet Explorer.

  Vous pouvez empêcher l'exécution de la bibliothèque Office Web Components dans Internet Explorer en définissant le kill bit pour le contrôle de la bibliothèque dans le Registre.

  Avertissement : Si vous n'utilisez pas correctement l'Éditeur du Registre, vous risquez de créer de sérieux problèmes et d'avoir à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir qu'il soit possible de résoudre des problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre. L'utilisation de l'Éditeur du Registre relève de votre responsabilité. Pour savoir comment modifier le Registre, consultez la rubrique d'Aide « Modifier des clés et des valeurs » dans l'Éditeur du Registre (Regedit.exe) ou les rubriques d'Aide « Ajouter et supprimer des informations dans le Registre » et « Modifier les données du Registre » dans Regedt32.exe.

  Remarque : Nous vous conseillons de sauvegarder le Registre avant de le modifier.

  Remarque : C'est l'action entreprise par le package de mise à jour pour ISA Server. Aucun fichier binaire n'est inclus dans cette mise à jour pour ISA Server.

  Pour plus de détails sur la manière d'empêcher l'exécution d'un contrôle dans Office Web Components, consultez l'Article 240797 de la Base de connaissances Microsoft. Suivez les étapes de cet article et créez une valeur pour les indicateurs de compatibilité dans le Registre afin d'empêcher l'exécution de la bibliothèque Office Web components :

  Remarque : Les identificateurs de classe et les fichiers correspondants contenant les objets de bibliothèque sont décrits en détail dans la section « Que fait cette mise à jour ? » du Forum aux questions.

  • Pour définir le kill bit d'un identificateur de classe CLSID de valeur {0002E543-0000-0000-C000-000000000046} et {0002E55B-0000-0000-C000-000000000046}, collez le texte suivant dans un éditeur de texte, tel que Bloc-notes. Puis, enregistrez ensuite le fichier avec l'extension .reg.
    
    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E543-0000-0000-C000-000000000046}]
    "Compatibility Flags"=dword:00000400
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E55B-0000-0000-C000-000000000046}]
    "Compatibility Flags"=dword:00000400

  Vous pouvez double-cliquer sur ce fichier .reg pour l'appliquer à des systèmes individuels. Vous pouvez également l'appliquer dans plusieurs domaines à l'aide de la Stratégie de groupe. Pour plus d'informations sur la Stratégie de groupe, consultez le site Web Microsoft suivant :

  • Collection Stratégie de groupe
  • Qu'est-ce que l'Éditeur d'objets de stratégie de groupe ?
  • Principaux outils et paramètres de la stratégie de groupe

  Remarque : Vous devez redémarrer Internet Explorer pour que vos changements prennent effet.

  Impact de cette solution de contournement : Une fois le kill bit défini, vous ne pourrez plus utiliser la fonctionnalité de feuille de calcul d'OWC dans le contrôle ActiveX Office Web Components dans Internet Explorer, Microsoft Office ou toute application respectant les kill bits. Ceci n'affectera pas le fonctionnement standard de Microsoft Office et la plupart des utilisateurs ne remarquera pas de modification après avoir défini le kill bit. OWC est principalement utilisé par les applications Web, y compris les applications métier internes, Microsoft Office Project Web Access et le Complément Office 2003 : Web Parts and Components. Il pourrait également être utilisé dans certaines solutions VBA dans Microsoft Office. Une fois le kill bit défini, ces applications ne pourront utiliser aucune fonctionnalité basée sur le contrôle de feuille de calcul d'OWC dans le contrôle ActiveX Office Web Components.

  Comment annuler la solution de contournement : Vous pouvez annuler la solution de contournement décrite ci-dessus en suivant les étapes suivantes :

  Avertissement : Si vous n'utilisez pas correctement l'Éditeur du Registre, vous risquez de créer de sérieux problèmes et d'avoir à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir qu'il soit possible de résoudre des problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre. L'utilisation de l'Éditeur du Registre relève de votre responsabilité. Pour savoir comment modifier le Registre, consultez la rubrique d'Aide « Modifier des clés et des valeurs » dans l'Éditeur du Registre (Regedit.exe) ou les rubriques d'Aide « Ajouter et supprimer des informations dans le Registre » et « Modifier les données du Registre » dans Regedt32.exe.

  Remarque : Nous vous conseillons de sauvegarder le Registre avant de le modifier.

  • Pour désactiver le kill bit d'un identificateur de classe CLSID de valeur {0002E543-0000-0000-C000-000000000046} et {0002E55B-0000-0000-C000-000000000046}, collez le texte suivant dans un éditeur de texte, tel que Bloc-notes. Puis, enregistrez ensuite le fichier avec l'extension .reg.
    
    Windows Registry Editor Version 5.00
    
    CLSID_OWC10_Spreadsheet, {0002E541-0000-0000-C000-000000000046}[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E543-0000-0000-C000-000000000046}]
    
    CLSID_OWC11_Spreadsheet, {0002E559-0000-0000-C000-000000000046}[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E55B-0000-0000-C000-000000000046}]
• Désinscription de la bibliothèque Office Web Components

  Remarque : Cette action ne fonctionnera pas sur un ordinateur ISA Server car :

  • Office Web Components est installé dans le répertoire de programme de ISA Server (« %ProgramFiles%\Microsoft ISA Server » par défaut)
  • Office Web Components est réenregistré par le mécanisme de tâche de rapport de ISA Server chaque fois qu'une tâche de rapport est exécutée

  Attention : Si vous n'utilisez pas correctement le programme Éditeur du registre, vous risquez de provoquer de sérieux problèmes et d'avoir à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir qu'il soit possible de résoudre des problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre. L'utilisation de l'Éditeur du Registre relève de votre responsabilité. Pour savoir comment modifier le Registre, consultez la rubrique d'Aide « Modifier des clés et des valeurs » dans l'Éditeur du Registre (Regedit.exe) ou les rubriques d'Aide « Ajouter et supprimer des informations dans le Registre » et « Modifier les données du Registre » dans Regedt32.exe.

  Remarque : Nous vous conseillons de sauvegarder le Registre avant de le modifier.

  • Pour OWC 10, tapez ce qui suit dans l'invite de commande puis cliquez sur Exécuter :
    
    Regsvr32.exe /u "C:\Program Files\Common Files\Microsoft Shared\Web Components\10\owc10.dll"
  • Pour OWC 11, tapez ce qui suit dans l'invite de commande puis cliquez sur Exécuter :
    
    Regsvr32.exe /u "C:\Program Files\Common Files\Microsoft Shared\Web Components\11\owc11.dll"

  Impact de cette solution de contournement : Les applications nécessitant les fonctionnalités Office Web Components ne fonctionneront pas.

  Comment annuler la solution de contournement : Pour réinscrire Office Web Components, suivez les étapes suivantes :

  • Pour OWC 10, tapez ce qui suit dans l'invite de commande puis cliquez sur Exécuter :
    
    Regsvr32.exe "C:\Program Files\Common Files\Microsoft Shared\Web Components\10\owc10.dll"
  • Pour OWC 11, tapez ce qui suit dans l'invite de commande puis cliquez sur Exécuter :
    
    Regsvr32.exe "C:\Program Files\Common Files\Microsoft Shared\Web Components\11\owc11.dll"
• Restriction des sites Web aux sites Web de confiance uniquement

  Après avoir configuré Internet Explorer de telle sorte que des messages de confirmation s’affichent avant l’exécution des contrôles ActiveX et d'Active Scripting dans les zones Internet et Intranet local, vous pouvez ajouter des sites de confiance dans la zone Sites de confiance d’Internet Explorer. Cette opération vous permettra de continuer à utiliser vos sites de confiance exactement comme vous le faites aujourd'hui, tout en vous protégeant contre cette attaque sur les autres sites. Nous vous recommandons d'ajouter uniquement des sites de confiance à la zone Sites de confiance.

  Procédez comme suit :

  1. Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l’onglet Sécurité.
  2. Dans la zone Sélectionnez une zone de contenu Web pour spécifier ses paramètres de sécurité, cliquez sur Sites de confiance, puis sur Sites.
  3. Si vous souhaitez ajouter des sites qui ne requièrent pas un canal chiffré, désactivez la case à cocher Nécessite un serveur sécurisé (https:) pour tous les sites dans cette zone.
  4. Dans la zone Ajoute ce site Web à la zone, tapez l'URL d'un site de confiance, puis cliquez sur Ajouter.
  5. Répétez ces étapes pour chaque site que vous souhaitez ajouter à cette zone.
  6. Cliquez sur OK à deux reprises pour accepter les modifications et retourner dans Internet Explorer.

