Avis de sécurité

Conseils de sécurité Microsoft 969898

Correctif cumulatif pour les bits de destruction ActiveX

Publication : 09 juin 2009 | Mise à jour : 17 juin 2009

Version : 1.1

Microsoft publie un nouvel ensemble de bits de destruction ActiveX avec cet avis.

La mise à jour inclut un bit de destruction d’une mise à jour cumulative Microsoft précédemment publiée :

La mise à jour inclut également des bits de destruction pour les logiciels tiers suivants :

  • Microgaming. Cette mise à jour de sécurité définit un bit de destruction pour un contrôle ActiveX développé par Microgaming. Microgaming a publié une mise à jour de sécurité qui résout une vulnérabilité dans le composant concerné. Pour plus d’informations et télécharger des emplacements, consultez la version de sécurité de Microgaming. Ce bit de destruction est défini à la demande du propriétaire des contrôles ActiveX. Les identificateurs de classe (CLSID) pour ce contrôle ActiveX sont répertoriés dans la section Questions fréquentes de cet avis.
  • Composant de chargement d’image avancé eBay. Cette mise à jour de sécurité définit un bit de destruction pour un contrôle ActiveX développé par eBay. eBay a publié une mise à jour de sécurité qui résout une vulnérabilité dans le composant concerné. Pour plus d’informations et télécharger des emplacements, consultez la version de sécurité d’eBay. Ce bit de destruction est défini à la demande du propriétaire des contrôles ActiveX. Les identificateurs de classe (CLSID) pour ce contrôle ActiveX sont répertoriés dans la section Questions fréquentes de cet avis.
  • HP Virtual Room v7.0. Cette mise à jour de sécurité définit un bit de destruction pour un contrôle ActiveX développé par Hpe-Packard (HP). HP a publié une mise à jour de sécurité qui résout une vulnérabilité dans le composant concerné. Pour plus d’informations et pour télécharger des emplacements, consultez la version de sécurité de HP. Ce bit de destruction est défini à la demande du propriétaire des contrôles ActiveX. Les identificateurs de classe (CLSID) pour ce contrôle ActiveX sont répertoriés dans la section Questions fréquentes de cet avis.

Pour plus d’informations sur l’installation de cette mise à jour, consultez l’article 969898 de la Base de connaissances Microsoft.

Informations générales

Vue d’ensemble

Objectif de l’avis : notification de la disponibilité d’une mise à jour des bits de destruction ActiveX.

État consultatif : l’article de la Base de connaissances Microsoft et la mise à jour associée ont été publiés.

Recommandation : passez en revue l’article de la Base de connaissances référencée et appliquez la mise à jour appropriée.

Références Identification
Référence CVE CVE-2008-0024
Article de la Base de connaissances Microsoft 969898

Cet avis traite du logiciel suivant.

Logiciel associé
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 et Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 avec SP2 pour les systèmes Itanium
Windows Vista, Windows Vista Service Pack 1 et Windows Vista Service Pack 2
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 et Windows Vista x64 Edition Service Pack 2
Windows Server 2008 pour les systèmes 32 bits et Windows Server 2008 pour systèmes 32 bits Service Pack 2
Windows Server 2008 pour les systèmes x64 et Windows Server 2008 pour systèmes x64 Service Pack 2
Windows Server 2008 pour les systèmes Itanium et Windows Server 2008 pour les systèmes Itanium Service Pack 2

Forums Aux Questions (FAQ)

Les utilisateurs disposant d’une installation Windows Server 2008 Server Core doivent-ils installer cette mise à jour ?
Les utilisateurs disposant d’une installation Windows Server 2008 Server Core n’ont pas besoin d’installer cette mise à jour. Pour plus d’informations sur l’option d’installation server Core, consultez Server Core. Notez que l’option d’installation server Core ne s’applique pas à certaines éditions de Windows Server 2008 ; consultez Comparer les options d’installation minimales.

Pourquoi cet avis n’a-t-il pas de cote de sécurité associée ?
Cette mise à jour contient un bit de destruction pour une mise à jour publiée précédemment dans un Service Pack, ainsi que des bits de destruction pour les contrôles tiers non détenus par Microsoft. Microsoft ne fournit pas d’évaluation de sécurité pour les Service Packs ou les contrôles tiers vulnérables.

