Avis de sécurité
Conseils de sécurité Microsoft 953818
Menace combinée à partir d’une attaque combinée à l’aide de Safari d’Apple sur la plateforme Windows
Publication : 30 mai 2008 | Mise à jour : 14 avril 2009
Version : 2.0
Microsoft a examiné les rapports publics d’une menace mixte qui permet l’exécution de code à distance sur toutes les versions prises en charge de Windows XP et Windows Vista lorsque Apple Safari pour Windows a été installé. Safari n’est pas installé avec Windows XP ou Windows Vista par défaut ; elle doit être installée indépendamment ou via l’application Apple Software Update. Les clients exécutant Safari sur Windows doivent consulter cet avis.
Nous avons publié le Bulletin de sécurité Microsoft MS09-014, La mise à jour de sécurité cumulative pour Internet Explorer (963027) et MS09-015, vulnérabilité de menace mixte dans SearchPath pourrait permettre l’élévation de privilèges (959426), pour résoudre ce problème. Pour plus d’informations sur ce problème, y compris les liens de téléchargement des mises à jour de sécurité, consultez MS09-014 et MS09-015.
Le support Apple a publié un avis de sécurité qui traite de la vulnérabilité dans Safari 3.1.2 d’Apple pour Windows. Pour plus d’informations, consultez l’avis de sécurité Apple sur le contenu de sécurité de Safari 3.1.2 pour Windows .
Facteurs d’atténuation :
- Les clients qui ont modifié l’emplacement par défaut où Safari télécharge du contenu sur le lecteur local ne sont pas affectés par cette menace fusionnée.
Informations générales
Vue d’ensemble
Objectif de l’avis : fournir aux clients la notification initiale et fournir des informations supplémentaires sur l’impact sur les plateformes Windows concernées.
État de l’avis : avis publié.
Recommandation : passez en revue les actions suggérées et configurez-les selon les besoins.
| Références | Identification |
|---|---|
| Article de la Base de connaissances Microsoft | 953818 |
| Bulletin de sécurité Microsoft | MS09-014 |
| Bulletin de sécurité Microsoft | MS09-015 |
| Référence CVE | CVE-2008-2540 |
Cet avis traite du logiciel suivant.
| Logiciel associé |
|---|
| Windows XP Service Pack 2 |
| Windows XP Service Pack 3 |
| Windows XP Professionnel Édition x64 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Vista |
| Windows Vista Service Pack 1 |
| Windows Vista x64 Edition |
| Windows Vista x64 Edition Service Pack 1 |
| Internet Explorer 6 pour Windows XP Service Pack 2, Windows XP Service Pack 3, Windows XP Professional x64 Edition et Windows XP Professional x64 Edition Service Pack 2 |
| Internet Explorer 7 pour Windows XP Service Pack 2, Windows XP Service Pack 3, Windows XP Professional x64 Edition et Windows XP Professional x64 Edition Service Pack 2 |
| Internet Explorer 7 pour Windows Vista, Windows Vista Service Pack 1, Windows Vista x64 Edition et Windows Vista x64 Edition Service Pack 1 |
Forums Aux Questions (FAQ)
Quelle est la portée de l’avis ?
Cet avis précise les rapports publics d’une menace mixte qui pourrait permettre l’exécution de code à distance, affectant toutes les éditions prises en charge de Windows XP et Windows Vista. Pour obtenir la liste complète des logiciels affectés, passez en revue le logiciel répertorié dans la section « Vue d’ensemble ».
S’agit-il d’une vulnérabilité de sécurité qui oblige Microsoft à émettre une mise à jour de sécurité ?
Nous avons publié le Bulletin de sécurité Microsoft MS09-014, La mise à jour de sécurité cumulative pour Internet Explorer (963027) et MS09-015, vulnérabilité de menace mixte dans SearchPath pourrait permettre l’élévation de privilèges (959426), pour résoudre ce problème.
Quelles sont les causes de cette menace ?
Une combinaison de l’emplacement de téléchargement par défaut dans Safari et de la façon dont le bureau Windows gère les exécutables crée une menace mixte dans laquelle les fichiers peuvent être téléchargés sur l’ordinateur d’un utilisateur sans demander l’exécution. Safari est disponible en tant qu’installation autonome ou via l’application Apple Software Update.
Qu’est-ce qu’un attaquant peut utiliser cette fonction pour faire ?
Un attaquant peut inciter les utilisateurs à visiter un site Web spécialement conçu qui pourrait télécharger du contenu sur l’ordinateur d’un utilisateur et exécuter le contenu localement à l’aide des mêmes autorisations que l’utilisateur connecté.
Actions suggérées
- Appliquez les mises à jour dans le Bulletin de sécurité Microsoft MS09-014, Mise à jour de sécurité cumulative pour Internet Explorer (963027) et MS09-015, vulnérabilité de menace mixte dans SearchPath pourrait autoriser l’élévation de privilèges (959426), qui s’appliquent à votre environnement.
- Si vous utilisez Apple Safari sur Windows, vérifiez qu’il s’agit de la version 3.1.2 ou ultérieure. La dernière mise à jour Apple Safari est disponible au téléchargement Apple Safari.
- Passez en revue l’article de la Base de connaissances Microsoft associé à cet avis.
Solutions de contournement
Microsoft a testé les solutions de contournement suivantes. Bien que ces solutions de contournement ne corrigent pas la vulnérabilité sous-jacente, elles aident à bloquer les vecteurs d’attaque connus. Lorsqu’une solution de contournement réduit les fonctionnalités, elle est identifiée dans la section suivante.
- Modifier l’emplacement de téléchargement du contenu dans Safari en répertoire nouvellement créé
- Créez un répertoire, tel que c :\SafariDownload.
- Dans Safari, cliquez sur Modifier, puis pointez sur Préférences.
- Dans l’option Enregistrer les fichiers téléchargés vers :, sélectionnez le répertoire nouvellement créé.
Autres informations
Remerciements:
- Aviv Raff pour travailler avec nous et signaler la menace fusionnée de Safari et Microsoft Internet Explorer
Ressources :
- Vous pouvez fournir des commentaires en remplissant le formulaire en consultant l’aide et le support Microsoft : Contactez-nous.
- Les clients du États-Unis et du Canada peuvent recevoir un support technique des services de support technique Microsoft. Pour plus d’informations sur les options de support disponibles, consultez Aide et support Microsoft.
- Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Pour plus d’informations sur la façon de contacter Microsoft pour connaître les problèmes de support international, visitez le support international.
- Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.
Exclusion de responsabilité :
Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.
Révisions:
- V1.0 (30 mai 2008) : avis publié.
- V1.1 (6 juin 2008) : modification des étapes de la solution de contournement et ajout de l’accusé de réception.
- V1.2 (20 juin 2008) : avis mis à jour pour fournir un lien vers des conseils de sécurité Apple connexes.
- V1.3 (2 juillet 2008) : mise à jour des actions suggérées.
- V2.0 (14 avril 2009) : ajout de références et de liens vers MS09-014 et MS09-015, qui traitent du problème dans cet avis.
Construit à 2014-04-18T13 :49 :36Z-07 :00