  Ajoutez les sites dont vous savez qu’ils ne peuvent pas effectuer d’action malveillante sur votre ordinateur. Vous pouvez notamment ajouter les sites "*.windowsupdate.microsoft.com" et "*.update.microsoft.com" (sans les guillemets). Il s’agit du site qui hébergera la mise à jour ; il requiert un contrôle ActiveX pour l'installation de la mise à jour.

• Configurez les paramètres des zones de sécurité Intranet local et Internet sur la valeur « Élevé » afin d'afficher un message de confirmation avant d'exécuter les contrôles ActiveX dans ces zones

  Vous pouvez vous protéger contre ces vulnérabilités en modifiant vos paramètres pour la zone de sécurité Internet afin d'afficher un message de confirmation avant l’exécution des contrôles ActiveX. Réglez la sécurité de votre navigateur sur la valeur Élevé.

  Pour augmenter le niveau de sécurité de navigation dans Microsoft Internet Explorer :

  1. Dans le menu Outils d'Internet Explorer, cliquez sur Options Internet.
  2. Dans la boîte de dialogue Options Internet, cliquez sur l'onglet Sécurité, puis sur l'icône Internet.
  3. Sous Niveau de sécurité pour cette zone, positionnez le curseur sur Élevé. Cela définit un niveau de sécurité élevé pour tous les sites Web que vous visitez.

  Remarque : Si aucun curseur n'est visible, cliquez sur Niveau par défaut, puis déplacez le curseur sur Élevé.

  Remarque : La définition du niveau de sécurité sur Élevé risque de perturber le fonctionnement de certains sites Web. Si vous rencontrez des difficultés lors de la visite d'un site Web après avoir modifié ce paramètre et que vous êtes certain de la fiabilité de ce site, vous pouvez ajouter ce dernier à votre liste de sites de confiance. Cela permettra à ce site de s'afficher correctement même si le niveau de sécurité est défini sur Élevé.

Quelle est la portée de cette vulnérabilité ?  
Il s'agit d'une vulnérabilité d'exécution de code à distance. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Quelle est la cause de cette vulnérabilité ?  
Lorsque le contrôle ActiveX est utilisé dans Internet Explorer, il peut corrompre l'état du système et permettre à un attaquant d'exécuter du code arbitraire.

Qu'est-ce que Office Web Components ?  
Microsoft Office Web Components est un ensemble de contrôles COM (Component Object Model) utilisés pour la publication de feuilles de calcul, de graphiques et de bases de données sur le Web ainsi que pour l'affichage de composants publiés sur le Web.

Que pourrait faire un attaquant en exploitant cette vulnérabilité ?  
Si un utilisateur est connecté avec des privilèges d'administrateur, un attaquant pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Comment un attaquant pourrait-il exploiter cette vulnérabilité ?  
Un attaquant pourrait exploiter cette vulnérabilité en hébergeant un site Web spécialement conçu, invoquant le contrôle ActiveX via Internet Explorer. Sont également concernés les sites Web compromis et les sites Web acceptant ou hébergeant des contenus ou des publicités provenant d'utilisateurs. Ces sites Web pourraient contenir du code spécialement conçu capable d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site. Il pourrait également afficher un contenu Web spécialement conçu en imitant des panneaux publicitaires ou d'autres moyens afin d'envoyer du contenu Web aux systèmes affectés.

Quels sont les systèmes les plus exposés à cette vulnérabilité ?  
Cette vulnérabilité permet l’exécution d’une action nuisible si et seulement si un utilisateur a ouvert une session et consulte un site Web. C'est pourquoi les systèmes sur lesquels Internet Explorer est fréquemment utilisé (comme les postes de travail des utilisateurs ou les serveurs de terminaux) sont les plus exposés à cette vulnérabilité. Les serveurs pourraient être plus exposés si les administrateurs autorisent les utilisateurs à ouvrir une session sur ces serveurs et à y exécuter des programmes. Néanmoins, les meilleures pratiques recommandent fortement de ne pas autoriser cela.

J'exécute Internet Explorer pour Windows Server 2003 ou Windows Server 2008. Ceci limite-t-il cette vulnérabilité ? 
Oui. Par défaut, Internet Explorer sur Windows Server 2003 et Windows Server 2008 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. La Configuration de sécurité améliorée d'Internet Explorer est un groupe de paramètres Internet Explorer préconfigurés qui réduit le risque qu'un utilisateur ou qu'un administrateur ne télécharge et n'exécute un contenu Web spécialement conçu sur un serveur. C'est un facteur atténuant pour les sites Web qui n'ont pas été ajoutés à la zone Sites de confiance d'Internet Explorer. Consultez également le guide « Gestion de la configuration de sécurité améliorée d'Internet Explorer ».

Qu'est-ce que la fonctionnalité « ActiveX Opt-in » d'Internet Explorer 7 ?  
Internet Explorer 7 comprend une fonctionnalité « ActiveX Opt-in », ce qui signifie que presque tous les contrôles ActiveX pré-installés sont désactivés par défaut. La barre d'informations prévient les utilisateurs avant qu'ils ne puissent instancier un contrôle ActiveX précédemment installé et qui n'a pas encore été utilisé sur Internet. Ceci permet à un utilisateur d'autoriser ou de refuser l'accès de chaque contrôle. Pour plus d'informations sur cette option et sur les nouvelles fonctionnalités, reportez-vous à la page des fonctionnalités d'Internet Explorer 7.

Que fait cette mise à jour ?  
Cette mise à jour supprime la vulnérabilité en traitant correctement l'allocation de mémoire lorsque le contrôle ActiveX est utilisé dans Internet Explorer.

Pour les versions affectées d'ISA Server, la mise à jour définit le kill bit pour tous les identificateurs de classe CLSID de OWC en bloquant les vecteurs d'attaque connus dans Internet Explorer. Cette action n'affecte pas la fonctionnalité d'ISA Server.

Lors de la parution de ce Bulletin de sécurité, cette vulnérabilité avait-elle été dévoilée ?  
Non. Microsoft a été informé de cette vulnérabilité par une divulgation responsable.

Lors de la parution de ce Bulletin de sécurité, Microsoft avait-il été informé d'une éventuelle exploitation de cette vulnérabilité ?  
Non. Lors de la première publication de ce Bulletin, Microsoft n'avait reçu aucune information indiquant que cette vulnérabilité avait été utilisée pour attaquer des clients, et n'avait pas la connaissance de la publication d'un tel code.

Une atténuation fait référence à un paramètre, une configuration générale ou à des préférences existant dans un état par défaut qui pourraient diminuer l'impact de l'exploitation d'une vulnérabilité. Les facteurs atténuants suivants peuvent être utiles, selon votre situation :

• Par défaut, Internet Explorer sur Windows Server 2003 et Windows Server 2008 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. Ce mode permet d'atténuer cette vulnérabilité. Pour plus d'informations sur la Configuration de sécurité améliorée d'Internet Explorer, reportez-vous à la section Forum aux questions sur cette vulnérabilité.
• Par défaut, Outlook Express 6, Outlook 2002 et Outlook 2003 ouvrent les messages au format HTML dans la zone Sites sensibles. De plus, Outlook 98 et Outlook 2000 ouvrent les messages HTML dans la zone Sites sensibles si la mise à jour de sécurité de messagerie Outlook a été installée. Outlook Express 5.5 Service Pack 2 ouvre les messages HTML dans la zone Sites sensibles si le Bulletin de sécurité Microsoft MS04-018 est installé.
  
  La zone Sites sensibles contribue à réduire les attaques qui tenteraient d’exploiter cette vulnérabilité en empêchant l'utilisation des contrôles ActiveX lors de la lecture de messages électroniques au format HTML. Cependant, en cliquant sur un lien figurant dans un message, l'utilisateur s'expose toujours à une attaque Web.
• Dans le cas d'une attaque Web, l'attaquant devrait héberger un site Web qui contiendrait une page Web spécialement conçue pour exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent des contenus ou des annonces provenant d'utilisateurs pourraient contenir un contenu malveillant susceptible d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l’utilisateur, généralement en l’incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site.
• Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Une solution de contournement fait référence à une modification de paramètre ou de configuration qui ne corrige pas la vulnérabilité sous-jacente mais qui pourrait contribuer à bloquer certains vecteurs d'attaque connus jusqu'à ce que la mise à jour soit appliquée. Microsoft a testé les solutions de contournement suivantes et indique le cas échéant si une solution réduit certaines fonctionnalités :

• Bloquer l'exécution de la bibliothèque Office Web Components dans Internet Explorer.