Cette mise à jour remplace-t-elle la mise à jour de sécurité cumulative des bits de destruction ActiveX (950760) ?
Non, pour la mise à jour automatique, cette mise à jour ne remplace pas la mise à jour de sécurité cumulative des bits de destruction ActiveX (950760) décrite dans le Bulletin de sécurité Microsoft MS08-032. La mise à jour automatique offre toujours la mise à jour MS08-032 aux clients, qu’elles puissent ou non installer cette mise à jour (969898). Toutefois, les clients qui installent cette mise à jour (969898) n’ont pas besoin d’installer la mise à jour MS08-032 pour être protégés avec tous les bits de destruction définis dans MS08-032.

Pourquoi Microsoft publie-t-il ce correctif cumulatif pour ActiveX Kill Bits avec un avis de sécurité lorsque des mises à jour de bits de destruction précédentes ont été publiées avec un bulletin de sécurité ?
Microsoft publie ce correctif cumulatif pour ActiveX Kill Bits avec un avis, car les nouveaux bits de destruction n’affectent pas les logiciels Microsoft ou ont été précédemment définis dans une mise à jour logicielle Microsoft.

Cette mise à jour contient-elle des bits de destruction précédemment publiés dans un correctif cumulatif pour les bits de destruction ActiveX ?
Oui, cette mise à jour inclut également des bits de destruction précédemment définis dans le 960715 avis de sécurité Microsoft.

Cette mise à jour contient-elle des bits de destruction précédemment publiés dans une mise à jour de sécurité Internet Explorer ?
Non, cette mise à jour n’inclut pas les bits de destruction qui ont été précédemment publiés dans une mise à jour de sécurité Internet Explorer. Nous vous recommandons d’installer la dernière mise à jour de sécurité cumulative pour Internet Explorer.

Qu’est-ce qu’un coup de mort ?
Une fonctionnalité de sécurité dans Microsoft Internet Explorer permet d’empêcher le chargement d’un contrôle ActiveX par le moteur de rendu HTML d’Internet Explorer. Pour ce faire, vous devez définir un paramètre de Registre et définir le bit de destruction. Une fois le bit de destruction défini, le contrôle ne peut jamais être chargé, même lorsqu’il est entièrement installé. La définition du bit de destruction permet de s’assurer que même si un composant vulnérable est introduit ou est réinitif dans un système, il reste inerte et inoffensif.

Pour plus d’informations, consultez l’article de la Base de connaissances Microsoft 240797 : Comment empêcher l’exécution d’un contrôle ActiveX dans Internet Explorer.

Qu’est-ce qu’une mise à jour de sécurité des bits de destruction ActiveX ?
Cette mise à jour de sécurité contient uniquement les ID de classe (CLSID) de certains contrôles ActiveX qui sont la base de cette mise à jour de sécurité.

Pourquoi cette mise à jour ne contient-elle aucun fichier binaire ?
Cette mise à jour apporte uniquement des modifications au Registre pour désactiver l’instanciation du contrôle dans Internet Explorer.

Dois-je installer cette mise à jour si le composant concerné n’est pas installé ou si j’utilise la plateforme affectée ?
Oui. L’installation de cette mise à jour empêche l’exécution du contrôle vulnérable dans Internet Explorer.

Dois-je réappliquer cette mise à jour si j’installe un contrôle ActiveX abordé dans cette mise à jour de sécurité à une date ultérieure ?
Non, l’application de cette mise à jour n’est pas obligatoire. Le bit de destruction empêche Internet Explorer d’exécuter le contrôle même si le contrôle est installé à une date ultérieure.

Que fait cette mise à jour ?
Cette mise à jour définit le bit de destruction pour une liste d’identificateurs de classe (CLSID).

Les identificateurs de classe suivants sont liés au MSCOMM32. Contrôle de chargeur OCX ATL traité dans la mise à jour cumulative microsoft Visual Basic 6.0 Service Pack 6 (Ko 957924) :

Identificateur de classe
{648A5600-2C6E-101B-82B6-0000000000000014}

L’identificateur de classe suivant concerne une requête de Microgaming pour définir le bit de destruction d’un identificateur de classe vulnérable. Vous trouverez plus d’informations dans la version de sécurité émise par Microgaming :

Identificateur de classe
{D8089245-3211-40F6-819B-9E5E92CD61A2}

L’identificateur de classe suivant concerne une demande d’eBay pour définir le bit de destruction d’un identificateur de classe vulnérable. Vous trouverez plus d’informations dans la version de sécurité émise par eBay :

Identificateur de classe
{4C39376E-FA9D-4349-BACC-D305C1750EF3}
{C3EB1670-84E0-4EDA-B570-0B51AAE81679}

L’identificateur de classe suivant concerne une requête par HP pour définir le bit de destruction d’un identificateur de classe vulnérable. Vous trouverez plus d’informations dans la version de sécurité émise par HP :

Identificateur de classe
{00000032-9593-4264-8B29-930B3E4EDCCD}

Actions suggérées

Consultez l’article de la Base de connaissances Microsoft associé à cet avis

Microsoft encourage les clients à installer cette mise à jour. Les clients qui souhaitent en savoir plus sur cette mise à jour doivent consulter l’article de la Base de connaissances Microsoft 969898.

