Bulletin de sécurité Microsoft MS11-057 - Critique

Une atténuation fait référence à un paramètre, une configuration générale ou à des préférences existant dans un état par défaut qui pourraient diminuer l'impact de l'exploitation d'une vulnérabilité. Les facteurs atténuants suivants peuvent être utiles, selon votre situation :

• Dans le cas d'une attaque Web, un attaquant pourrait héberger un site Web malveillant conçu pour exploiter cette vulnérabilité via Internet Explorer, puis inciter un utilisateur à consulter ce site Web et à effectuer une série de clics dans différentes fenêtres d'Internet Explorer. Un attaquant pourrait également intégrer un contrôle ActiveX marqué « sûr pour l'initialisation » à une application ou à un document Microsoft Office qui héberge le moteur de rendu d'IE. L'attaquant pourrait également exploiter des sites Web compromis et des sites Web qui acceptent ou hébergent du contenu ou des annonces fournis par l'utilisateur. Ces sites Web pourraient contenir du code spécialement conçu capable d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à afficher le contenu contrôlé par l'attaquant. Il devrait l'inciter à prendre des mesures, généralement en cliquant sur un lien dans un message électronique ou dans un message instantané qui mène à son site ou en ouvrant une pièce jointe à un message électronique.
• Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
• Par défaut, toutes les versions en cours de support de Microsoft Outlook, Microsoft Outlook Express et Windows Mail ouvrent les messages au format HTML dans la zone Sites sensibles, ce qui désactive les scripts et les contrôles ActiveX, permettant ainsi de réduire le risque qu'un attaquant puisse utiliser cette vulnérabilité pour exécuter du code malveillant. En cliquant sur un lien figurant dans un message électronique, l'utilisateur s'expose toujours à une attaque Web exploitant cette vulnérabilité.
• Par défaut, Internet Explorer sur Windows Server 2003, Windows Server 2008 et Windows Server 2008 R2 s'exécutent selon un mode restreint appelé Configuration de sécurité renforcée. Ce mode permet d'atténuer cette vulnérabilité. Pour plus d'informations sur la Configuration de sécurité renforcée d'Internet Explorer, reportez-vous à la section Forum aux questions de cette vulnérabilité.
• Internet Explorer 9 n'est pas concerné par cette vulnérabilité.

Une solution de contournement fait référence à une modification de paramètre ou de configuration qui ne corrige pas la vulnérabilité sous-jacente mais qui pourrait contribuer à bloquer certains vecteurs d'attaque connus jusqu'à ce que la mise à jour soit appliquée. Microsoft a testé les solutions de contournement suivantes et indique le cas échéant si une solution réduit certaines fonctionnalités :

• Lecture des messages électroniques au format texte brut

  Pour vous protéger contre le vecteur d'attaque par message électronique, lisez les messages électroniques au format texte brut.

  Microsoft Outlook 2003, Microsoft Outlook 2007 et Microsoft Outlook 2010 fournissent une option de lecture des messages électroniques au format texte brut. Pour plus d'informations sur l'option Lire tous les messages standard au format texte brut, consultez l'Article 831607 de la Base de connaissances Microsoft.

  Les utilisateurs de Microsoft Outlook 2002 ayant appliqué Office XP Service Pack 1 ou une version ultérieure et les utilisateurs d'Outlook Express 6 ayant appliqué Internet Explorer 6 Service Pack 1 ou une version ultérieure peuvent activer une fonctionnalité qui interdit d'afficher autrement qu'en format texte brut les messages qui ne sont ni chiffrés, ni signés numériquement.

  Les messages signés numériquement ou chiffrés ne sont pas affectés par ce paramètre et peuvent être lus dans leur format d'origine. Pour plus d'informations sur l'activation de ce paramètre dans Outlook 2002, consultez l'Article 307594 de la Base de connaissances Microsoft.

  Pour obtenir des informations sur ce paramètre dans Outlook Express 6, consultez l'Article 291387 de la Base de connaissances Microsoft.

  Impact de cette solution de contournement. Les messages lus au format texte brut ne contiendront pas d'images, de polices spécifiques, d'animations ou d'autres contenus riches. En outre :

  • Les modifications sont appliquées au volet de visualisation et aux messages ouverts.
  • Les images sont transformées en pièces jointes pour ne pas être perdues.
  • Le message demeurant au format RTF (Rich Text Format) ou HTML dans le magasin, le modèle objet (solutions de code personnalisées) peut se comporter de façon inattendue.
• Définissez les paramètres des zones Intranet local et Internet sur la valeur « Élevé » afin de bloquer les contrôles ActiveX et Active Scripting dans ces zones

  Vous pouvez vous protéger contre cette vulnérabilité en modifiant les paramètres de la zone de sécurité Internet afin de bloquer les contrôles ActiveX et Active Scripting. Réglez la sécurité de votre navigateur sur la valeur Élevé.

  Pour augmenter le niveau de sécurité de navigation dans Internet Explorer, exécutez les étapes suivantes :

  1. Dans le menu Outils d'Internet Explorer, cliquez sur Options Internet.
  2. Dans la boîte de dialogue Options Internet, cliquez sur l'onglet Sécurité, puis sur l'icône Internet.
  3. Sous Niveau de sécurité pour cette zone, positionnez le curseur sur Élevé. Cela définit un niveau de sécurité élevé pour tous les sites Web que vous visitez.

  Remarque : Si aucun curseur n'est visible, cliquez sur Niveau par défaut, puis déplacez le curseur sur Élevé.

  Remarque : La définition du niveau de sécurité sur Élevé risque de perturber le fonctionnement de certains sites Web. Si vous rencontrez des difficultés lors de la visite d'un site Web après avoir modifié ce paramètre et que vous êtes certain de la fiabilité de ce site, vous pouvez ajouter ce dernier à votre liste de sites de confiance. Cela permettra à ce site de s'afficher correctement même si le niveau de sécurité est défini sur Élevé.

  Impact de cette solution de contournement. Le blocage des contrôles ActiveX et d'Active Scripting comporte des effets secondaires. De nombreux sites Web situés sur Internet ou sur un Intranet utilisent ActiveX ou Active Scripting pour offrir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peuvent utiliser des contrôles ActiveX pour proposer des menus, des bons de commande ou même des relevés de compte. Le blocage des contrôles ActiveX ou d'Active Scripting est un paramètre global qui affecte tous les sites Internet et Intranet. Si vous ne voulez pas bloquer les contrôles ActiveX ou Active Scripting pour ces sites, suivez les étapes décrites dans la section « Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer ».

  Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer

  Après avoir configuré Internet Explorer afin de bloquer les contrôles ActiveX et Active Scripting dans les zones Internet et Intranet local, vous pouvez ajouter des sites de confiance dans la zone Sites de confiance d'Internet Explorer. Cette opération vous permettra de continuer à utiliser vos sites de confiance exactement comme vous le faites aujourd'hui, tout en vous protégeant contre cette attaque sur les autres sites. Nous vous recommandons d'ajouter uniquement des sites de confiance à la zone Sites de confiance.

  Pour ce faire, procédez ainsi :

  1. Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l'onglet Sécurité.
  2. Dans la zone Sélectionnez une zone de contenu Web pour spécifier ses paramètres de sécurité, cliquez sur Sites de confiance, puis sur Sites.
  3. Si vous souhaitez ajouter des sites qui ne requièrent pas un canal chiffré, désactivez la case à cocher Nécessite un serveur sécurisé (https:) pour tous les sites dans cette zone.
  4. Dans la zone Ajouter ce site Web à la zone, saisissez l'URL d'un site de confiance, puis cliquez sur Ajouter.
  5. Répétez ces étapes pour chaque site que vous souhaitez ajouter à cette zone.
  6. Cliquez sur OK à deux reprises pour accepter les modifications et retourner dans Internet Explorer.

  Remarque : Ajoutez les sites dont vous savez qu'ils n'effectueront pas d'action malveillante sur votre système. Vous pouvez notamment ajouter les sites « *.windowsupdate.microsoft.com » et « *.update.microsoft.com ». Il s'agit des sites qui hébergent la mise à jour et ils requièrent un contrôle ActiveX pour leur installation.

• Configurer Internet Explorer de manière à ce qu'il désactive Active Scripting ou à ce qu'il vous avertisse avant de l'exécuter dans la zone de sécurité Intranet local et Internet.

  Vous pouvez vous protéger contre cette vulnérabilité en modifiant vos paramètres afin d'être averti avant l'exécution d'Active Scripting ou afin de désactiver Active Scripting dans les zones de sécurité Intranet local et Internet. Pour ce faire, procédez ainsi :

  1. Dans Internet Explorer, cliquez sur Options Internet dans le menu Outils.
  2. Cliquez sur l'onglet Sécurité.
  3. Cliquez sur Internet, puis sur Personnaliser le niveau.
  4. Sous Paramètres, dans la section Script, sous Active Scripting, cliquez sur Demander ou Désactiver, puis sur OK.
  5. Cliquez sur Intranet local, puis sur Personnaliser le niveau.
  6. Sous Paramètres, dans la section Script, sous Active Scripting, cliquez sur Demander ou Désactiver, puis sur OK.
  7. Cliquez sur OK à deux reprises pour retourner dans Internet Explorer.

  Remarque : La désactivation d'Active Scripting dans les zones de sécurité Intranet local et Internet risque de perturber le fonctionnement de certains sites Web. Si vous rencontrez des difficultés lors de la visite d'un site Web après avoir modifié ce paramètre et que vous êtes certain de la fiabilité de ce site, vous pouvez ajouter ce dernier à votre liste de sites de confiance. Il pourra ainsi s'afficher correctement.

  Impact de cette solution de contournement. L'affichage d'un message de confirmation avant l'exécution d'Active Scripting comporte des effets secondaires. De nombreux sites Web situés sur Internet ou sur un Intranet utilisent Active Scripting pour offrir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peuvent utiliser Active Scripting pour proposer des menus, des bons de commande ou même des relevés de compte. L'affichage d'un message de confirmation avant l'exécution d'Active Scripting est un paramètre global qui affecte tous les sites Internet et Intranet. De nombreux messages s'affichent lorsque vous mettez en œuvre cette solution de contournement. Pour chacun d'eux, si vous pensez que le site que vous visitez est un site de confiance, cliquez sur Oui afin d'exécuter Active Scripting. Si vous ne voulez pas recevoir d'invite pour tous ces sites, suivez les étapes décrites dans la section « Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer ».

  Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer

  Après avoir configuré Internet Explorer de telle sorte que des messages de confirmation s'affichent avant l'exécution des contrôles ActiveX et d'Active Scripting dans les zones Internet et Intranet local, vous pouvez ajouter des sites de confiance dans la zone Sites de confiance d'Internet Explorer. Cette opération vous permettra de continuer à utiliser vos sites de confiance exactement comme vous le faites aujourd'hui, tout en vous protégeant contre cette attaque sur les autres sites. Nous vous recommandons d'ajouter uniquement des sites de confiance à la zone Sites de confiance.

  Pour ce faire, procédez ainsi :

  1. Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l'onglet Sécurité.
  2. Dans la zone Sélectionnez une zone de contenu Web pour spécifier ses paramètres de sécurité, cliquez sur Sites de confiance, puis sur Sites.
  3. Si vous souhaitez ajouter des sites qui ne requièrent pas un canal chiffré, désactivez la case à cocher Nécessite un serveur sécurisé (https:) pour tous les sites dans cette zone.
  4. Dans la zone Ajouter ce site Web à la zone, saisissez l'URL d'un site de confiance, puis cliquez sur Ajouter.
  5. Répétez ces étapes pour chaque site que vous souhaitez ajouter à cette zone.
  6. Cliquez sur OK à deux reprises pour accepter les modifications et retourner dans Internet Explorer.

  Remarque : Ajoutez les sites dont vous savez qu'ils n'effectueront pas d'action malveillante sur votre système. Vous pouvez notamment ajouter les sites « *.windowsupdate.microsoft.com » et « *.update.microsoft.com ». Il s'agit des sites qui hébergent la mise à jour et ils requièrent un contrôle ActiveX pour leur installation.

Quelle est la portée de cette vulnérabilité ?  
Il s'agit d'une vulnérabilité d'exécution de code à distance. Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Quelle est la cause de cette vulnérabilité ?  
Lorsqu'Internet Explorer tente d'accéder à un objet qui risque d'avoir été corrompu en raison d'une situation de concurrence critique (race condition), il peut corrompre la mémoire et permettre ainsi à un attaquant d'exécuter du code arbitraire dans le contexte de l'utilisateur connecté.

Que pourrait faire un attaquant en exploitant cette vulnérabilité ?  
Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits qu'un utilisateur connecté. Si l'utilisateur a ouvert une session avec des privilèges d'administrateur, un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral d'un système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges.

Comment un attaquant pourrait-il exploiter cette vulnérabilité ?  
Un attaquant pourrait héberger un site Web malveillant conçu pour exploiter cette vulnérabilité via Internet Explorer, puis inciter un utilisateur à consulter ce site Web et à effectuer une série de clics dans différentes fenêtres d'Internet Explorer. Un attaquant pourrait également intégrer un contrôle ActiveX marqué « sûr pour l'initialisation » à une application ou à un document Microsoft Office qui héberge le moteur de rendu d'IE. L'attaquant pourrait également exploiter des sites Web compromis et des sites Web qui acceptent ou hébergent du contenu ou des annonces fournis par l'utilisateur. Ces sites Web pourraient contenir du code spécialement conçu capable d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à afficher le contenu contrôlé par l'attaquant. Il devrait l'inciter à prendre des mesures, généralement en cliquant sur un lien dans un message électronique ou dans un message instantané qui mène à son site ou en ouvrant une pièce jointe à un message électronique.

Quels sont les systèmes les plus exposés à cette vulnérabilité ?  
Les systèmes sur lesquels Internet Explorer est fréquemment utilisé (comme les postes de travail ou les serveurs Terminal Server) sont les plus exposés à cette vulnérabilité.

J'exécute Internet Explorer pour Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2. Ceci limite-t-il cette vulnérabilité ? 
Oui. Par défaut, Internet Explorer sur Windows Server 2003, Windows Server 2008 et Windows Server 2008 R2 s'exécutent selon un mode restreint appelé Configuration de sécurité renforcée. La Configuration de sécurité renforcée d'Internet Explorer est un groupe de paramètres Internet Explorer préconfigurés qui réduit le risque qu'un utilisateur ou qu'un administrateur ne télécharge et n'exécute un contenu Web spécialement conçu sur un serveur. C'est un facteur atténuant pour les sites Web qui n'ont pas été ajoutés à la zone Sites de confiance d'Internet Explorer.

Que fait cette mise à jour ?  
Cette mise à jour de sécurité corrige la vulnérabilité en modifiant la façon dont Internet Explorer traite les objets en mémoire.

Lors de la parution de ce Bulletin de sécurité, cette vulnérabilité avait-elle été dévoilée ?  
Non. Microsoft a été informé de cette vulnérabilité par une divulgation de vulnérabilité coordonnée.

Lors de la parution de ce Bulletin de sécurité, Microsoft avait-il été informé d'une éventuelle exploitation de cette vulnérabilité ?  
Non. Lors de la première publication de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de cette vulnérabilité dans le but d'attaquer des clients.

Une atténuation fait référence à un paramètre, une configuration générale ou à des préférences existant dans un état par défaut qui pourraient diminuer l'impact de l'exploitation d'une vulnérabilité. Les facteurs atténuants suivants peuvent être utiles, selon votre situation :

• Dans le cas d'une attaque Web, l'attaquant devrait héberger un site Web qui contiendrait une page Web spécialement conçue pour exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent des contenus ou des annonces provenant d'utilisateurs pourraient contenir un contenu malveillant susceptible d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site.
• Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
• Par défaut, toutes les versions en cours de support de Microsoft Outlook, Microsoft Outlook Express et Windows Mail ouvrent les messages au format HTML dans la zone Sites sensibles, ce qui désactive les scripts et les contrôles ActiveX, permettant ainsi de réduire le risque qu'un attaquant puisse utiliser cette vulnérabilité pour exécuter du code malveillant. En cliquant sur un lien figurant dans un message électronique, l'utilisateur s'expose toujours à une attaque Web exploitant cette vulnérabilité.
• Par défaut, Internet Explorer sur Windows Server 2003, Windows Server 2008 et Windows Server 2008 R2 s'exécutent selon un mode restreint appelé Configuration de sécurité renforcée. Ce mode permet d'atténuer cette vulnérabilité. Pour plus d'informations sur la Configuration de sécurité renforcée d'Internet Explorer, reportez-vous à la section Forum aux questions de cette vulnérabilité.

Une solution de contournement fait référence à une modification de paramètre ou de configuration qui ne corrige pas la vulnérabilité sous-jacente mais qui pourrait contribuer à bloquer certains vecteurs d'attaque connus jusqu'à ce que la mise à jour soit appliquée. Microsoft a testé les solutions de contournement suivantes et indique le cas échéant si une solution réduit certaines fonctionnalités :

• Définissez les paramètres des zones Intranet local et Internet sur la valeur « Élevé » afin de bloquer les contrôles ActiveX et Active Scripting dans ces zones

  Vous pouvez vous protéger contre cette vulnérabilité en modifiant les paramètres de la zone de sécurité Internet afin de bloquer les contrôles ActiveX et Active Scripting. Réglez la sécurité de votre navigateur sur la valeur Élevé.

  Pour augmenter le niveau de sécurité de navigation dans Internet Explorer, exécutez les étapes suivantes :

  1. Dans le menu Outils d'Internet Explorer, cliquez sur Options Internet.
  2. Dans la boîte de dialogue Options Internet, cliquez sur l'onglet Sécurité, puis sur l'icône Internet.
  3. Sous Niveau de sécurité pour cette zone, positionnez le curseur sur Élevé. Cela définit un niveau de sécurité élevé pour tous les sites Web que vous visitez.

  Remarque : Si aucun curseur n'est visible, cliquez sur Niveau par défaut, puis déplacez le curseur sur Élevé.

  Remarque : La définition du niveau de sécurité sur Élevé risque de perturber le fonctionnement de certains sites Web. Si vous rencontrez des difficultés lors de la visite d'un site Web après avoir modifié ce paramètre et que vous êtes certain de la fiabilité de ce site, vous pouvez ajouter ce dernier à votre liste de sites de confiance. Cela permettra à ce site de s'afficher correctement même si le niveau de sécurité est défini sur Élevé.

  Impact de cette solution de contournement. Le blocage des contrôles ActiveX et d'Active Scripting comporte des effets secondaires. De nombreux sites Web situés sur Internet ou sur un Intranet utilisent ActiveX ou Active Scripting pour offrir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peuvent utiliser des contrôles ActiveX pour proposer des menus, des bons de commande ou même des relevés de compte. Le blocage des contrôles ActiveX ou d'Active Scripting est un paramètre global qui affecte tous les sites Internet et Intranet. Si vous ne voulez pas bloquer les contrôles ActiveX ou Active Scripting pour ces sites, suivez les étapes décrites dans la section « Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer ».

  Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer

  Après avoir configuré Internet Explorer afin de bloquer les contrôles ActiveX et Active Scripting dans les zones Internet et Intranet local, vous pouvez ajouter des sites de confiance dans la zone Sites de confiance d'Internet Explorer. Cette opération vous permettra de continuer à utiliser vos sites de confiance exactement comme vous le faites aujourd'hui, tout en vous protégeant contre cette attaque sur les autres sites. Nous vous recommandons d'ajouter uniquement des sites de confiance à la zone Sites de confiance.

  Pour ce faire, procédez ainsi :

  1. Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l'onglet Sécurité.
  2. Dans la zone Sélectionnez une zone de contenu Web pour spécifier ses paramètres de sécurité, cliquez sur Sites de confiance, puis sur Sites.
  3. Si vous souhaitez ajouter des sites qui ne requièrent pas un canal chiffré, désactivez la case à cocher Nécessite un serveur sécurisé (https:) pour tous les sites dans cette zone.
  4. Dans la zone Ajouter ce site Web à la zone, saisissez l'URL d'un site de confiance, puis cliquez sur Ajouter.
  5. Répétez ces étapes pour chaque site que vous souhaitez ajouter à cette zone.
  6. Cliquez sur OK à deux reprises pour accepter les modifications et retourner dans Internet Explorer.

  Remarque : Ajoutez les sites dont vous savez qu'ils n'effectueront pas d'action malveillante sur votre système. Vous pouvez notamment ajouter les sites « *.windowsupdate.microsoft.com » et « *.update.microsoft.com ». Il s'agit des sites qui hébergent la mise à jour et ils requièrent un contrôle ActiveX pour leur installation.

• Configurer Internet Explorer de manière à ce qu'il désactive Active Scripting ou à ce qu'il vous avertisse avant de l'exécuter dans la zone de sécurité Intranet local et Internet.