  Vous pouvez empêcher l'exécution de la bibliothèque Office Web Components dans Internet Explorer en définissant le kill bit pour le contrôle de la bibliothèque dans le Registre.

  Avertissement : Si vous n'utilisez pas correctement l'Éditeur du Registre, vous risquez de créer de sérieux problèmes et d'avoir à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir qu'il soit possible de résoudre des problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre. L'utilisation de l'Éditeur du Registre relève de votre responsabilité. Pour savoir comment modifier le Registre, consultez la rubrique d'Aide « Modifier des clés et des valeurs » dans l'Éditeur du Registre (Regedit.exe) ou les rubriques d'Aide « Ajouter et supprimer des informations dans le Registre » et « Modifier les données du Registre » dans Regedt32.exe.

  Remarque : Nous vous conseillons de sauvegarder le Registre avant de le modifier.

  Remarque : C'est l'action entreprise par le package de mise à jour pour ISA Server. Aucun fichier binaire n'est inclus dans cette mise à jour pour ISA Server.

  Pour plus de détails sur la manière d'empêcher l'exécution d'un contrôle dans Office Web Components, consultez l'Article 240797 de la Base de connaissances Microsoft. Suivez les étapes de cet article et créez une valeur pour les indicateurs de compatibilité dans le Registre afin d'empêcher l'exécution de la bibliothèque Office Web components :

  Remarque : Les identificateurs de classe et les fichiers correspondants contenant les objets de bibliothèque sont décrits en détail dans la section « Que fait cette mise à jour ? » du Forum aux questions.

  • Pour définir le kill bit d'un identificateur de classe CLSID de valeur {0002E541-0000-0000-C000-000000000046} et {0002E559-0000-0000-C000-000000000046}, collez le texte suivant dans un éditeur de texte, tel que Bloc-notes. Puis, enregistrez ensuite le fichier avec l'extension .reg.
    
    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E541-0000-0000-C000-000000000046}]
    "Compatibility Flags"=dword:00000400
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E559-0000-0000-C000-000000000046}]
    "Compatibility Flags"=dword:00000400

  Vous pouvez double-cliquer sur ce fichier .reg pour l'appliquer à des systèmes individuels. Vous pouvez également l'appliquer dans plusieurs domaines à l'aide de la Stratégie de groupe. Pour plus d'informations sur la Stratégie de groupe, consultez le site Web Microsoft suivant :

  • Collection Stratégie de groupe
  • Qu'est-ce que l'Éditeur d'objets de stratégie de groupe ?
  • Principaux outils et paramètres de la stratégie de groupe

  Remarque : Vous devez redémarrer Internet Explorer pour que vos changements prennent effet.

  Impact de cette solution de contournement : Une fois le kill bit défini, vous ne pourrez plus utiliser la fonctionnalité de feuille de calcul d'OWC dans le contrôle ActiveX Office Web Components dans Internet Explorer, Microsoft Office ou toute application respectant les kill bits. Ceci n'affectera pas le fonctionnement standard de Microsoft Office et la plupart des utilisateurs ne remarquera pas de modification après avoir défini le kill bit. OWC est principalement utilisé par les applications Web, y compris les applications métier internes, Microsoft Office Project Web Access et le Complément Office 2003 : Web Parts and Components. Il pourrait également être utilisé dans certaines solutions VBA dans Microsoft Office. Une fois le kill bit défini, ces applications ne pourront utiliser aucune fonctionnalité basée sur le contrôle de feuille de calcul d'OWC dans le contrôle ActiveX Office Web Components.

  Comment annuler la solution de contournement : Vous pouvez annuler la solution de contournement décrite ci-dessus en suivant les étapes suivantes :

  Avertissement : Si vous n'utilisez pas correctement l'Éditeur du Registre, vous risquez de créer de sérieux problèmes et d'avoir à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir qu'il soit possible de résoudre des problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre. L'utilisation de l'Éditeur du Registre relève de votre responsabilité. Pour savoir comment modifier le Registre, consultez la rubrique d'Aide « Modifier des clés et des valeurs » dans l'Éditeur du Registre (Regedit.exe) ou les rubriques d'Aide « Ajouter et supprimer des informations dans le Registre » et « Modifier les données du Registre » dans Regedt32.exe.

  Remarque : Nous vous conseillons de sauvegarder le Registre avant de le modifier.

  • Pour désactiver le kill bit d'un identificateur de classe CLSID de valeur {0002E541-0000-0000-C000-000000000046} et {0002E559-0000-0000-C000-000000000046}, collez le texte suivant dans un éditeur de texte, tel que Bloc-notes. Puis, enregistrez ensuite le fichier avec l'extension .reg.
    
    Windows Registry Editor Version 5.00
    
    CLSID_OWC10_Spreadsheet, {0002E541-0000-0000-C000-000000000046}[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E541-0000-0000-C000-000000000046}]
    
    CLSID_OWC11_Spreadsheet, {0002E559-0000-0000-C000-000000000046}[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E559-0000-0000-C000-000000000046}]
• Désinscription de la bibliothèque Office Web Components

  Remarque : Cette action ne fonctionnera pas sur un ordinateur ISA Server car :

  • Office Web Components est installé dans le répertoire de programme de ISA Server (« %ProgramFiles%\Microsoft ISA Server » par défaut)
  • Office Web Components est réenregistré par le mécanisme de tâche de rapport de ISA Server chaque fois qu'une tâche de rapport est exécutée

  Attention : Si vous n'utilisez pas correctement le programme Éditeur du registre, vous risquez de provoquer de sérieux problèmes et d'avoir à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir qu'il soit possible de résoudre des problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre. L'utilisation de l'Éditeur du Registre relève de votre responsabilité. Pour savoir comment modifier le Registre, consultez la rubrique d'Aide « Modifier des clés et des valeurs » dans l'Éditeur du Registre (Regedit.exe) ou les rubriques d'Aide « Ajouter et supprimer des informations dans le Registre » et « Modifier les données du Registre » dans Regedt32.exe.

  Remarque : Nous vous conseillons de sauvegarder le Registre avant de le modifier.

  • Pour OWC 10, tapez ce qui suit dans l'invite de commande puis cliquez sur Exécuter :
    
    Regsvr32.exe /u "C:\Program Files\Common Files\Microsoft Shared\Web Components\10\owc10.dll"
  • Pour OWC 11, tapez ce qui suit dans l'invite de commande puis cliquez sur Exécuter :
    
    Regsvr32.exe /u "C:\Program Files\Common Files\Microsoft Shared\Web Components\11\owc11.dll"

  Impact de cette solution de contournement : Les applications nécessitant les fonctionnalités Office Web Components ne fonctionneront pas.

  Comment annuler la solution de contournement : Pour réinscrire Office Web Components, suivez les étapes suivantes :

  • Pour OWC 10, tapez ce qui suit dans l'invite de commande puis cliquez sur Exécuter :
    
    Regsvr32.exe "C:\Program Files\Common Files\Microsoft Shared\Web Components\10\owc10.dll"
  • Pour OWC 11, tapez ce qui suit dans l'invite de commande puis cliquez sur Exécuter :
    
    Regsvr32.exe "C:\Program Files\Common Files\Microsoft Shared\Web Components\11\owc11.dll"
• Restriction des sites Web aux sites Web de confiance uniquement

  Après avoir configuré Internet Explorer de telle sorte que des messages de confirmation s’affichent avant l’exécution des contrôles ActiveX et d'Active Scripting dans les zones Internet et Intranet local, vous pouvez ajouter des sites de confiance dans la zone Sites de confiance d’Internet Explorer. Cette opération vous permettra de continuer à utiliser vos sites de confiance exactement comme vous le faites aujourd'hui, tout en vous protégeant contre cette attaque sur les autres sites. Nous vous recommandons d'ajouter uniquement des sites de confiance à la zone Sites de confiance.