Solutions de contournement

La solution de contournement fait référence à un paramètre ou à une modification de configuration qui ne corrige pas la vulnérabilité sous-jacente, mais qui permet de bloquer les vecteurs d’attaque connus avant d’appliquer la mise à jour. Microsoft a testé les solutions de contournement et les états suivants dans la discussion si une solution de contournement réduit les fonctionnalités :

  • Empêcher l’exécution d’objets COM dans Internet Explorer
    Vous pouvez désactiver les tentatives d’instanciation d’un objet COM dans Internet Explorer en définissant le bit de destruction pour le contrôle dans le Registre.

    Avertissement Si vous utilisez l’Éditeur du Registre de manière incorrecte, vous risquez de provoquer de graves problèmes qui peuvent nécessiter la réinstallation de votre système d’exploitation. Microsoft ne peut pas vous garantir que vous pourrez résoudre les problèmes qui résulteront d'une mauvaise utilisation de l'éditeur du registre. Son utilisation est sous votre entière responsabilité.

    Pour obtenir des étapes détaillées que vous pouvez utiliser pour empêcher l’exécution d’un contrôle dans Internet Explorer, consultez l’article de la Base de connaissances Microsoft 240797. Suivez les étapes décrites dans cet article pour créer une valeur d’indicateurs de compatibilité dans le Registre pour empêcher l’instanciation d’un objet COM dans Internet Explorer.

    Notez que les identificateurs de classe et les fichiers correspondants dans lesquels les objets ActiveX sont contenus sont documentés sous « Que fait cette mise à jour ? » dans la section FAQ ci-dessus. Remplacez {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} ci-dessous par les identificateurs de classe trouvés dans cette section.

    Pour définir le bit de destruction d’un CLSID avec la valeur {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}, collez le texte suivant dans un éditeur de texte tel que Bloc-notes Windows. Ensuite, enregistrez le fichier à l’aide de l’extension de nom de fichier .reg.

    Éditeur de Registre Windows version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{ XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX }] « Indicateurs de compatibilité"=dword :00000400

    Vous pouvez appliquer ce fichier .reg à des systèmes individuels en double-cliquant dessus. Vous pouvez également l’appliquer dans différents domaines à l’aide de la stratégie de groupe. Pour plus d’informations sur la stratégie de groupe, consultez les sites Web Microsoft suivants :

    Notez que vous devez redémarrer Internet Explorer pour que vos modifications prennent effet.

    Impact de la solution de contournement : il n’y a aucun impact tant que l’objet n’est pas destiné à être utilisé dans Internet Explorer.

Autres informations

Accusés de réception

Microsoft remercie ce qui suit pour nous aider à protéger les clients :

  • Robert Freeman de ISS X-Force pour signaler la MSCOMM32. Vulnérabilité d’exécution de code à distance d’OCX ATL Loader (CVE-2008-0024)

Ressources :

  • Vous pouvez fournir des commentaires en remplissant le formulaire en consultant l’aide et le support Microsoft : Contactez-nous.
  • Les clients du États-Unis et du Canada peuvent recevoir un soutien technique du support technique. Pour plus d’informations sur les options de support disponibles, consultez Aide et support Microsoft.
  • Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Pour plus d’informations sur la façon de contacter Microsoft pour connaître les problèmes de support international, visitez le support international.
  • Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.

Exclusion de responsabilité :

Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.

Révisions:

  • V1.0 (9 juin 2009) : Avis publié
  • V1.1 (17 juin 2009) : ajout d’une entrée aux questions fréquemment posées pour communiquer que pour la mise à jour automatique, cette mise à jour ne remplace pas la mise à jour cumulative de sécurité activeX Kill Bits (950760) décrite dans le Bulletin de sécurité Microsoft MS08-032.

Construit à 2014-04-18T13 :49 :36Z-07 :00