  Vous pouvez vous protéger contre cette vulnérabilité en modifiant vos paramètres afin d'être averti avant l'exécution d'Active Scripting ou afin de désactiver Active Scripting dans les zones de sécurité Intranet local et Internet. Pour ce faire, procédez ainsi :

  1. Dans Internet Explorer, cliquez sur Options Internet dans le menu Outils.
  2. Cliquez sur l'onglet Sécurité.
  3. Cliquez sur Internet, puis sur Personnaliser le niveau.
  4. Sous Paramètres, dans la section Script, sous Active Scripting, cliquez sur Demander ou Désactiver, puis sur OK.
  5. Cliquez sur Intranet local, puis sur Personnaliser le niveau.
  6. Sous Paramètres, dans la section Script, sous Active Scripting, cliquez sur Demander ou Désactiver, puis sur OK.
  7. Cliquez sur OK à deux reprises pour retourner dans Internet Explorer.

  Remarque : La désactivation d'Active Scripting dans les zones de sécurité Intranet local et Internet risque de perturber le fonctionnement de certains sites Web. Si vous rencontrez des difficultés lors de la visite d'un site Web après avoir modifié ce paramètre et que vous êtes certain de la fiabilité de ce site, vous pouvez ajouter ce dernier à votre liste de sites de confiance. Il pourra ainsi s'afficher correctement.

  Impact de cette solution de contournement. L'affichage d'un message de confirmation avant l'exécution d'Active Scripting comporte des effets secondaires. De nombreux sites Web situés sur Internet ou sur un Intranet utilisent Active Scripting pour offrir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peuvent utiliser Active Scripting pour proposer des menus, des bons de commande ou même des relevés de compte. L'affichage d'un message de confirmation avant l'exécution d'Active Scripting est un paramètre global qui affecte tous les sites Internet et Intranet. De nombreux messages s'affichent lorsque vous mettez en œuvre cette solution de contournement. Pour chacun d'eux, si vous pensez que le site que vous visitez est un site de confiance, cliquez sur Oui afin d'exécuter Active Scripting. Si vous ne voulez pas recevoir d'invite pour tous ces sites, suivez les étapes décrites dans la section « Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer ».

  Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer

  Après avoir configuré Internet Explorer de telle sorte que des messages de confirmation s'affichent avant l'exécution des contrôles ActiveX et d'Active Scripting dans les zones Internet et Intranet local, vous pouvez ajouter des sites de confiance dans la zone Sites de confiance d'Internet Explorer. Cette opération vous permettra de continuer à utiliser vos sites de confiance exactement comme vous le faites aujourd'hui, tout en vous protégeant contre cette attaque sur les autres sites. Nous vous recommandons d'ajouter uniquement des sites de confiance à la zone Sites de confiance.

  Pour ce faire, procédez ainsi :

  1. Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l'onglet Sécurité.
  2. Dans la zone Sélectionnez une zone de contenu Web pour spécifier ses paramètres de sécurité, cliquez sur Sites de confiance, puis sur Sites.
  3. Si vous souhaitez ajouter des sites qui ne requièrent pas un canal chiffré, désactivez la case à cocher Nécessite un serveur sécurisé (https:) pour tous les sites dans cette zone.
  4. Dans la zone Ajouter ce site Web à la zone, saisissez l'URL d'un site de confiance, puis cliquez sur Ajouter.
  5. Répétez ces étapes pour chaque site que vous souhaitez ajouter à cette zone.
  6. Cliquez sur OK à deux reprises pour accepter les modifications et retourner dans Internet Explorer.

  Remarque : Ajoutez les sites dont vous savez qu'ils n'effectueront pas d'action malveillante sur votre système. Vous pouvez notamment ajouter les sites « *.windowsupdate.microsoft.com » et « *.update.microsoft.com ». Il s'agit des sites qui hébergent la mise à jour et ils requièrent un contrôle ActiveX pour leur installation.

Quelle est la portée de cette vulnérabilité ?  
Il s'agit d'une vulnérabilité de divulgation d'informations. Un attaquant qui parviendrait à exploiter cette vulnérabilité lorsqu'un utilisateur affiche une page Web pourrait voir du contenu à partir de l'ordinateur local ou d'une fenêtre de navigation dans un domaine ou une zone Internet Explorer distincte du domaine ou de la zone de la page Web de l'attaquant.

Quelle est la cause de cette vulnérabilité ?  
Pendant certains processus, Internet Explorer permet à tort à des attaquants d'accéder au contenu et de le lire à partir de domaines différents.

Que pourrait faire un attaquant en exploitant cette vulnérabilité ?  
Un attaquant qui réussirait à exploiter cette vulnérabilité pourrait afficher le contenu d'un autre domaine ou d'une autre zone Internet Explorer.

Comment un attaquant pourrait-il exploiter cette vulnérabilité ?  
Un attaquant pourrait héberger un site Web malveillant conçu pour exploiter cette vulnérabilité via Internet Explorer, puis inciter un utilisateur à consulter ce site Web. L'attaquant pourrait également exploiter des sites Web compromis et des sites Web qui acceptent ou hébergent du contenu ou des annonces fournis par l'utilisateur. Ces sites Web pourraient contenir du code spécialement conçu capable d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site. Il pourrait également afficher un contenu Web spécialement conçu en imitant des panneaux publicitaires ou d'autres moyens afin d'envoyer du contenu Web aux systèmes affectés.

Quels sont les systèmes les plus exposés à cette vulnérabilité ?  
Cette vulnérabilité permet l'exécution d'une action malveillante si et seulement si un utilisateur consulte et effectue des actions sur un site Web. C'est pourquoi les systèmes sur lesquels Internet Explorer est fréquemment utilisé (comme les postes de travail des utilisateurs ou les serveurs Terminal Server) sont les plus exposés à cette vulnérabilité.

J'exécute Internet Explorer pour Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2. Ceci limite-t-il cette vulnérabilité ? 
Oui. Par défaut, Internet Explorer sur Windows Server 2003, Windows Server 2008 et Windows Server 2008 R2 s'exécutent selon un mode restreint appelé Configuration de sécurité renforcée. La Configuration de sécurité renforcée d'Internet Explorer est un groupe de paramètres Internet Explorer préconfigurés qui réduit le risque qu'un utilisateur ou qu'un administrateur ne télécharge et n'exécute un contenu Web spécialement conçu sur un serveur. C'est un facteur atténuant pour les sites Web qui n'ont pas été ajoutés à la zone Sites de confiance d'Internet Explorer.

Que fait cette mise à jour ?  
Cette mise à jour de sécurité corrige la vulnérabilité en modifiant la façon dont Internet Explorer traite les gestionnaires d'événements JavaScript.

Lors de la parution de ce Bulletin de sécurité, cette vulnérabilité avait-elle été dévoilée ?  
Non. Microsoft a été informé de cette vulnérabilité par une divulgation de vulnérabilité coordonnée.

Lors de la parution de ce Bulletin de sécurité, Microsoft avait-il été informé d'une éventuelle exploitation de cette vulnérabilité ?  
Non. Lors de la première publication de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de cette vulnérabilité dans le but d'attaquer des clients.

Une atténuation fait référence à un paramètre, une configuration générale ou à des préférences existant dans un état par défaut qui pourraient diminuer l'impact de l'exploitation d'une vulnérabilité. Les facteurs atténuants suivants peuvent être utiles, selon votre situation :

• Le protocole de partage de fichiers SMB (Server Message Block) est souvent désactivé sur le pare-feu de périmètre. Cela permet de limiter les vecteurs d'attaque potentiels pour cette vulnérabilité.
• Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Une solution de contournement fait référence à une modification de paramètre ou de configuration qui ne corrige pas la vulnérabilité sous-jacente mais qui pourrait contribuer à bloquer certains vecteurs d'attaque connus jusqu'à ce que la mise à jour soit appliquée. Microsoft a testé les solutions de contournement suivantes et indique le cas échéant si une solution réduit certaines fonctionnalités :

• Désactiver le service WebClient

  La désactivation du service WebClient permet de protéger les systèmes affectés des tentatives d'exploitation de cette vulnérabilité en bloquant le vecteur d'attaque à distance le plus courant via le service client WebDAV (Web Distributed Authoring and Versioning). Après avoir appliqué cette solution de contournement, il est toujours possible pour les attaquants distants qui parviennent à exploiter cette vulnérabilité de forcer le système à exécuter des programmes situés sur l'ordinateur de l'utilisateur ciblé ou sur le réseau local (LAN), mais les utilisateurs seront invités à confirmer avant l'ouverture de programmes arbitraires à partir d'Internet.

  Pour désactiver le service WebClient, procédez comme suit :

  1. Cliquez sur Démarrer, puis sur Exécuter, tapez « Services.msc » puis cliquez sur OK.
  2. Cliquez avec le bouton droit sur le service WebClient et sélectionnez Propriétés.
  3. Modifiez le type de démarrage en Désactivé. Si le service s'exécute, cliquez sur Arrêter.
  4. Cliquez sur OK et quittez la console de gestion.

  Impact de cette solution de contournement. La désactivation du service WebClient empêche la transmission des requêtes WebDAV (Web Distributed Authoring and Versioning). Par ailleurs, les services qui en dépendent explicitement ne démarreront pas et un message d'erreur sera consigné dans le journal des événements système. Par exemple, les partages WebDAV seront inaccessibles à partir de l'ordinateur client.

  Comment annuler la solution de contournement.

  Pour réactiver le service WebClient, procédez comme suit :

  1. Cliquez sur Démarrer, puis sur Exécuter, tapez « Services.msc » puis cliquez sur OK.
  2. Cliquez avec le bouton droit sur le service WebClient et sélectionnez Propriétés.
  3. Modifiez le type de démarrage en Automatique. Si le service ne s'exécute pas, cliquez sur Démarrer.
  4. Cliquez sur OK et quittez la console de gestion.
• Bloquer les ports TCP 139 et 445 au niveau du pare-feu

  Ces ports servent à établir une connexion au composant affecté. En bloquant les ports TCP 139 et 445 au niveau du pare-feu, vous protégerez les systèmes situés derrière ce pare-feu des tentatives d'exploitation de cette vulnérabilité. Microsoft vous recommande de bloquer toute communication entrante non sollicitée en provenance d'Internet, afin de renforcer la protection contre des attaques qui pourraient utiliser les autres ports. Pour obtenir plus d'informations sur les ports, consultez l'article TechNet consacré aux affectations de port TCP et UDP (en anglais).