  Procédez comme suit :

  1. Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l’onglet Sécurité.
  2. Dans la zone Sélectionnez une zone de contenu Web pour spécifier ses paramètres de sécurité, cliquez sur Sites de confiance, puis sur Sites.
  3. Si vous souhaitez ajouter des sites qui ne requièrent pas un canal chiffré, désactivez la case à cocher Nécessite un serveur sécurisé (https:) pour tous les sites dans cette zone.
  4. Dans la zone Ajoute ce site Web à la zone, tapez l'URL d'un site de confiance, puis cliquez sur Ajouter.
  5. Répétez ces étapes pour chaque site que vous souhaitez ajouter à cette zone.
  6. Cliquez sur OK à deux reprises pour accepter les modifications et retourner dans Internet Explorer.

  Ajoutez les sites dont vous savez qu’ils ne peuvent pas effectuer d’action malveillante sur votre ordinateur. Vous pouvez notamment ajouter les sites "*.windowsupdate.microsoft.com" et "*.update.microsoft.com" (sans les guillemets). Il s’agit du site qui hébergera la mise à jour ; il requiert un contrôle ActiveX pour l'installation de la mise à jour.

• Configurez les paramètres des zones de sécurité Intranet local et Internet sur la valeur « Élevé » afin d'afficher un message de confirmation avant d'exécuter les contrôles ActiveX dans ces zones

  Vous pouvez vous protéger contre ces vulnérabilités en modifiant vos paramètres pour la zone de sécurité Internet afin d'afficher un message de confirmation avant l’exécution des contrôles ActiveX. Réglez la sécurité de votre navigateur sur la valeur Élevé.

  Pour augmenter le niveau de sécurité de navigation dans Microsoft Internet Explorer :

  1. Dans le menu Outils d'Internet Explorer, cliquez sur Options Internet.
  2. Dans la boîte de dialogue Options Internet, cliquez sur l'onglet Sécurité, puis sur l'icône Internet.
  3. Sous Niveau de sécurité pour cette zone, positionnez le curseur sur Élevé. Cela définit un niveau de sécurité élevé pour tous les sites Web que vous visitez.

  Remarque : Si aucun curseur n'est visible, cliquez sur Niveau par défaut, puis déplacez le curseur sur Élevé.

  Remarque : La définition du niveau de sécurité sur Élevé risque de perturber le fonctionnement de certains sites Web. Si vous rencontrez des difficultés lors de la visite d'un site Web après avoir modifié ce paramètre et que vous êtes certain de la fiabilité de ce site, vous pouvez ajouter ce dernier à votre liste de sites de confiance. Cela permettra à ce site de s'afficher correctement même si le niveau de sécurité est défini sur Élevé.

Quelle est la portée de cette vulnérabilité ?  
Il s'agit d'une vulnérabilité d'exécution de code à distance. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Quelle est la cause de cette vulnérabilité ?  
Lorsque le contrôle ActiveX est utilisé dans Internet Explorer, les méthodes de contrôle n'exécutent pas une validation de paramètres suffisante. Ceci peut avoir pour résultat un dépassement de capacité du tas telle qu'un attaquant pourrait exécuter du code à distance.

Qu'est-ce que Office Web Components ?  
Microsoft Office Web Components est un ensemble de contrôles COM (Component Object Model) utilisés pour la publication de feuilles de calcul, de graphiques et de bases de données sur le Web ainsi que pour l'affichage de composants publiés sur le Web.

Que pourrait faire un attaquant en exploitant cette vulnérabilité ?  
Si un utilisateur est connecté avec des privilèges d'administrateur, un attaquant pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Comment un attaquant pourrait-il exploiter cette vulnérabilité ?  
Un attaquant pourrait exploiter cette vulnérabilité en hébergeant un site Web spécialement conçu, invoquant le contrôle ActiveX via Internet Explorer. Sont également concernés les sites Web compromis et les sites Web acceptant ou hébergeant des contenus ou des publicités provenant d'utilisateurs. Ces sites Web pourraient contenir du code spécialement conçu capable d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site. Il pourrait également afficher un contenu Web spécialement conçu en imitant des panneaux publicitaires ou d'autres moyens afin d'envoyer du contenu Web aux systèmes affectés.

Quels sont les systèmes les plus exposés à cette vulnérabilité ?  
Cette vulnérabilité permet l’exécution d’une action nuisible si et seulement si un utilisateur a ouvert une session et consulte un site Web. C'est pourquoi les systèmes sur lesquels Internet Explorer est fréquemment utilisé (comme les postes de travail des utilisateurs ou les serveurs de terminaux) sont les plus exposés à cette vulnérabilité. Les serveurs pourraient être plus exposés si les administrateurs autorisent les utilisateurs à ouvrir une session sur ces serveurs et à y exécuter des programmes. Néanmoins, les meilleures pratiques recommandent fortement de ne pas autoriser cela.

J'exécute Internet Explorer pour Windows Server 2003 ou Windows Server 2008. Ceci limite-t-il cette vulnérabilité ? 
Oui. Par défaut, Internet Explorer sur Windows Server 2003 et Windows Server 2008 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. La Configuration de sécurité améliorée d'Internet Explorer est un groupe de paramètres Internet Explorer préconfigurés qui réduit le risque qu'un utilisateur ou qu'un administrateur ne télécharge et n'exécute un contenu Web spécialement conçu sur un serveur. C'est un facteur atténuant pour les sites Web qui n'ont pas été ajoutés à la zone Sites de confiance d'Internet Explorer. Consultez également le guide « Gestion de la configuration de sécurité améliorée d'Internet Explorer ».

Qu'est-ce que la fonctionnalité « ActiveX Opt-in » d'Internet Explorer 7 ?  
Internet Explorer 7 comprend une fonctionnalité « ActiveX Opt-in », ce qui signifie que presque tous les contrôles ActiveX pré-installés sont désactivés par défaut. La barre d'informations prévient les utilisateurs avant qu'ils ne puissent instancier un contrôle ActiveX précédemment installé et qui n'a pas encore été utilisé sur Internet. Ceci permet à un utilisateur d'autoriser ou de refuser l'accès de chaque contrôle. Pour plus d'informations sur cette option et sur les nouvelles fonctionnalités, reportez-vous à la page des fonctionnalités d'Internet Explorer 7.

Que fait cette mise à jour ?  
Cette mise à jour supprime la vulnérabilité en corrigeant la logique de validation pour les méthodes de contrôle ActiveX de Office Web Components.

Pour les versions affectées d'ISA Server, la mise à jour définit le kill bit pour tous les identificateurs de classe CLSID de OWC en bloquant les vecteurs d'attaque connus dans Internet Explorer.

Lors de la parution de ce Bulletin de sécurité, cette vulnérabilité avait-elle été dévoilée ?  
Non. Microsoft a été informé de cette vulnérabilité par une divulgation responsable.

Lors de la parution de ce Bulletin de sécurité, Microsoft avait-il été informé d'une éventuelle exploitation de cette vulnérabilité ?  
Non. Lors de la première publication de ce Bulletin, Microsoft n'avait reçu aucune information indiquant que cette vulnérabilité avait été utilisée pour attaquer des clients, et n'avait pas la connaissance de la publication d'un tel code.

Une atténuation fait référence à un paramètre, une configuration générale ou à des préférences existant dans un état par défaut qui pourraient diminuer l'impact de l'exploitation d'une vulnérabilité. Les facteurs atténuants suivants peuvent être utiles, selon votre situation :

• Par défaut, Internet Explorer sur Windows Server 2003 et Windows Server 2008 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. Ce mode permet d'atténuer cette vulnérabilité. Pour plus d'informations sur la Configuration de sécurité améliorée d'Internet Explorer, reportez-vous à la section Forum aux questions sur cette vulnérabilité.
• Par défaut, Outlook Express 6, Outlook 2002 et Outlook 2003 ouvrent les messages au format HTML dans la zone Sites sensibles. De plus, Outlook 98 et Outlook 2000 ouvrent les messages HTML dans la zone Sites sensibles si la mise à jour de sécurité de messagerie Outlook a été installée. Outlook Express 5.5 Service Pack 2 ouvre les messages HTML dans la zone Sites sensibles si le Bulletin de sécurité Microsoft MS04-018 est installé.
  
  La zone Sites sensibles contribue à réduire les attaques qui tenteraient d’exploiter cette vulnérabilité en empêchant l'utilisation des contrôles ActiveX lors de la lecture de messages électroniques au format HTML. Cependant, en cliquant sur un lien figurant dans un message, l'utilisateur s'expose toujours à une attaque Web.
• Dans le cas d'une attaque Web, l'attaquant devrait héberger un site Web qui contiendrait une page Web spécialement conçue pour exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent des contenus ou des annonces provenant d'utilisateurs pourraient contenir un contenu malveillant susceptible d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l’utilisateur, généralement en l’incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site.
• Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Une solution de contournement fait référence à une modification de paramètre ou de configuration qui ne corrige pas la vulnérabilité sous-jacente mais qui pourrait contribuer à bloquer certains vecteurs d'attaque connus jusqu'à ce que la mise à jour soit appliquée. Microsoft a testé les solutions de contournement suivantes et indique le cas échéant si une solution réduit certaines fonctionnalités :

• Bloquer l'exécution de la bibliothèque Office Web Components dans Internet Explorer.

  Vous pouvez empêcher l'exécution de la bibliothèque Office Web Components dans Internet Explorer en définissant le kill bit pour le contrôle de la bibliothèque dans le Registre.

  Avertissement : Si vous n'utilisez pas correctement l'Éditeur du Registre, vous risquez de créer de sérieux problèmes et d'avoir à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir qu'il soit possible de résoudre des problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre. L'utilisation de l'Éditeur du Registre relève de votre responsabilité. Pour savoir comment modifier le Registre, consultez la rubrique d'Aide « Modifier des clés et des valeurs » dans l'Éditeur du Registre (Regedit.exe) ou les rubriques d'Aide « Ajouter et supprimer des informations dans le Registre » et « Modifier les données du Registre » dans Regedt32.exe.

  Remarque : Nous vous conseillons de sauvegarder le Registre avant de le modifier.

  Remarque : C'est l'action entreprise par le package de mise à jour pour ISA Server. Aucun fichier binaire n'est inclus dans cette mise à jour pour ISA Server.

  Pour plus de détails sur la manière d'empêcher l'exécution d'un contrôle dans Office Web Components, consultez l'Article 240797 de la Base de connaissances Microsoft. Suivez les étapes de cet article et créez une valeur pour les indicateurs de compatibilité dans le Registre afin d'empêcher l'exécution de la bibliothèque Office Web components :

  Remarque : Les identificateurs de classe et les fichiers correspondants contenant les objets de bibliothèque sont décrits en détail dans la section « Que fait cette mise à jour ? » du Forum aux questions.

  • Pour définir le kill bit d'un identificateur de classe CLSID de valeur {0002E541-0000-0000-C000-000000000046} et {0002E559-0000-0000-C000-000000000046}, collez le texte suivant dans un éditeur de texte, tel que Bloc-notes. Puis, enregistrez ensuite le fichier avec l'extension .reg.
    
    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E541-0000-0000-C000-000000000046}]
    "Compatibility Flags"=dword:00000400
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E559-0000-0000-C000-000000000046}]
    "Compatibility Flags"=dword:00000400

  Vous pouvez double-cliquer sur ce fichier .reg pour l'appliquer à des systèmes individuels. Vous pouvez également l'appliquer dans plusieurs domaines à l'aide de la Stratégie de groupe. Pour plus d'informations sur la Stratégie de groupe, consultez le site Web Microsoft suivant :

  • Collection Stratégie de groupe
  • Qu'est-ce que l'Éditeur d'objets de stratégie de groupe ?
  • Principaux outils et paramètres de la stratégie de groupe

  Remarque : Vous devez redémarrer Internet Explorer pour que vos changements prennent effet.

  Impact de cette solution de contournement : Une fois le kill bit défini, vous ne pourrez plus utiliser la fonctionnalité de feuille de calcul d'OWC dans le contrôle ActiveX Office Web Components dans Internet Explorer, Microsoft Office ou toute application respectant les kill bits. Ceci n'affectera pas le fonctionnement standard de Microsoft Office et la plupart des utilisateurs ne remarquera pas de modification après avoir défini le kill bit. OWC est principalement utilisé par les applications Web, y compris les applications métier internes, Microsoft Office Project Web Access et le Complément Office 2003 : Web Parts and Components. Il pourrait également être utilisé dans certaines solutions VBA dans Microsoft Office. Une fois le kill bit défini, ces applications ne pourront utiliser aucune fonctionnalité basée sur le contrôle de feuille de calcul d'OWC dans le contrôle ActiveX Office Web Components.

  Comment annuler la solution de contournement : Vous pouvez annuler la solution de contournement décrite ci-dessus en suivant les étapes suivantes :

  Avertissement : Si vous n'utilisez pas correctement l'Éditeur du Registre, vous risquez de créer de sérieux problèmes et d'avoir à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir qu'il soit possible de résoudre des problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre. L'utilisation de l'Éditeur du Registre relève de votre responsabilité. Pour savoir comment modifier le Registre, consultez la rubrique d'Aide « Modifier des clés et des valeurs » dans l'Éditeur du Registre (Regedit.exe) ou les rubriques d'Aide « Ajouter et supprimer des informations dans le Registre » et « Modifier les données du Registre » dans Regedt32.exe.

  Remarque : Nous vous conseillons de sauvegarder le Registre avant de le modifier.

  • Pour désactiver le kill bit d'un identificateur de classe CLSID de valeur {0002E541-0000-0000-C000-000000000046} et {0002E559-0000-0000-C000-000000000046}, collez le texte suivant dans un éditeur de texte, tel que Bloc-notes. Puis, enregistrez ensuite le fichier avec l'extension .reg.
    
    Windows Registry Editor Version 5.00
    
    CLSID_OWC10_Spreadsheet, {0002E541-0000-0000-C000-000000000046}[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E541-0000-0000-C000-000000000046}]
    
    CLSID_OWC11_Spreadsheet, {0002E559-0000-0000-C000-000000000046}[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E559-0000-0000-C000-000000000046}]
• Désinscription de la bibliothèque Office Web Components

  Remarque : Cette action ne fonctionnera pas sur un ordinateur ISA Server car :

  • Office Web Components est installé dans le répertoire de programme de ISA Server (« %ProgramFiles%\Microsoft ISA Server » par défaut)
  • Office Web Components est réenregistré par le mécanisme de tâche de rapport de ISA Server chaque fois qu'une tâche de rapport est exécutée

  Attention : Si vous n'utilisez pas correctement le programme Éditeur du registre, vous risquez de provoquer de sérieux problèmes et d'avoir à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir qu'il soit possible de résoudre des problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre. L'utilisation de l'Éditeur du Registre relève de votre responsabilité. Pour savoir comment modifier le Registre, consultez la rubrique d'Aide « Modifier des clés et des valeurs » dans l'Éditeur du Registre (Regedit.exe) ou les rubriques d'Aide « Ajouter et supprimer des informations dans le Registre » et « Modifier les données du Registre » dans Regedt32.exe.

  Remarque : Nous vous conseillons de sauvegarder le Registre avant de le modifier.

  • Pour OWC 10, tapez ce qui suit dans l'invite de commande puis cliquez sur Exécuter :
    
    Regsvr32.exe /u "C:\Program Files\Common Files\Microsoft Shared\Web Components\10\owc10.dll"
  • Pour OWC 11, tapez ce qui suit dans l'invite de commande puis cliquez sur Exécuter :
    
    Regsvr32.exe /u "C:\Program Files\Common Files\Microsoft Shared\Web Components\11\owc11.dll"

  Impact de cette solution de contournement : Les applications nécessitant les fonctionnalités Office Web Components ne fonctionneront pas.

  Comment annuler la solution de contournement : Pour réinscrire Office Web Components, suivez les étapes suivantes :

  • Pour OWC 10, tapez ce qui suit dans l'invite de commande puis cliquez sur Exécuter :
    
    Regsvr32.exe "C:\Program Files\Common Files\Microsoft Shared\Web Components\10\owc10.dll"
  • Pour OWC 11, tapez ce qui suit dans l'invite de commande puis cliquez sur Exécuter :
    
    Regsvr32.exe "C:\Program Files\Common Files\Microsoft Shared\Web Components\11\owc11.dll"
• Restriction des sites Web aux sites Web de confiance uniquement

  Après avoir configuré Internet Explorer de telle sorte que des messages de confirmation s’affichent avant l’exécution des contrôles ActiveX et d'Active Scripting dans les zones Internet et Intranet local, vous pouvez ajouter des sites de confiance dans la zone Sites de confiance d’Internet Explorer. Cette opération vous permettra de continuer à utiliser vos sites de confiance exactement comme vous le faites aujourd'hui, tout en vous protégeant contre cette attaque sur les autres sites. Nous vous recommandons d'ajouter uniquement des sites de confiance à la zone Sites de confiance.