  Impact de cette solution de contournement. Plusieurs services Windows utilisent ces ports. Bloquer ces ports peut entraîner un dysfonctionnement de certaines applications ou services. Certaines applications pouvant être affectées sont répertoriées ci-dessous :

  • Applications qui utilisent SMB (CIFS)
  • Applications utilisant des mailslots ou des canaux nommés (named pipes) (RPC sur SMB)
  • Serveur (Partage de fichier et d'impression)
  • Stratégie de groupe
  • Ouverture de session réseau
  • Système de fichiers distribués (DFS)
  • Gestion de licences Terminal Server
  • Spouleur d'impression
  • Explorateur d'ordinateur
  • Localisateur d'appels de procédure distante (RPC)
  • Service de télécopie
  • Service d'indexation
  • Journaux et alertes de performances
  • Systems Management Server
  • Service d'enregistrement de licence

  Comment annuler la solution de contournement. Autorisez les ports TCP 139 et 445 au niveau du pare-feu. Pour plus d'informations sur les ports, consultez Affectations de port TCP et UDP.

Quelle est la portée de cette vulnérabilité ?  
Il s'agit d'une vulnérabilité d'exécution de code à distance. Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Quelle est la cause de cette vulnérabilité ?  
Lorsqu'Internet Explorer tente d'invoquer l'application associée au gestionnaire d'URI telnet, un binaire personnalisé peut être chargé, pouvant ainsi permettre l'exécution de code arbitraire dans le contexte de l'utilisateur connecté.

Que pourrait faire un attaquant en exploitant cette vulnérabilité ?  
Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits qu'un utilisateur connecté. Si l'utilisateur a ouvert une session avec des privilèges d'administrateur, un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral d'un système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges.

Comment un attaquant pourrait-il exploiter cette vulnérabilité ?  
Un attaquant pourrait héberger un site Web malveillant conçu pour exploiter cette vulnérabilité via Internet Explorer, puis inciter un utilisateur à consulter ce site Web. L'attaquant pourrait également exploiter des sites Web compromis et des sites Web qui acceptent ou hébergent du contenu ou des annonces fournis par l'utilisateur. Ces sites Web pourraient contenir du code spécialement conçu capable d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à afficher le contenu contrôlé par l'attaquant. Il devrait l'inciter à prendre des mesures, généralement en cliquant sur un lien dans un message électronique ou dans un message instantané qui mène à son site ou en ouvrant une pièce jointe à un message électronique.

Quels sont les systèmes les plus exposés à cette vulnérabilité ?  
Cette vulnérabilité permet l'exécution d'une action nuisible si et seulement si un utilisateur a ouvert une session et consulte un site Web. C'est pourquoi les systèmes sur lesquels Internet Explorer est fréquemment utilisé (comme les postes de travail des utilisateurs ou les serveurs Terminal Server) sont les plus exposés à cette vulnérabilité.

Que fait cette mise à jour ?  
Cette mise à jour corrige la vulnérabilité en modifiant la façon le gestionnaire telnet exécute l'application associée.

Lors de la parution de ce Bulletin de sécurité, cette vulnérabilité avait-elle été dévoilée ?  
Non. Microsoft a été informé de cette vulnérabilité par une divulgation de vulnérabilité coordonnée.

Lors de la parution de ce Bulletin de sécurité, Microsoft avait-il été informé d'une éventuelle exploitation de cette vulnérabilité ?  
Non. Lors de la première publication de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de cette vulnérabilité dans le but d'attaquer des clients.

Une atténuation fait référence à un paramètre, une configuration générale ou à des préférences existant dans un état par défaut qui pourraient diminuer l'impact de l'exploitation d'une vulnérabilité. Les facteurs atténuants suivants peuvent être utiles, selon votre situation :

• Dans le cas d'une attaque Web, l'attaquant devrait héberger un site Web qui contiendrait une page Web spécialement conçue pour exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent des contenus ou des annonces provenant d'utilisateurs pourraient contenir un contenu malveillant susceptible d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site.
• Par défaut, toutes les versions en cours de support de Microsoft Outlook, Microsoft Outlook Express et Windows Mail ouvrent les messages au format HTML dans la zone Sites sensibles, ce qui désactive les scripts et les contrôles ActiveX, permettant ainsi de réduire le risque qu'un attaquant puisse utiliser cette vulnérabilité pour exécuter du code malveillant. En cliquant sur un lien figurant dans un message électronique, l'utilisateur s'expose toujours à une attaque Web exploitant cette vulnérabilité.
• Par défaut, Internet Explorer sur Windows Server 2003, Windows Server 2008 et Windows Server 2008 R2 s'exécutent selon un mode restreint appelé Configuration de sécurité renforcée. Ce mode permet d'atténuer cette vulnérabilité. Pour plus d'informations sur la Configuration de sécurité renforcée d'Internet Explorer, reportez-vous à la section Forum aux questions de cette vulnérabilité.

Une solution de contournement fait référence à une modification de paramètre ou de configuration qui ne corrige pas la vulnérabilité sous-jacente mais qui pourrait contribuer à bloquer certains vecteurs d'attaque connus jusqu'à ce que la mise à jour soit appliquée. Microsoft a testé les solutions de contournement suivantes et indique le cas échéant si une solution réduit certaines fonctionnalités :

• Définissez les paramètres des zones Intranet local et Internet sur la valeur « Élevé » afin de bloquer les contrôles ActiveX et Active Scripting dans ces zones

  Vous pouvez vous protéger contre cette vulnérabilité en modifiant les paramètres de la zone de sécurité Internet afin de bloquer les contrôles ActiveX et Active Scripting. Réglez la sécurité de votre navigateur sur la valeur Élevé.

  Pour augmenter le niveau de sécurité de navigation dans Internet Explorer, exécutez les étapes suivantes :

  1. Dans le menu Outils d'Internet Explorer, cliquez sur Options Internet.
  2. Dans la boîte de dialogue Options Internet, cliquez sur l'onglet Sécurité, puis sur l'icône Internet.
  3. Sous Niveau de sécurité pour cette zone, positionnez le curseur sur Élevé. Cela définit un niveau de sécurité élevé pour tous les sites Web que vous visitez.

  Remarque : Si aucun curseur n'est visible, cliquez sur Niveau par défaut, puis déplacez le curseur sur Élevé.

  Remarque : La définition du niveau de sécurité sur Élevé risque de perturber le fonctionnement de certains sites Web. Si vous rencontrez des difficultés lors de la visite d'un site Web après avoir modifié ce paramètre et que vous êtes certain de la fiabilité de ce site, vous pouvez ajouter ce dernier à votre liste de sites de confiance. Cela permettra à ce site de s'afficher correctement même si le niveau de sécurité est défini sur Élevé.

  Impact de cette solution de contournement. Le blocage des contrôles ActiveX et d'Active Scripting comporte des effets secondaires. De nombreux sites Web situés sur Internet ou sur un Intranet utilisent ActiveX ou Active Scripting pour offrir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peuvent utiliser des contrôles ActiveX pour proposer des menus, des bons de commande ou même des relevés de compte. Le blocage des contrôles ActiveX ou d'Active Scripting est un paramètre global qui affecte tous les sites Internet et Intranet. Si vous ne voulez pas bloquer les contrôles ActiveX ou Active Scripting pour ces sites, suivez les étapes décrites dans la section « Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer ».

  Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer

  Après avoir configuré Internet Explorer afin de bloquer les contrôles ActiveX et Active Scripting dans les zones Internet et Intranet local, vous pouvez ajouter des sites de confiance dans la zone Sites de confiance d'Internet Explorer. Cette opération vous permettra de continuer à utiliser vos sites de confiance exactement comme vous le faites aujourd'hui, tout en vous protégeant contre cette attaque sur les autres sites. Nous vous recommandons d'ajouter uniquement des sites de confiance à la zone Sites de confiance.

  Pour ce faire, procédez ainsi :

  1. Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l'onglet Sécurité.
  2. Dans la zone Sélectionnez une zone de contenu Web pour spécifier ses paramètres de sécurité, cliquez sur Sites de confiance, puis sur Sites.
  3. Si vous souhaitez ajouter des sites qui ne requièrent pas un canal chiffré, désactivez la case à cocher Nécessite un serveur sécurisé (https:) pour tous les sites dans cette zone.
  4. Dans la zone Ajouter ce site Web à la zone, saisissez l'URL d'un site de confiance, puis cliquez sur Ajouter.
  5. Répétez ces étapes pour chaque site que vous souhaitez ajouter à cette zone.
  6. Cliquez sur OK à deux reprises pour accepter les modifications et retourner dans Internet Explorer.

  Remarque : Ajoutez les sites dont vous savez qu'ils n'effectueront pas d'action malveillante sur votre système. Vous pouvez notamment ajouter les sites « *.windowsupdate.microsoft.com » et « *.update.microsoft.com ». Il s'agit des sites qui hébergent la mise à jour et ils requièrent un contrôle ActiveX pour leur installation.

• Configurer Internet Explorer de manière à ce qu'il désactive Active Scripting ou à ce qu'il vous avertisse avant de l'exécuter dans la zone de sécurité Intranet local et Internet.

  Vous pouvez vous protéger contre cette vulnérabilité en modifiant vos paramètres afin d'être averti avant l'exécution d'Active Scripting ou afin de désactiver Active Scripting dans les zones de sécurité Intranet local et Internet. Pour ce faire, procédez ainsi :

  1. Dans Internet Explorer, cliquez sur Options Internet dans le menu Outils.
  2. Cliquez sur l'onglet Sécurité.
  3. Cliquez sur Internet, puis sur Personnaliser le niveau.
  4. Sous Paramètres, dans la section Script, sous Active Scripting, cliquez sur Demander ou Désactiver, puis sur OK.
  5. Cliquez sur Intranet local, puis sur Personnaliser le niveau.
  6. Sous Paramètres, dans la section Script, sous Active Scripting, cliquez sur Demander ou Désactiver, puis sur OK.
  7. Cliquez sur OK à deux reprises pour retourner dans Internet Explorer.

  Remarque : La désactivation d'Active Scripting dans les zones de sécurité Intranet local et Internet risque de perturber le fonctionnement de certains sites Web. Si vous rencontrez des difficultés lors de la visite d'un site Web après avoir modifié ce paramètre et que vous êtes certain de la fiabilité de ce site, vous pouvez ajouter ce dernier à votre liste de sites de confiance. Il pourra ainsi s'afficher correctement.

  Impact de cette solution de contournement. L'affichage d'un message de confirmation avant l'exécution d'Active Scripting comporte des effets secondaires. De nombreux sites Web situés sur Internet ou sur un Intranet utilisent Active Scripting pour offrir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peuvent utiliser Active Scripting pour proposer des menus, des bons de commande ou même des relevés de compte. L'affichage d'un message de confirmation avant l'exécution d'Active Scripting est un paramètre global qui affecte tous les sites Internet et Intranet. De nombreux messages s'affichent lorsque vous mettez en œuvre cette solution de contournement. Pour chacun d'eux, si vous pensez que le site que vous visitez est un site de confiance, cliquez sur Oui afin d'exécuter Active Scripting. Si vous ne voulez pas recevoir d'invite pour tous ces sites, suivez les étapes décrites dans la section « Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer ».

  Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer

  Après avoir configuré Internet Explorer de telle sorte que des messages de confirmation s'affichent avant l'exécution des contrôles ActiveX et d'Active Scripting dans les zones Internet et Intranet local, vous pouvez ajouter des sites de confiance dans la zone Sites de confiance d'Internet Explorer. Cette opération vous permettra de continuer à utiliser vos sites de confiance exactement comme vous le faites aujourd'hui, tout en vous protégeant contre cette attaque sur les autres sites. Nous vous recommandons d'ajouter uniquement des sites de confiance à la zone Sites de confiance.

  Pour ce faire, procédez ainsi :

  1. Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l'onglet Sécurité.
  2. Dans la zone Sélectionnez une zone de contenu Web pour spécifier ses paramètres de sécurité, cliquez sur Sites de confiance, puis sur Sites.
  3. Si vous souhaitez ajouter des sites qui ne requièrent pas un canal chiffré, désactivez la case à cocher Nécessite un serveur sécurisé (https:) pour tous les sites dans cette zone.
  4. Dans la zone Ajouter ce site Web à la zone, saisissez l'URL d'un site de confiance, puis cliquez sur Ajouter.
  5. Répétez ces étapes pour chaque site que vous souhaitez ajouter à cette zone.
  6. Cliquez sur OK à deux reprises pour accepter les modifications et retourner dans Internet Explorer.

  Remarque : Ajoutez les sites dont vous savez qu'ils n'effectueront pas d'action malveillante sur votre système. Vous pouvez notamment ajouter les sites « *.windowsupdate.microsoft.com » et « *.update.microsoft.com ». Il s'agit des sites qui hébergent la mise à jour et ils requièrent un contrôle ActiveX pour leur installation.

Quelle est la portée de cette vulnérabilité ?  
Il s'agit d'une vulnérabilité de divulgation d'informations. Un attaquant qui parviendrait à exploiter cette vulnérabilité lorsqu'un utilisateur affiche une page Web et change son jeu de caractères, pourrait voir du contenu à partir de l'ordinateur local ou d'une fenêtre de navigation dans un domaine ou une zone Internet Explorer distincte du domaine ou de la zone de la page Web de l'attaquant.

Quelle est la cause de cette vulnérabilité ?  
Pendant certains processus, Internet Explorer traite de façon incorrecte certaines séquences de caractères, entraînant l'implémentation par les sites Web d'un filtrage inactif.

Que pourrait faire un attaquant en exploitant cette vulnérabilité ?  
Un attaquant qui réussirait à exploiter cette vulnérabilité pourrait afficher le contenu d'un autre domaine ou d'une autre zone Internet Explorer.

Comment un attaquant pourrait-il exploiter cette vulnérabilité ?  
Un attaquant pourrait insérer dans un site Web des chaînes conçues pour exploiter cette vulnérabilité via Internet Explorer, puis inciter un utilisateur à consulter ce site Web. Toutefois, un attaquant n'aurait aucun moyen de forcer un utilisateur à visiter ces sites Web. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène au site à contenu malveillant.

Quels sont les systèmes les plus exposés à cette vulnérabilité ?  
Cette vulnérabilité permet l'exécution d'une action malveillante si et seulement si un utilisateur consulte et effectue des actions sur un site Web. C'est pourquoi les systèmes sur lesquels Internet Explorer est fréquemment utilisé (comme les postes de travail des utilisateurs ou les serveurs Terminal Server) sont les plus exposés à cette vulnérabilité.

J'exécute Internet Explorer pour Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2. Ceci limite-t-il cette vulnérabilité ? 
Oui. Par défaut, Internet Explorer sur Windows Server 2003, Windows Server 2008 et Windows Server 2008 R2 s'exécutent selon un mode restreint appelé Configuration de sécurité renforcée. La Configuration de sécurité renforcée d'Internet Explorer est un groupe de paramètres Internet Explorer préconfigurés qui réduit le risque qu'un utilisateur ou qu'un administrateur ne télécharge et n'exécute un contenu Web spécialement conçu sur un serveur. C'est un facteur atténuant pour les sites Web qui n'ont pas été ajoutés à la zone Sites de confiance d'Internet Explorer.

Que fait cette mise à jour ?  
Cette mise à jour de sécurité corrige la vulnérabilité en modifiant la façon dont Internet Explorer affiche les données pendant certains processus.

Lors de la parution de ce Bulletin de sécurité, cette vulnérabilité avait-elle été dévoilée ?  
Oui. Cette vulnérabilité a été révélée publiquement. Elle a reçu le numéro « Common Vulnerability and Exposure » CVE-2011-1962.

Lors de la parution de ce Bulletin de sécurité, Microsoft avait-il été informé d'une éventuelle exploitation de cette vulnérabilité ?  
Non. Lors de la première publication de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de cette vulnérabilité dans le but d'attaquer des clients.

L'application de cette mise à jour de sécurité contribue-t-elle à la protection des clients du code publié qui tente d'exploiter cette vulnérabilité ?  
Oui. Cette mise à jour de sécurité corrige la vulnérabilité qui pourrait être exploitée en utilisant un tel code. Cette vulnérabilité a reçu le numéro « Common Vulnerability and Exposure » CVE-2011-1962.

Une atténuation fait référence à un paramètre, une configuration générale ou à des préférences existant dans un état par défaut qui pourraient diminuer l'impact de l'exploitation d'une vulnérabilité. Les facteurs atténuants suivants peuvent être utiles, selon votre situation :

• Dans le cas d'une attaque Web, l'attaquant devrait héberger un site Web qui contiendrait une page Web spécialement conçue pour exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent des contenus ou des annonces provenant d'utilisateurs pourraient contenir un contenu malveillant susceptible d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site.
• Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Une solution de contournement fait référence à une modification de paramètre ou de configuration qui ne corrige pas la vulnérabilité sous-jacente mais qui pourrait contribuer à bloquer certains vecteurs d'attaque connus jusqu'à ce que la mise à jour soit appliquée. Microsoft a testé les solutions de contournement suivantes et indique le cas échéant si une solution réduit certaines fonctionnalités :

• Lecture des messages électroniques au format texte brut

  Pour vous protéger contre le vecteur d'attaque par message électronique, lisez les messages électroniques au format texte brut.

  Microsoft Outlook 2003, Microsoft Outlook 2007 et Microsoft Outlook 2010 fournissent une option de lecture des messages électroniques au format texte brut. Pour plus d'informations sur l'option Lire tous les messages standard au format texte brut, consultez l'Article 831607 de la Base de connaissances Microsoft.

  Les utilisateurs de Microsoft Outlook 2002 ayant appliqué Office XP Service Pack 1 ou une version ultérieure et les utilisateurs d'Outlook Express 6 ayant appliqué Internet Explorer 6 Service Pack 1 ou une version ultérieure peuvent activer une fonctionnalité qui interdit d'afficher autrement qu'en format texte brut les messages qui ne sont ni chiffrés, ni signés numériquement.

  Les messages signés numériquement ou chiffrés ne sont pas affectés par ce paramètre et peuvent être lus dans leur format d'origine. Pour plus d'informations sur l'activation de ce paramètre dans Outlook 2002, consultez l'Article 307594 de la Base de connaissances Microsoft.

  Pour obtenir des informations sur ce paramètre dans Outlook Express 6, consultez l'Article 291387 de la Base de connaissances Microsoft.

  Impact de cette solution de contournement. Les messages lus au format texte brut ne contiendront pas d'images, de polices spécifiques, d'animations ou d'autres contenus riches. En outre :

  • Les modifications sont appliquées au volet de visualisation et aux messages ouverts.
  • Les images sont transformées en pièces jointes pour ne pas être perdues.
  • Le message demeurant au format RTF (Rich Text Format) ou HTML dans le magasin, le modèle objet (solutions de code personnalisées) peut se comporter de façon inattendue.

Quelle est la portée de cette vulnérabilité ?  
Il s'agit d'une vulnérabilité d'exécution de code à distance. Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Quelle est la cause de cette vulnérabilité ?  
Lorsqu'Internet Explorer tente d'accéder à un objet qui n'a pas été initialisé ou qui a été supprimé, il se peut qu'il corrompe la mémoire d'une façon permettant à un attaquant d'exécuter du code arbitraire dans le contexte de l'utilisateur connecté.

Que pourrait faire un attaquant en exploitant cette vulnérabilité ?  
Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits qu'un utilisateur connecté. Si l'utilisateur a ouvert une session avec des privilèges d'administrateur, un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral d'un système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges.

Comment un attaquant pourrait-il exploiter cette vulnérabilité ?  
Un attaquant pourrait héberger un site Web malveillant conçu pour exploiter cette vulnérabilité via Internet Explorer, puis inciter un utilisateur à consulter ce site Web. Un attaquant pourrait également intégrer un contrôle ActiveX marqué « sûr pour l'initialisation » à une application ou à un document Microsoft Office qui héberge le moteur de rendu d'IE. L'attaquant pourrait également exploiter des sites Web compromis et des sites Web qui acceptent ou hébergent du contenu ou des annonces fournis par l'utilisateur. Ces sites Web pourraient contenir du code spécialement conçu capable d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à afficher le contenu contrôlé par l'attaquant. Il devrait l'inciter à prendre des mesures, généralement en cliquant sur un lien dans un message électronique ou dans un message instantané qui mène à son site ou en ouvrant une pièce jointe à un message électronique.

Quels sont les systèmes les plus exposés à cette vulnérabilité ?  
Les systèmes sur lesquels Internet Explorer est fréquemment utilisé (comme les postes de travail ou les serveurs Terminal Server) sont les plus exposés à cette vulnérabilité.

Que fait cette mise à jour ?  
Cette mise à jour de sécurité corrige la vulnérabilité en modifiant la façon dont Internet Explorer traite les objets en mémoire.

Lors de la parution de ce Bulletin de sécurité, cette vulnérabilité avait-elle été dévoilée ?  
Non. Microsoft a été informé de cette vulnérabilité par une divulgation de vulnérabilité coordonnée.

Lors de la parution de ce Bulletin de sécurité, Microsoft avait-il été informé d'une éventuelle exploitation de cette vulnérabilité ?  
Non. Lors de la première publication de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de cette vulnérabilité dans le but d'attaquer des clients.