  Procédez comme suit :

  1. Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l’onglet Sécurité.
  2. Dans la zone Sélectionnez une zone de contenu Web pour spécifier ses paramètres de sécurité, cliquez sur Sites de confiance, puis sur Sites.
  3. Si vous souhaitez ajouter des sites qui ne requièrent pas un canal chiffré, désactivez la case à cocher Nécessite un serveur sécurisé (https:) pour tous les sites dans cette zone.
  4. Dans la zone Ajoute ce site Web à la zone, tapez l'URL d'un site de confiance, puis cliquez sur Ajouter.
  5. Répétez ces étapes pour chaque site que vous souhaitez ajouter à cette zone.
  6. Cliquez sur OK à deux reprises pour accepter les modifications et retourner dans Internet Explorer.

  Ajoutez les sites dont vous savez qu’ils ne peuvent pas effectuer d’action malveillante sur votre ordinateur. Vous pouvez notamment ajouter les sites "*.windowsupdate.microsoft.com" et "*.update.microsoft.com" (sans les guillemets). Il s’agit du site qui hébergera la mise à jour ; il requiert un contrôle ActiveX pour l'installation de la mise à jour.

• Configurez les paramètres des zones de sécurité Intranet local et Internet sur la valeur « Élevé » afin d'afficher un message de confirmation avant d'exécuter les contrôles ActiveX dans ces zones

  Vous pouvez vous protéger contre ces vulnérabilités en modifiant vos paramètres pour la zone de sécurité Internet afin d'afficher un message de confirmation avant l’exécution des contrôles ActiveX. Réglez la sécurité de votre navigateur sur la valeur Élevé.

  Pour augmenter le niveau de sécurité de navigation dans Microsoft Internet Explorer :

  1. Dans le menu Outils d'Internet Explorer, cliquez sur Options Internet.
  2. Dans la boîte de dialogue Options Internet, cliquez sur l'onglet Sécurité, puis sur l'icône Internet.
  3. Sous Niveau de sécurité pour cette zone, positionnez le curseur sur Élevé. Cela définit un niveau de sécurité élevé pour tous les sites Web que vous visitez.

  Remarque : Si aucun curseur n'est visible, cliquez sur Niveau par défaut, puis déplacez le curseur sur Élevé.

  Remarque : La définition du niveau de sécurité sur Élevé risque de perturber le fonctionnement de certains sites Web. Si vous rencontrez des difficultés lors de la visite d'un site Web après avoir modifié ce paramètre et que vous êtes certain de la fiabilité de ce site, vous pouvez ajouter ce dernier à votre liste de sites de confiance. Cela permettra à ce site de s'afficher correctement même si le niveau de sécurité est défini sur Élevé.

Quelle est la portée de cette vulnérabilité ?  
Il s'agit d'une vulnérabilité d'exécution de code à distance. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Quelle est la cause de cette vulnérabilité ?  
Lorsque le contrôle ActiveX est utilisé dans Internet Explorer, il ne traite pas correctement les valeurs de paramètre. Il peut donc corrompre l'état du système et permettre à un attaquant d'exécuter du code arbitraire.

Qu'est-ce que Office Web Components ?  
Microsoft Office Web Components est un ensemble de contrôles COM (Component Object Model) utilisés pour la publication de feuilles de calcul, de graphiques et de bases de données sur le Web ainsi que pour l'affichage de composants publiés sur le Web.

Que pourrait faire un attaquant en exploitant cette vulnérabilité ?  
Si un utilisateur est connecté avec des privilèges d'administrateur, un attaquant pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Comment un attaquant pourrait-il exploiter cette vulnérabilité ?  
Un attaquant pourrait exploiter cette vulnérabilité en hébergeant un site Web spécialement conçu, invoquant le contrôle ActiveX via Internet Explorer. Sont également concernés les sites Web compromis et les sites Web acceptant ou hébergeant des contenus ou des publicités provenant d'utilisateurs. Ces sites Web pourraient contenir du code spécialement conçu capable d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site. Il pourrait également afficher un contenu Web spécialement conçu en imitant des panneaux publicitaires ou d'autres moyens afin d'envoyer du contenu Web aux systèmes affectés.

Quels sont les systèmes les plus exposés à cette vulnérabilité ?  
Cette vulnérabilité permet l’exécution d’une action nuisible si et seulement si un utilisateur a ouvert une session et consulte un site Web. C'est pourquoi les systèmes sur lesquels Internet Explorer est fréquemment utilisé (comme les postes de travail des utilisateurs ou les serveurs de terminaux) sont les plus exposés à cette vulnérabilité. Les serveurs pourraient être plus exposés si les administrateurs autorisent les utilisateurs à ouvrir une session sur ces serveurs et à y exécuter des programmes. Néanmoins, les meilleures pratiques recommandent fortement de ne pas autoriser cela.

J'exécute Internet Explorer pour Windows Server 2003 ou Windows Server 2008. Ceci limite-t-il cette vulnérabilité ? 
Oui. Par défaut, Internet Explorer sur Windows Server 2003 et Windows Server 2008 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. La Configuration de sécurité améliorée d'Internet Explorer est un groupe de paramètres Internet Explorer préconfigurés qui réduit le risque qu'un utilisateur ou qu'un administrateur ne télécharge et n'exécute un contenu Web spécialement conçu sur un serveur. C'est un facteur atténuant pour les sites Web qui n'ont pas été ajoutés à la zone Sites de confiance d'Internet Explorer. Consultez également le guide « Gestion de la configuration de sécurité améliorée d'Internet Explorer ».

Qu'est-ce que la fonctionnalité « ActiveX Opt-in » d'Internet Explorer 7 ?  
Internet Explorer 7 comprend une fonctionnalité « ActiveX Opt-in », ce qui signifie que presque tous les contrôles ActiveX pré-installés sont désactivés par défaut. La barre d'informations prévient les utilisateurs avant qu'ils ne puissent instancier un contrôle ActiveX précédemment installé et qui n'a pas encore été utilisé sur Internet. Ceci permet à un utilisateur d'autoriser ou de refuser l'accès de chaque contrôle. Pour plus d'informations sur cette option et sur les nouvelles fonctionnalités, reportez-vous à la page des fonctionnalités d'Internet Explorer 7.

Que fait cette mise à jour ?  
Cette mise à jour de sécurité corrige la vulnérabilité en exécutant une validation de paramètres supplémentaire.

Pour les versions affectées d'ISA Server, la mise à jour définit le kill bit pour tous les identificateurs de classe CLSID de OWC en bloquant les vecteurs d'attaque connus dans Internet Explorer. Cette action n'affecte pas la fonctionnalité d'ISA Server.

Lors de la parution de ce Bulletin de sécurité, cette vulnérabilité avait-elle été dévoilée ?  
Bien que le rapport initial ait été fourni par divulgation responsable, la vulnérabilité a été publiée ultérieurement par un tiers. Ce bulletin de sécurité résout la vulnérabilité révélée publiquement, ainsi que les autres problèmes apparus lors des analyses menées en interne. Cette vulnérabilité a d'abord été décrite dans l'Avis de sécurité Microsoft 973472.

Lors de la parution de ce Bulletin de sécurité, Microsoft avait-il été informé d'une éventuelle exploitation de cette vulnérabilité ?  
Oui. Microsoft a connaissance d'attaques limitées et ciblées visant à exploiter cette vulnérabilité.

Une atténuation fait référence à un paramètre, une configuration générale ou à des préférences existant dans un état par défaut qui pourraient diminuer l'impact de l'exploitation d'une vulnérabilité. Les facteurs atténuants suivants peuvent être utiles, selon votre situation :

• Par défaut, Internet Explorer sur Windows Server 2003 et Windows Server 2008 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. Ce mode permet d'atténuer cette vulnérabilité. Pour plus d'informations sur la Configuration de sécurité améliorée d'Internet Explorer, reportez-vous à la section Forum aux questions sur cette vulnérabilité.
• Par défaut, Outlook Express 6, Outlook 2002 et Outlook 2003 ouvrent les messages au format HTML dans la zone Sites sensibles. De plus, Outlook 98 et Outlook 2000 ouvrent les messages HTML dans la zone Sites sensibles si la mise à jour de sécurité de messagerie Outlook a été installée. Outlook Express 5.5 Service Pack 2 ouvre les messages HTML dans la zone Sites sensibles si le Bulletin de sécurité Microsoft MS04-018 est installé.
  
  La zone Sites sensibles contribue à réduire les attaques qui tenteraient d’exploiter cette vulnérabilité en empêchant l'utilisation des contrôles ActiveX lors de la lecture de messages électroniques au format HTML. Cependant, en cliquant sur un lien figurant dans un message, l'utilisateur s'expose toujours à une attaque Web.
• Dans le cas d'une attaque Web, l'attaquant devrait héberger un site Web qui contiendrait une page Web spécialement conçue pour exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent des contenus ou des annonces provenant d'utilisateurs pourraient contenir un contenu malveillant susceptible d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l’utilisateur, généralement en l’incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site.
• Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Une solution de contournement fait référence à une modification de paramètre ou de configuration qui ne corrige pas la vulnérabilité sous-jacente mais qui pourrait contribuer à bloquer certains vecteurs d'attaque connus jusqu'à ce que la mise à jour soit appliquée. Microsoft a testé les solutions de contournement suivantes et indique le cas échéant si une solution réduit certaines fonctionnalités :

• Bloquer l'exécution de la bibliothèque Office Web Components dans Internet Explorer.

  Vous pouvez empêcher l'exécution de la bibliothèque Office Web Components dans Internet Explorer en définissant le kill bit pour le contrôle de la bibliothèque dans le Registre.

  Avertissement : Si vous n'utilisez pas correctement l'Éditeur du Registre, vous risquez de créer de sérieux problèmes et d'avoir à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir qu'il soit possible de résoudre des problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre. L'utilisation de l'Éditeur du Registre relève de votre responsabilité. Pour savoir comment modifier le Registre, consultez la rubrique d'Aide « Modifier des clés et des valeurs » dans l'Éditeur du Registre (Regedit.exe) ou les rubriques d'Aide « Ajouter et supprimer des informations dans le Registre » et « Modifier les données du Registre » dans Regedt32.exe.

  Remarque : Nous vous conseillons de sauvegarder le Registre avant de le modifier.

  Remarque : C'est l'action entreprise par le package de mise à jour pour ISA Server. Aucun fichier binaire n'est inclus dans cette mise à jour pour ISA Server.

  Pour plus de détails sur la manière d'empêcher l'exécution d'un contrôle dans Office Web Components, consultez l'Article 240797 de la Base de connaissances Microsoft. Suivez les étapes de cet article et créez une valeur pour les indicateurs de compatibilité dans le Registre afin d'empêcher l'exécution de la bibliothèque Office Web components :

  Remarque : Les identificateurs de classe et les fichiers correspondants contenant les objets de bibliothèque sont décrits en détail dans la section « Que fait cette mise à jour ? » du Forum aux questions.

  • Pour définir le kill bit d'un identificateur de classe CLSID de valeur {0002E512-0000-0000-C000-000000000046}, collez le texte suivant dans un éditeur de texte, tel que Bloc-notes. Puis, enregistrez ensuite le fichier avec l'extension .reg.
    
    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E512-0000-0000-C000-000000000046}]
    "Compatibility Flags"=dword:00000400

  Vous pouvez double-cliquer sur ce fichier .reg pour l'appliquer à des systèmes individuels. Vous pouvez également l'appliquer dans plusieurs domaines à l'aide de la Stratégie de groupe. Pour plus d'informations sur la Stratégie de groupe, consultez le site Web Microsoft suivant :

  • Collection Stratégie de groupe
  • Qu'est-ce que l'Éditeur d'objets de stratégie de groupe ?
  • Principaux outils et paramètres de la stratégie de groupe

  Remarque : Vous devez redémarrer Internet Explorer pour que vos changements prennent effet.

  Impact de cette solution de contournement : Une fois le kill bit défini, vous ne pourrez plus utiliser la fonctionnalité de feuille de calcul d'OWC dans le contrôle ActiveX Office Web Components dans Internet Explorer, Microsoft Office ou toute application respectant les kill bits. Ceci n'affectera pas le fonctionnement standard de Microsoft Office et la plupart des utilisateurs ne remarquera pas de modification après avoir défini le kill bit. OWC est principalement utilisé par les applications Web, y compris les applications métier internes, Microsoft Office Project Web Access et le Complément Office 2003 : Web Parts and Components. Il pourrait également être utilisé dans certaines solutions VBA dans Microsoft Office. Une fois le kill bit défini, ces applications ne pourront utiliser aucune fonctionnalité basée sur le contrôle de feuille de calcul d'OWC dans le contrôle ActiveX Office Web Components.

  Comment annuler la solution de contournement : Vous pouvez annuler la solution de contournement décrite ci-dessus en suivant les étapes suivantes :

  Avertissement : Si vous n'utilisez pas correctement l'Éditeur du Registre, vous risquez de créer de sérieux problèmes et d'avoir à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir qu'il soit possible de résoudre des problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre. L'utilisation de l'Éditeur du Registre relève de votre responsabilité. Pour savoir comment modifier le Registre, consultez la rubrique d'Aide « Modifier des clés et des valeurs » dans l'Éditeur du Registre (Regedit.exe) ou les rubriques d'Aide « Ajouter et supprimer des informations dans le Registre » et « Modifier les données du Registre » dans Regedt32.exe.

  Remarque : Nous vous conseillons de sauvegarder le Registre avant de le modifier.

  • Pour définir le kill bit d'un identificateur de classe CLSID de valeur {0002E512-0000-0000-C000-000000000046}, collez le texte suivant dans un éditeur de texte, tel que Bloc-notes. Puis, enregistrez ensuite le fichier avec l'extension .reg.
    
    Windows Registry Editor Version 5.00
    
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E512-0000-0000-C000-000000000046}]
• Désinscription de la bibliothèque Office Web Components

  Remarque : Cette action ne fonctionnera pas sur un ordinateur ISA Server car :

  • Office Web Components est installé dans le répertoire de programme de ISA Server (« %ProgramFiles%\Microsoft ISA Server » par défaut)
  • Office Web Components est réenregistré par le mécanisme de tâche de rapport de ISA Server chaque fois qu'une tâche de rapport est exécutée

  Attention : Si vous n'utilisez pas correctement le programme Éditeur du registre, vous risquez de provoquer de sérieux problèmes et d'avoir à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir qu'il soit possible de résoudre des problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre. L'utilisation de l'Éditeur du Registre relève de votre responsabilité. Pour savoir comment modifier le Registre, consultez la rubrique d'Aide « Modifier des clés et des valeurs » dans l'Éditeur du Registre (Regedit.exe) ou les rubriques d'Aide « Ajouter et supprimer des informations dans le Registre » et « Modifier les données du Registre » dans Regedt32.exe.

  Remarque : Nous vous conseillons de sauvegarder le Registre avant de le modifier.

  • Pour Office 2000, tapez le texte suivant à l'invite de commande et sélectionnez Exécuter :
    
    Regsvr32.exe /u "C:\Program Files\Microsoft Office\Office\msowc.dll"
  • Pour Office XP, tapez le texte suivant à l'invite de commande et sélectionnez Exécuter :
    
    Regsvr32.exe /u "C:\Program Files\Microsoft Office\Office10\msowc.dll"

  Impact de cette solution de contournement : Les applications nécessitant les fonctionnalités Office Web Components ne fonctionneront pas.

  Comment annuler la solution de contournement : Pour réinscrire Office Web Components, suivez les étapes suivantes :

  • Pour Office 2000, tapez le texte suivant à l'invite de commande et sélectionnez Exécuter :
    
    Regsvr32.exe "C:\Program Files\Microsoft Office\Office\msowc.dll"
  • Pour Office XP, tapez le texte suivant à l'invite de commande et sélectionnez Exécuter :
    
    Regsvr32.exe "C:\Program Files\Microsoft Office\Office10\msowc.dll
• Restriction des sites Web aux sites Web de confiance uniquement

  Après avoir configuré Internet Explorer de telle sorte que des messages de confirmation s’affichent avant l’exécution des contrôles ActiveX et d'Active Scripting dans les zones Internet et Intranet local, vous pouvez ajouter des sites de confiance dans la zone Sites de confiance d’Internet Explorer. Cette opération vous permettra de continuer à utiliser vos sites de confiance exactement comme vous le faites aujourd'hui, tout en vous protégeant contre cette attaque sur les autres sites. Nous vous recommandons d'ajouter uniquement des sites de confiance à la zone Sites de confiance.