Une atténuation fait référence à un paramètre, une configuration générale ou à des préférences existant dans un état par défaut qui pourraient diminuer l'impact de l'exploitation d'une vulnérabilité. Les facteurs atténuants suivants peuvent être utiles, selon votre situation :

• Dans le cas d'une attaque Web, un attaquant pourrait héberger un site Web malveillant conçu pour exploiter cette vulnérabilité via Internet Explorer, puis inciter un utilisateur à consulter ce site Web. Un attaquant pourrait également intégrer un contrôle ActiveX marqué « sûr pour l'initialisation » à une application ou à un document Microsoft Office qui héberge le moteur de rendu d'IE. L'attaquant pourrait également exploiter des sites Web compromis et des sites Web qui acceptent ou hébergent du contenu ou des annonces fournis par l'utilisateur. Ces sites Web pourraient contenir du code spécialement conçu capable d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à afficher le contenu contrôlé par l'attaquant. Il devrait l'inciter à prendre des mesures, généralement en cliquant sur un lien dans un message électronique ou dans un message instantané qui mène à son site ou en ouvrant une pièce jointe à un message électronique.
• Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
• Par défaut, toutes les versions en cours de support de Microsoft Outlook, Microsoft Outlook Express et Windows Mail ouvrent les messages au format HTML dans la zone Sites sensibles, ce qui désactive les scripts et les contrôles ActiveX, permettant ainsi de réduire le risque qu'un attaquant puisse utiliser cette vulnérabilité pour exécuter du code malveillant. En cliquant sur un lien figurant dans un message électronique, l'utilisateur s'expose toujours à une attaque Web exploitant cette vulnérabilité.
• Par défaut, Internet Explorer sur Windows Server 2003, Windows Server 2008 et Windows Server 2008 R2 s'exécutent selon un mode restreint appelé Configuration de sécurité renforcée. Ce mode permet d'atténuer cette vulnérabilité. Pour plus d'informations sur la Configuration de sécurité renforcée d'Internet Explorer, reportez-vous à la section Forum aux questions de cette vulnérabilité.

Une solution de contournement fait référence à une modification de paramètre ou de configuration qui ne corrige pas la vulnérabilité sous-jacente mais qui pourrait contribuer à bloquer certains vecteurs d'attaque connus jusqu'à ce que la mise à jour soit appliquée. Microsoft a testé les solutions de contournement suivantes et indique le cas échéant si une solution réduit certaines fonctionnalités :

• Définissez les paramètres des zones Intranet local et Internet sur la valeur « Élevé » afin de bloquer les contrôles ActiveX et Active Scripting dans ces zones

  Vous pouvez vous protéger contre cette vulnérabilité en modifiant les paramètres de la zone de sécurité Internet afin de bloquer les contrôles ActiveX et Active Scripting. Réglez la sécurité de votre navigateur sur la valeur Élevé.

  Pour augmenter le niveau de sécurité de navigation dans Internet Explorer, exécutez les étapes suivantes :

  1. Dans le menu Outils d'Internet Explorer, cliquez sur Options Internet.
  2. Dans la boîte de dialogue Options Internet, cliquez sur l'onglet Sécurité, puis sur l'icône Internet.
  3. Sous Niveau de sécurité pour cette zone, positionnez le curseur sur Élevé. Cela définit un niveau de sécurité élevé pour tous les sites Web que vous visitez.

  Remarque : Si aucun curseur n'est visible, cliquez sur Niveau par défaut, puis déplacez le curseur sur Élevé.

  Remarque : La définition du niveau de sécurité sur Élevé risque de perturber le fonctionnement de certains sites Web. Si vous rencontrez des difficultés lors de la visite d'un site Web après avoir modifié ce paramètre et que vous êtes certain de la fiabilité de ce site, vous pouvez ajouter ce dernier à votre liste de sites de confiance. Cela permettra à ce site de s'afficher correctement même si le niveau de sécurité est défini sur Élevé.

  Impact de cette solution de contournement. Le blocage des contrôles ActiveX et d'Active Scripting comporte des effets secondaires. De nombreux sites Web situés sur Internet ou sur un Intranet utilisent ActiveX ou Active Scripting pour offrir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peuvent utiliser des contrôles ActiveX pour proposer des menus, des bons de commande ou même des relevés de compte. Le blocage des contrôles ActiveX ou d'Active Scripting est un paramètre global qui affecte tous les sites Internet et Intranet. Si vous ne voulez pas bloquer les contrôles ActiveX ou Active Scripting pour ces sites, suivez les étapes décrites dans la section « Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer ».

  Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer

  Après avoir configuré Internet Explorer afin de bloquer les contrôles ActiveX et Active Scripting dans les zones Internet et Intranet local, vous pouvez ajouter des sites de confiance dans la zone Sites de confiance d'Internet Explorer. Cette opération vous permettra de continuer à utiliser vos sites de confiance exactement comme vous le faites aujourd'hui, tout en vous protégeant contre cette attaque sur les autres sites. Nous vous recommandons d'ajouter uniquement des sites de confiance à la zone Sites de confiance.

  Pour ce faire, procédez ainsi :

  1. Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l'onglet Sécurité.
  2. Dans la zone Sélectionnez une zone de contenu Web pour spécifier ses paramètres de sécurité, cliquez sur Sites de confiance, puis sur Sites.
  3. Si vous souhaitez ajouter des sites qui ne requièrent pas un canal chiffré, désactivez la case à cocher Nécessite un serveur sécurisé (https:) pour tous les sites dans cette zone.
  4. Dans la zone Ajouter ce site Web à la zone, saisissez l'URL d'un site de confiance, puis cliquez sur Ajouter.
  5. Répétez ces étapes pour chaque site que vous souhaitez ajouter à cette zone.
  6. Cliquez sur OK à deux reprises pour accepter les modifications et retourner dans Internet Explorer.

  Remarque : Ajoutez les sites dont vous savez qu'ils n'effectueront pas d'action malveillante sur votre système. Vous pouvez notamment ajouter les sites « *.windowsupdate.microsoft.com » et « *.update.microsoft.com ». Il s'agit des sites qui hébergent la mise à jour et ils requièrent un contrôle ActiveX pour leur installation.

• Configurer Internet Explorer de manière à ce qu'il désactive Active Scripting ou à ce qu'il vous avertisse avant de l'exécuter dans la zone de sécurité Intranet local et Internet.

  Vous pouvez vous protéger contre cette vulnérabilité en modifiant vos paramètres afin d'être averti avant l'exécution d'Active Scripting ou afin de désactiver Active Scripting dans les zones de sécurité Intranet local et Internet. Pour ce faire, procédez ainsi :

  1. Dans Internet Explorer, cliquez sur Options Internet dans le menu Outils.
  2. Cliquez sur l'onglet Sécurité.
  3. Cliquez sur Internet, puis sur Personnaliser le niveau.
  4. Sous Paramètres, dans la section Script, sous Active Scripting, cliquez sur Demander ou Désactiver, puis sur OK.
  5. Cliquez sur Intranet local, puis sur Personnaliser le niveau.
  6. Sous Paramètres, dans la section Script, sous Active Scripting, cliquez sur Demander ou Désactiver, puis sur OK.
  7. Cliquez sur OK à deux reprises pour retourner dans Internet Explorer.

  Remarque : La désactivation d'Active Scripting dans les zones de sécurité Intranet local et Internet risque de perturber le fonctionnement de certains sites Web. Si vous rencontrez des difficultés lors de la visite d'un site Web après avoir modifié ce paramètre et que vous êtes certain de la fiabilité de ce site, vous pouvez ajouter ce dernier à votre liste de sites de confiance. Il pourra ainsi s'afficher correctement.

  Impact de cette solution de contournement. L'affichage d'un message de confirmation avant l'exécution d'Active Scripting comporte des effets secondaires. De nombreux sites Web situés sur Internet ou sur un Intranet utilisent Active Scripting pour offrir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peuvent utiliser Active Scripting pour proposer des menus, des bons de commande ou même des relevés de compte. L'affichage d'un message de confirmation avant l'exécution d'Active Scripting est un paramètre global qui affecte tous les sites Internet et Intranet. De nombreux messages s'affichent lorsque vous mettez en œuvre cette solution de contournement. Pour chacun d'eux, si vous pensez que le site que vous visitez est un site de confiance, cliquez sur Oui afin d'exécuter Active Scripting. Si vous ne voulez pas recevoir d'invite pour tous ces sites, suivez les étapes décrites dans la section « Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer ».

  Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer

  Après avoir configuré Internet Explorer de telle sorte que des messages de confirmation s'affichent avant l'exécution des contrôles ActiveX et d'Active Scripting dans les zones Internet et Intranet local, vous pouvez ajouter des sites de confiance dans la zone Sites de confiance d'Internet Explorer. Cette opération vous permettra de continuer à utiliser vos sites de confiance exactement comme vous le faites aujourd'hui, tout en vous protégeant contre cette attaque sur les autres sites. Nous vous recommandons d'ajouter uniquement des sites de confiance à la zone Sites de confiance.

  Pour ce faire, procédez ainsi :

  1. Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l'onglet Sécurité.
  2. Dans la zone Sélectionnez une zone de contenu Web pour spécifier ses paramètres de sécurité, cliquez sur Sites de confiance, puis sur Sites.
  3. Si vous souhaitez ajouter des sites qui ne requièrent pas un canal chiffré, désactivez la case à cocher Nécessite un serveur sécurisé (https:) pour tous les sites dans cette zone.
  4. Dans la zone Ajouter ce site Web à la zone, saisissez l'URL d'un site de confiance, puis cliquez sur Ajouter.
  5. Répétez ces étapes pour chaque site que vous souhaitez ajouter à cette zone.
  6. Cliquez sur OK à deux reprises pour accepter les modifications et retourner dans Internet Explorer.

  Remarque : Ajoutez les sites dont vous savez qu'ils n'effectueront pas d'action malveillante sur votre système. Vous pouvez notamment ajouter les sites « *.windowsupdate.microsoft.com » et « *.update.microsoft.com ». Il s'agit des sites qui hébergent la mise à jour et ils requièrent un contrôle ActiveX pour leur installation.

Quelle est la portée de cette vulnérabilité ?  
Il s'agit d'une vulnérabilité d'exécution de code à distance. Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Quelle est la cause de cette vulnérabilité ?  
Lorsqu'Internet Explorer tente d'accéder à un objet qui n'a pas été initialisé ou qui a été supprimé, il se peut qu'il corrompe la mémoire d'une façon permettant à un attaquant d'exécuter du code arbitraire dans le contexte de l'utilisateur connecté.

Que pourrait faire un attaquant en exploitant cette vulnérabilité ?  
Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits qu'un utilisateur connecté. Si l'utilisateur a ouvert une session avec des privilèges d'administrateur, un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral d'un système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges.

Comment un attaquant pourrait-il exploiter cette vulnérabilité ?  
Un attaquant pourrait héberger un site Web malveillant conçu pour exploiter cette vulnérabilité via Internet Explorer, puis inciter un utilisateur à consulter ce site Web. Un attaquant pourrait également intégrer un contrôle ActiveX marqué « sûr pour l'initialisation » à une application ou à un document Microsoft Office qui héberge le moteur de rendu d'IE. L'attaquant pourrait également exploiter des sites Web compromis et des sites Web qui acceptent ou hébergent du contenu ou des annonces fournis par l'utilisateur. Ces sites Web pourraient contenir du code spécialement conçu capable d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à afficher le contenu contrôlé par l'attaquant. Il devrait l'inciter à prendre des mesures, généralement en cliquant sur un lien dans un message électronique ou dans un message instantané qui mène à son site ou en ouvrant une pièce jointe à un message électronique.

Quels sont les systèmes les plus exposés à cette vulnérabilité ?  
Les systèmes sur lesquels Internet Explorer est fréquemment utilisé (comme les postes de travail ou les serveurs Terminal Server) sont les plus exposés à cette vulnérabilité.

J'exécute Internet Explorer pour Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2. Ceci limite-t-il cette vulnérabilité ? 
Oui. Par défaut, Internet Explorer sur Windows Server 2003, Windows Server 2008 et Windows Server 2008 R2 s'exécutent selon un mode restreint appelé Configuration de sécurité renforcée. La Configuration de sécurité renforcée d'Internet Explorer est un groupe de paramètres Internet Explorer préconfigurés qui réduit le risque qu'un utilisateur ou qu'un administrateur ne télécharge et n'exécute un contenu Web spécialement conçu sur un serveur. C'est un facteur atténuant pour les sites Web qui n'ont pas été ajoutés à la zone Sites de confiance d'Internet Explorer.

Que fait cette mise à jour ?  
Cette mise à jour de sécurité corrige la vulnérabilité en modifiant la façon dont Internet Explorer traite les objets en mémoire.

Lors de la parution de ce Bulletin de sécurité, cette vulnérabilité avait-elle été dévoilée ?  
Non. Microsoft a été informé de cette vulnérabilité par une divulgation de vulnérabilité coordonnée.

Lors de la parution de ce Bulletin de sécurité, Microsoft avait-il été informé d'une éventuelle exploitation de cette vulnérabilité ?  
Non. Lors de la première publication de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de cette vulnérabilité dans le but d'attaquer des clients.

Une atténuation fait référence à un paramètre, une configuration générale ou à des préférences existant dans un état par défaut qui pourraient diminuer l'impact de l'exploitation d'une vulnérabilité. Les facteurs atténuants suivants peuvent être utiles, selon votre situation :

• Dans le cas d'une attaque Web, l'attaquant devrait héberger un site Web qui contiendrait une page Web spécialement conçue pour exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent des contenus ou des annonces provenant d'utilisateurs pourraient contenir un contenu malveillant susceptible d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web et à effectuer une opération de glisser-déplacer. Un attaquant devrait convaincre les utilisateurs de visiter ce site Web, généralement en les incitant à cliquer sur un lien dans un message électronique ou un message instantané menant à son site, puis d'effectuer une opération de glisser-déplacer.
• Par défaut, toutes les versions en cours de support de Microsoft Outlook, Microsoft Outlook Express et Windows Mail ouvrent les messages au format HTML dans la zone Sites sensibles, ce qui désactive les scripts et les contrôles ActiveX, permettant ainsi de réduire le risque qu'un attaquant puisse utiliser cette vulnérabilité pour exécuter du code malveillant. En cliquant sur un lien figurant dans un message électronique, l'utilisateur s'expose toujours à une attaque Web exploitant cette vulnérabilité.
• Par défaut, Internet Explorer sur Windows Server 2003, Windows Server 2008 et Windows Server 2008 R2 s'exécutent selon un mode restreint appelé Configuration de sécurité renforcée. Ce mode permet d'atténuer cette vulnérabilité. Pour plus d'informations sur la Configuration de sécurité renforcée d'Internet Explorer, reportez-vous à la section Forum aux questions de cette vulnérabilité.

Une solution de contournement fait référence à une modification de paramètre ou de configuration qui ne corrige pas la vulnérabilité sous-jacente mais qui pourrait contribuer à bloquer certains vecteurs d'attaque connus jusqu'à ce que la mise à jour soit appliquée. Microsoft a testé les solutions de contournement suivantes et indique le cas échéant si une solution réduit certaines fonctionnalités :

• Définissez les paramètres des zones Intranet local et Internet sur la valeur « Élevé » afin de bloquer les contrôles ActiveX et Active Scripting dans ces zones

  Vous pouvez vous protéger contre cette vulnérabilité en modifiant les paramètres de la zone de sécurité Internet afin de bloquer les contrôles ActiveX et Active Scripting. Réglez la sécurité de votre navigateur sur la valeur Élevé.

  Pour augmenter le niveau de sécurité de navigation dans Internet Explorer, exécutez les étapes suivantes :

  1. Dans le menu Outils d'Internet Explorer, cliquez sur Options Internet.
  2. Dans la boîte de dialogue Options Internet, cliquez sur l'onglet Sécurité, puis sur l'icône Internet.
  3. Sous Niveau de sécurité pour cette zone, positionnez le curseur sur Élevé. Cela définit un niveau de sécurité élevé pour tous les sites Web que vous visitez.

  Remarque : Si aucun curseur n'est visible, cliquez sur Niveau par défaut, puis déplacez le curseur sur Élevé.

  Remarque : La définition du niveau de sécurité sur Élevé risque de perturber le fonctionnement de certains sites Web. Si vous rencontrez des difficultés lors de la visite d'un site Web après avoir modifié ce paramètre et que vous êtes certain de la fiabilité de ce site, vous pouvez ajouter ce dernier à votre liste de sites de confiance. Cela permettra à ce site de s'afficher correctement même si le niveau de sécurité est défini sur Élevé.

  Impact de cette solution de contournement. Le blocage des contrôles ActiveX et d'Active Scripting comporte des effets secondaires. De nombreux sites Web situés sur Internet ou sur un Intranet utilisent ActiveX ou Active Scripting pour offrir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peuvent utiliser des contrôles ActiveX pour proposer des menus, des bons de commande ou même des relevés de compte. Le blocage des contrôles ActiveX ou d'Active Scripting est un paramètre global qui affecte tous les sites Internet et Intranet. Si vous ne voulez pas bloquer les contrôles ActiveX ou Active Scripting pour ces sites, suivez les étapes décrites dans la section « Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer ».

  Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer

  Après avoir configuré Internet Explorer afin de bloquer les contrôles ActiveX et Active Scripting dans les zones Internet et Intranet local, vous pouvez ajouter des sites de confiance dans la zone Sites de confiance d'Internet Explorer. Cette opération vous permettra de continuer à utiliser vos sites de confiance exactement comme vous le faites aujourd'hui, tout en vous protégeant contre cette attaque sur les autres sites. Nous vous recommandons d'ajouter uniquement des sites de confiance à la zone Sites de confiance.

  Pour ce faire, procédez ainsi :

  1. Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l'onglet Sécurité.
  2. Dans la zone Sélectionnez une zone de contenu Web pour spécifier ses paramètres de sécurité, cliquez sur Sites de confiance, puis sur Sites.
  3. Si vous souhaitez ajouter des sites qui ne requièrent pas un canal chiffré, désactivez la case à cocher Nécessite un serveur sécurisé (https:) pour tous les sites dans cette zone.
  4. Dans la zone Ajouter ce site Web à la zone, saisissez l'URL d'un site de confiance, puis cliquez sur Ajouter.
  5. Répétez ces étapes pour chaque site que vous souhaitez ajouter à cette zone.
  6. Cliquez sur OK à deux reprises pour accepter les modifications et retourner dans Internet Explorer.

  Remarque : Ajoutez les sites dont vous savez qu'ils n'effectueront pas d'action malveillante sur votre système. Vous pouvez notamment ajouter les sites « *.windowsupdate.microsoft.com » et « *.update.microsoft.com ». Il s'agit des sites qui hébergent la mise à jour et ils requièrent un contrôle ActiveX pour leur installation.

• Configurer Internet Explorer de manière à ce qu'il désactive Active Scripting ou à ce qu'il vous avertisse avant de l'exécuter dans la zone de sécurité Intranet local et Internet.

  Vous pouvez vous protéger contre cette vulnérabilité en modifiant vos paramètres afin d'être averti avant l'exécution d'Active Scripting ou afin de désactiver Active Scripting dans les zones de sécurité Intranet local et Internet. Pour ce faire, procédez ainsi :

  1. Dans Internet Explorer, cliquez sur Options Internet dans le menu Outils.
  2. Cliquez sur l'onglet Sécurité.
  3. Cliquez sur Internet, puis sur Personnaliser le niveau.
  4. Sous Paramètres, dans la section Script, sous Active Scripting, cliquez sur Demander ou Désactiver, puis sur OK.
  5. Cliquez sur Intranet local, puis sur Personnaliser le niveau.
  6. Sous Paramètres, dans la section Script, sous Active Scripting, cliquez sur Demander ou Désactiver, puis sur OK.
  7. Cliquez sur OK à deux reprises pour retourner dans Internet Explorer.

  Remarque : La désactivation d'Active Scripting dans les zones de sécurité Intranet local et Internet risque de perturber le fonctionnement de certains sites Web. Si vous rencontrez des difficultés lors de la visite d'un site Web après avoir modifié ce paramètre et que vous êtes certain de la fiabilité de ce site, vous pouvez ajouter ce dernier à votre liste de sites de confiance. Il pourra ainsi s'afficher correctement.

  Impact de cette solution de contournement. L'affichage d'un message de confirmation avant l'exécution d'Active Scripting comporte des effets secondaires. De nombreux sites Web situés sur Internet ou sur un Intranet utilisent Active Scripting pour offrir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peuvent utiliser Active Scripting pour proposer des menus, des bons de commande ou même des relevés de compte. L'affichage d'un message de confirmation avant l'exécution d'Active Scripting est un paramètre global qui affecte tous les sites Internet et Intranet. De nombreux messages s'affichent lorsque vous mettez en œuvre cette solution de contournement. Pour chacun d'eux, si vous pensez que le site que vous visitez est un site de confiance, cliquez sur Oui afin d'exécuter Active Scripting. Si vous ne voulez pas recevoir d'invite pour tous ces sites, suivez les étapes décrites dans la section « Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer ».

  Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer

  Après avoir configuré Internet Explorer de telle sorte que des messages de confirmation s'affichent avant l'exécution des contrôles ActiveX et d'Active Scripting dans les zones Internet et Intranet local, vous pouvez ajouter des sites de confiance dans la zone Sites de confiance d'Internet Explorer. Cette opération vous permettra de continuer à utiliser vos sites de confiance exactement comme vous le faites aujourd'hui, tout en vous protégeant contre cette attaque sur les autres sites. Nous vous recommandons d'ajouter uniquement des sites de confiance à la zone Sites de confiance.

  Pour ce faire, procédez ainsi :

  1. Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l'onglet Sécurité.
  2. Dans la zone Sélectionnez une zone de contenu Web pour spécifier ses paramètres de sécurité, cliquez sur Sites de confiance, puis sur Sites.
  3. Si vous souhaitez ajouter des sites qui ne requièrent pas un canal chiffré, désactivez la case à cocher Nécessite un serveur sécurisé (https:) pour tous les sites dans cette zone.
  4. Dans la zone Ajouter ce site Web à la zone, saisissez l'URL d'un site de confiance, puis cliquez sur Ajouter.
  5. Répétez ces étapes pour chaque site que vous souhaitez ajouter à cette zone.
  6. Cliquez sur OK à deux reprises pour accepter les modifications et retourner dans Internet Explorer.

  Remarque : Ajoutez les sites dont vous savez qu'ils n'effectueront pas d'action malveillante sur votre système. Vous pouvez notamment ajouter les sites « *.windowsupdate.microsoft.com » et « *.update.microsoft.com ». Il s'agit des sites qui hébergent la mise à jour et ils requièrent un contrôle ActiveX pour leur installation.

• Renommer le dossier des cookies par défaut

  Avertissement : Si vous n'utilisez pas correctement l'Éditeur du Registre, vous risquez de créer de sérieux problèmes et d'avoir à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir qu'il soit possible de résoudre des problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre. L'utilisation de l'Éditeur du Registre relève de votre responsabilité.

  Nous vous conseillons de sauvegarder le Registre avant de le modifier.

  Pour renommer le dossier Cookies, exécutez les étapes suivantes pour chaque utilisateur.

  1ère partie : Créez un nouveau dossier pour les cookies, en utilisant un nom aléatoire.

  1. Quittez toutes les fenêtres et tous les processus Internet Explorer.
  2. Sur un ordinateur qui exécute Windows Vista, Windows Server 2008, Windows 7 ou Windows Server 2008 R2, ouvrez une fenêtre d'invite de commande, puis accédez au répertoire parent du dossier Cookies. Pour ce faire, exécutez la commande suivante :
     
     CD %USERPROFILE%\AppData\Roaming\Microsoft\Windows
     
     Sur un ordinateur qui exécute Windows XP ou Windows Server 2003, exécutez plutôt la commande suivante :
     
     CD %USERPROFILE%
  3. Créez un nouveau dossier de cookies en utilisant un nom aléatoire à huit caractères. Utilisez un mélange de lettres, chiffres et autres caractères pour le nom du dossier. Vous ne pouvez pas utiliser les caractères suivants dans le nom du dossier car ils sont propres au système d'exploitation :
     
     \ / ? : * " > < |
     
     À l'invite de commande, saisissez la commande suivante, où Nom_Dossier_Aléatoire est le nom aléatoire à huit caractères :
     
     Mkdir Nom_Dossier_Aléatoire-Cookies
     
     puis appuyez sur Entrée.

  2e partie : Copiez les fichiers de cookies actuels depuis le dossier Cookies par défaut.

  Exécutez la commande suivante à partir d'une invite de commande, où Nom_Dossier_Aléatoire est le nom de dossier à huit caractères que vous avez créé à la 1ère partie.

  • Pour Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2 :
    
    Xcopy /S /H %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies\*.* %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Nom_Dossier_Aléatoire-Cookies\
  • Pour Windows XP et Windows Server 2003 :
    
    Xcopy /S /H %USERPROFILE%\Cookies\*.* %USERPROFILE%\Nom_Dossier_Aléatoire-Cookies\

  3e partie : Modifiez l'entrée de Registre qui détermine le dossier Cookies.

  1. Cliquez sur Démarrer puis sur Exécuter, tapez regedit puis cliquez sur OK.
  2. Localisez l'entrée de Registre suivante et cliquez dessus :
     
     HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Cookies
  3. Dans le menu Édition, cliquez sur Modifier.
  4. Dans la zone de texte Données de la valeur, saisissez le texte suivant, où Nom_Dossier_Aléatoire est le nom du nouveau dossier de cookies créé précédemment :
     
     Pour Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2 :
     
     %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Nom_Dossier_Aléatoire-Cookies
     
     Pour Windows XP et Windows Server 2003 :
     
     %USERPROFILE%\Nom_Dossier_Aléatoire-Cookies
  5. Appuyez sur Entrée, puis redémarrez l'ordinateur. Cette commande libère n'importe quel fichier utilisé dans le dossier Cookies d'origine.
  6. Après le redémarrage, supprimez le contenu de l'ancien dossier Cookies. Pour ce faire, saisissez la commande suivante à l'invite, puis appuyez sur Entrée :
     
     Pour Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2 :
     
     Del /S /Q %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies\*.*
     
     Pour Windows XP et Windows Server 2003 :
     
     Del /S /Q %USERPROFILE%\Cookies\*.*
     
     Remarque : Si vous recevez un message d'erreur indiquant que le fichier index.dat ne peut pas être supprimé, vous pouvez ignorer sans risque cette erreur.

Quelle est la portée de cette vulnérabilité ?  
Il s'agit d'une vulnérabilité de divulgation d'informations. Un attaquant qui parviendrait à exploiter cette vulnérabilité lorsqu'un utilisateur affiche une page Web et effectue une opération de glisser-déplacer pourrait accéder aux fichiers de cookies enregistrés dans l'ordinateur local.

Quelle est la cause de cette vulnérabilité ?  
Internet Explorer limite de manière incorrecte l'accès aux fichiers de cookies enregistrés dans l'ordinateur local.

Que pourrait faire un attaquant en exploitant cette vulnérabilité ?  
Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait accéder aux fichiers cookies enregistrés dans l'ordinateur local.

Comment un attaquant pourrait-il exploiter cette vulnérabilité ?  
Il existe une vulnérabilité de divulgation d'informations dans Internet Explorer qui pourrait permettre à un attaquant d'accéder aux fichiers de cookies enregistrés dans l'ordinateur local. Un attaquant pourrait exploiter cette vulnérabilité en créant une page Web spécialement conçue qui pourrait autoriser la divulgation d'informations si utilisateur l'affichait et effectuait une opération de copier/coller. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait accéder aux fichiers cookies enregistrés dans l'ordinateur local.

Quels sont les systèmes les plus exposés à cette vulnérabilité ?  
Cette vulnérabilité permet l'exécution d'une action nuisible si et seulement si un utilisateur a ouvert une session, consulte un site Web et effectue une opérations de glisser/déplacer. C'est pourquoi les systèmes sur lesquels Internet Explorer est fréquemment utilisé (comme les postes de travail des utilisateurs ou les serveurs Terminal Server) sont les plus exposés à cette vulnérabilité.

J'exécute Internet Explorer pour Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2. Ceci limite-t-il cette vulnérabilité ? 
Oui. Par défaut, Internet Explorer sur Windows Server 2003, Windows Server 2008 et Windows Server 2008 R2 s'exécutent selon un mode restreint appelé Configuration de sécurité renforcée. La Configuration de sécurité renforcée d'Internet Explorer est un groupe de paramètres Internet Explorer préconfigurés qui réduit le risque qu'un utilisateur ou qu'un administrateur ne télécharge et n'exécute un contenu Web spécialement conçu sur un serveur. C'est un facteur atténuant pour les sites Web qui n'ont pas été ajoutés à la zone Sites de confiance d'Internet Explorer.

Que fait cette mise à jour ?  
Cette mise à jour corrige la vulnérabilité en modifiant la façon dont Internet Explorer accède aux fichiers enregistrés sur l'ordinateur local et gère les fichiers de cookies. Cela inclut une modification de la façon dont Internet Explorer définit les noms des fichiers de cookie afin de les rendre moins prévisibles.

Lors de la parution de ce Bulletin de sécurité, cette vulnérabilité avait-elle été dévoilée ?  
Oui. Cette vulnérabilité a été révélée publiquement. Elle a reçu le numéro « Common Vulnerability and Exposure » CVE-2011-2383.

Lors de la parution de ce Bulletin de sécurité, Microsoft avait-il été informé d'une éventuelle exploitation de cette vulnérabilité ?  
Non. Lors de la première publication de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de cette vulnérabilité dans le but d'attaquer des clients.

L'application de cette mise à jour de sécurité contribue-t-elle à la protection des clients du code publié qui tente d'exploiter cette vulnérabilité ?  
Oui. Cette mise à jour de sécurité corrige la vulnérabilité qui pourrait être exploitée en utilisant un tel code. Cette vulnérabilité a reçu le numéro « Common Vulnerability and Exposure » CVE-2011-2383.

Tableau de référence

Le tableau suivant contient les informations de mise à jour de sécurité concernant ce logiciel. Vous pouvez rechercher des informations supplémentaires dans la sous-section « Informations de déploiement » de cette section.

Remarque : La mise à jour pour les versions en cours de support de Windows XP Professionnel Édition x64 s'applique également aux versions en cours de support de Windows Server 2003 Édition x64.

Tableau de référence

Le tableau suivant contient les informations de mise à jour de sécurité concernant ce logiciel. Vous pouvez rechercher des informations supplémentaires dans la sous-section « Informations de déploiement » de cette section.

Remarque : La mise à jour pour les versions en cours de support de Windows Server 2003 Édition x64 s'applique également aux versions en cours de support de Windows XP Professionnel Édition x64.

Tableau de référence

Le tableau suivant contient les informations de mise à jour de sécurité concernant ce logiciel. Vous pouvez rechercher des informations supplémentaires dans la sous-section « Informations de déploiement » de cette section.

Tableau de référence

Le tableau suivant contient les informations de mise à jour de sécurité concernant ce logiciel. Vous pouvez rechercher des informations supplémentaires dans la sous-section « Informations de déploiement » de cette section.

Tableau de référence

Le tableau suivant contient les informations de mise à jour de sécurité concernant ce logiciel. Vous pouvez rechercher des informations supplémentaires dans la sous-section « Informations de déploiement » de cette section.

Tableau de référence

Le tableau suivant contient les informations de mise à jour de sécurité concernant ce logiciel. Vous pouvez rechercher des informations supplémentaires dans la sous-section « Informations de déploiement » de cette section.