  Procédez comme suit :

  1. Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l’onglet Sécurité.
  2. Dans la zone Sélectionnez une zone de contenu Web pour spécifier ses paramètres de sécurité, cliquez sur Sites de confiance, puis sur Sites.
  3. Si vous souhaitez ajouter des sites qui ne requièrent pas un canal chiffré, désactivez la case à cocher Nécessite un serveur sécurisé (https:) pour tous les sites dans cette zone.
  4. Dans la zone Ajoute ce site Web à la zone, tapez l'URL d'un site de confiance, puis cliquez sur Ajouter.
  5. Répétez ces étapes pour chaque site que vous souhaitez ajouter à cette zone.
  6. Cliquez sur OK à deux reprises pour accepter les modifications et retourner dans Internet Explorer.

  Ajoutez les sites dont vous savez qu’ils ne peuvent pas effectuer d’action malveillante sur votre ordinateur. Vous pouvez notamment ajouter les sites "*.windowsupdate.microsoft.com" et "*.update.microsoft.com" (sans les guillemets). Il s’agit du site qui hébergera la mise à jour ; il requiert un contrôle ActiveX pour l'installation de la mise à jour.

• Configurez les paramètres des zones de sécurité Intranet local et Internet sur la valeur « Élevé » afin d'afficher un message de confirmation avant d'exécuter les contrôles ActiveX dans ces zones

  Vous pouvez vous protéger contre ces vulnérabilités en modifiant vos paramètres pour la zone de sécurité Internet afin d'afficher un message de confirmation avant l’exécution des contrôles ActiveX. Réglez la sécurité de votre navigateur sur la valeur Élevé.

  Pour augmenter le niveau de sécurité de navigation dans Microsoft Internet Explorer :

  1. Dans le menu Outils d'Internet Explorer, cliquez sur Options Internet.
  2. Dans la boîte de dialogue Options Internet, cliquez sur l'onglet Sécurité, puis sur l'icône Internet.
  3. Sous Niveau de sécurité pour cette zone, positionnez le curseur sur Élevé. Cela définit un niveau de sécurité élevé pour tous les sites Web que vous visitez.

  Remarque : Si aucun curseur n'est visible, cliquez sur Niveau par défaut, puis déplacez le curseur sur Élevé.

  Remarque : La définition du niveau de sécurité sur Élevé risque de perturber le fonctionnement de certains sites Web. Si vous rencontrez des difficultés lors de la visite d'un site Web après avoir modifié ce paramètre et que vous êtes certain de la fiabilité de ce site, vous pouvez ajouter ce dernier à votre liste de sites de confiance. Cela permettra à ce site de s'afficher correctement même si le niveau de sécurité est défini sur Élevé.

Quelle est la portée de cette vulnérabilité ?  
Il s'agit d'une vulnérabilité d'exécution de code à distance. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Quelle est la cause de cette vulnérabilité ?  
Lorsque le contrôle ActiveX est utilisé dans Internet Explorer, il peut corrompre l'état du système et permettre à un attaquant d'exécuter du code arbitraire.

Qu'est-ce que Office Web Components ?  
Microsoft Office Web Components est un ensemble de contrôles COM (Component Object Model) utilisés pour la publication de feuilles de calcul, de graphiques et de bases de données sur le Web ainsi que pour l'affichage de composants publiés sur le Web.

Que pourrait faire un attaquant en exploitant cette vulnérabilité ?  
Si un utilisateur est connecté avec des privilèges d'administrateur, un attaquant pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Comment un attaquant pourrait-il exploiter cette vulnérabilité ?  
Un attaquant pourrait exploiter cette vulnérabilité en hébergeant un site Web spécialement conçu, invoquant le contrôle ActiveX via Internet Explorer. Sont également concernés les sites Web compromis et les sites Web acceptant ou hébergeant des contenus ou des publicités provenant d'utilisateurs. Ces sites Web pourraient contenir du code spécialement conçu capable d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site. Il pourrait également afficher un contenu Web spécialement conçu en imitant des panneaux publicitaires ou d'autres moyens afin d'envoyer du contenu Web aux systèmes affectés.

Quels sont les systèmes les plus exposés à cette vulnérabilité ?  
Cette vulnérabilité permet l’exécution d’une action nuisible si et seulement si un utilisateur a ouvert une session et consulte un site Web. C'est pourquoi les systèmes sur lesquels Internet Explorer est fréquemment utilisé (comme les postes de travail des utilisateurs ou les serveurs de terminaux) sont les plus exposés à cette vulnérabilité. Les serveurs pourraient être plus exposés si les administrateurs autorisent les utilisateurs à ouvrir une session sur ces serveurs et à y exécuter des programmes. Néanmoins, les meilleures pratiques recommandent fortement de ne pas autoriser cela.

J'exécute Internet Explorer pour Windows Server 2003 ou Windows Server 2008. Ceci limite-t-il cette vulnérabilité ? 
Oui. Par défaut, Internet Explorer sur Windows Server 2003 et Windows Server 2008 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. La Configuration de sécurité améliorée d'Internet Explorer est un groupe de paramètres Internet Explorer préconfigurés qui réduit le risque qu'un utilisateur ou qu'un administrateur ne télécharge et n'exécute un contenu Web spécialement conçu sur un serveur. C'est un facteur atténuant pour les sites Web qui n'ont pas été ajoutés à la zone Sites de confiance d'Internet Explorer. Consultez également le guide « Gestion de la configuration de sécurité améliorée d'Internet Explorer ».

Qu'est-ce que la fonctionnalité « ActiveX Opt-in » d'Internet Explorer 7 ?  
Internet Explorer 7 comprend une fonctionnalité « ActiveX Opt-in », ce qui signifie que presque tous les contrôles ActiveX pré-installés sont désactivés par défaut. La barre d'informations prévient les utilisateurs avant qu'ils ne puissent instancier un contrôle ActiveX précédemment installé et qui n'a pas encore été utilisé sur Internet. Ceci permet à un utilisateur d'autoriser ou de refuser l'accès de chaque contrôle. Pour plus d'informations sur cette option et sur les nouvelles fonctionnalités, reportez-vous à la page des fonctionnalités d'Internet Explorer 7.

Que fait cette mise à jour ?  
Cette mise à jour supprime la vulnérabilité en validant les valeurs de propriété à l'aide de vérifications de limites lorsque ce contrôle ActiveX est utilisé dans Internet Explorer.

Lors de la parution de ce Bulletin de sécurité, cette vulnérabilité avait-elle été dévoilée ?  
Non. Microsoft a été informé de cette vulnérabilité par une divulgation responsable.

Lors de la parution de ce Bulletin de sécurité, Microsoft avait-il été informé d'une éventuelle exploitation de cette vulnérabilité ?  
Non. Lors de la première publication de ce Bulletin, Microsoft n'avait reçu aucune information indiquant que cette vulnérabilité avait été utilisée pour attaquer des clients, et n'avait pas la connaissance de la publication d'un tel code.

Tableau de référence

Le tableau suivant contient les informations de mise à jour de sécurité concernant ce logiciel. Vous pouvez rechercher des informations supplémentaires dans la sous-section « Informations de déploiement » de cette section.

Tableau de référence

Le tableau suivant contient les informations de mise à jour de sécurité concernant ce logiciel. Vous pouvez rechercher des informations supplémentaires dans la sous-section « Informations de déploiement » de cette section.

Tableau de référence

Le tableau suivant contient les informations de mise à jour de sécurité concernant ce logiciel. Vous pouvez rechercher des informations supplémentaires dans la sous-section « Informations de déploiement » de cette section.

Tableau de référence

Le tableau suivant contient les informations de mise à jour de sécurité concernant ce logiciel. Vous pouvez rechercher des informations supplémentaires dans la sous-section « Informations de déploiement » de cette section.

Tableau de référence

Le tableau suivant contient les informations de mise à jour de sécurité concernant ce logiciel. Vous pouvez rechercher des informations supplémentaires dans la sous-section « Informations de déploiement » de cette section.

Tableau de référence

Le tableau suivant contient les informations de mise à jour de sécurité concernant ce logiciel. Vous pouvez rechercher des informations supplémentaires dans la sous-section « Informations de déploiement » de cette section.