• Article

Avis de sécurité

Conseils de sécurité Microsoft 954157

Améliorations de sécurité pour le codec Indeo

Publication : 08 décembre 2009

Version : 1.0

Informations générales

Résumé

Microsoft annonce la disponibilité d’une mise à jour qui fournit des atténuations de sécurité au codec Indeo sur les éditions prises en charge de Microsoft Windows 2000, Windows XP et Windows Server 2003.

Le codec Indeo sur les systèmes exécutant Microsoft Windows 2000, Windows XP et Windows Server 2003 peut autoriser l’exécution de code à distance lors de l’ouverture de contenu multimédia spécialement conçu. La mise à jour empêche le codec Indeo d’être lancé dans Internet Explorer ou le lecteur Windows Media. La mise à jour supprime également la possibilité de charger ce codec lors de la navigation sur Internet avec d’autres applications. En autorisant uniquement les applications à utiliser le codec Indeo lorsque le contenu multimédia provient du système local ou de la zone intranet, et en empêchant Internet Explorer et Lecteur multimédia Windows de lancer le codec du tout, cette mise à jour supprime les vecteurs d’attaque à distance les plus courants, mais autorise toujours les jeux ou d’autres applications qui tirent parti du codec localement pour continuer à fonctionner.

La mise à jour est disponible via la mise à jour automatique et à partir du Centre de téléchargement Microsoft. Les clients disposant d’une mise à jour automatique activée n’auront pas besoin d’effectuer une action, car cette mise à jour de sécurité sera téléchargée et installée automatiquement. Pour plus d’informations sur ce problème, y compris les liens de téléchargement pour cette mise à jour non liée à la sécurité, consultez l’article de la Base de connaissances Microsoft 954157.

Le codec Indeo peut être utilisé et peut être requis par certaines applications de plusieurs façons. Le codec Indeo peut être requis lors de la visite de sites Web légitimes et dans les applications métier de l’environnement d’entreprise. Il s’agit probablement d’un scénario plus courant pour les clients exécutant des systèmes d’exploitation plus anciens. Par conséquent, cette mise à jour est proposée aux clients sur des systèmes d’exploitation plus anciens automatiquement, mais permet toujours au codec de fonctionner dans les scénarios d’application métier. En revanche, les clients qui n’ont pas d’utilisation pour le codec peuvent choisir d’effectuer une étape supplémentaire et de désinscrire complètement le codec. L’inscription du codec supprime tous les vecteurs d’attaque qui tirent parti du codec Indeo. Consultez l’article de la Base de connaissances Microsoft 954157 pour obtenir des instructions sur la façon de désinscrire le codec.

Nous encourageons les clients qui exécutent des éditions prises en charge de Microsoft Windows 2000, Windows XP et Windows 2003 à passer en revue et installer cette mise à jour ou à désinscrire le codec Indeo. En installant cette mise à jour et en désinsistant le codec sur ces systèmes d’exploitation plus anciens, les clients auront les mêmes atténuations incluses dans Windows Vista et Windows 7.

Détails de l’avis

Références de problème

Pour plus d’informations sur ce problème, consultez les références suivantes :

Références Identification
Article de la Base de connaissances Microsoft 954157

Logiciels affectés et non affectés

Cet avis traite du logiciel suivant.

Logiciel affecté
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 et Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 avec SP2 pour les systèmes Itanium
Logiciels non affectés
Windows Vista, Windows Vista Service Pack 1 et Windows Vista Service Pack 2
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 et Windows Vista x64 Edition Service Pack 2
Windows Server 2008 pour les systèmes 32 bits et Windows Server 2008 pour systèmes 32 bits Service Pack 2
Windows Server 2008 pour les systèmes x64 et Windows Server 2008 pour systèmes x64 Service Pack 2
Windows Server 2008 pour les systèmes Itanium et Windows Server 2008 pour les systèmes Itanium Service Pack 2
Windows 7 pour les systèmes 32 bits
Windows 7 pour les systèmes x64
Windows Server 2008 R2 pour les systèmes x64
Windows Server 2008 R2 pour les systèmes Itanium

Forums Aux Questions (FAQ)

Quelle est la portée de l’avis ?
Cet avis fournit une notification indiquant qu’une mise à jour approfondie de la défense décrite dans cet avis est disponible via la mise à jour automatique et est également décrite dans l’article de la Base de connaissances Microsoft 954157. Cette mise à jour affecte les logiciels répertoriés dans la table Logicielle affectée.

Qu’est-ce que le codec Indeo ?
Le codec Indeo est un codec qui décompose les fichiers multimédias numériques à utiliser dans des applications comme Lecteur multimédia Windows. Pour plus d’informations sur les codecs, consultez Utilisation de codecs.

Comment un attaquant pourrait-il exploiter la vulnérabilité ?
Un attaquant peut héberger un site Web spécialement conçu pour exploiter cette vulnérabilité via Internet Explorer, puis convaincre un utilisateur d’afficher le site Web. Cela peut également inclure des sites Web compromis et des sites Web qui acceptent ou hébergent du contenu ou des publicités fournis par l’utilisateur. Ces sites web peuvent contenir du contenu spécialement conçu qui pourrait exploiter cette vulnérabilité. Toutefois, dans tous les cas, un attaquant n’aurait aucun moyen de forcer les utilisateurs à visiter ces sites Web. Au lieu de cela, un attaquant doit convaincre les utilisateurs de visiter le site Web, généralement en les obtenant pour cliquer sur un lien dans un message électronique ou dans une demande Instant Messenger qui amène les utilisateurs sur le site web de l’attaquant.

Il peut également être possible d’afficher du contenu Web spécialement conçu à l’aide de bannières publicitaires ou en utilisant d’autres méthodes pour fournir du contenu Web aux systèmes concernés.

Une autre façon qu’un attaquant puisse exploiter cette vulnérabilité consiste à obtenir du contenu multimédia spécialement conçu sur le système d’un utilisateur qui tire parti du codec Indeo.

Existe-t-il une modification de l’expérience utilisateur une fois cette mise à jour installée ?
Une fois les mises à jour décrites dans cet article installées, les utilisateurs peuvent remarquer que le contenu multimédia à partir de sites Web ne peut plus être chargé dans Internet Explorer ou dans Lecteur multimédia Windows. Les applications ou jeux qui utilisent ce codec à partir du contenu situé sur le système local continueront de fonctionner.

Comment faire désactiver le codec Indeo ?
Il est possible de désactiver ce codec en désinsistant le codec. L’inscription du codec empêche toute application ou contenu multimédia d’utiliser ce codec. Pour obtenir des instructions sur la façon de désinscrire le codec, consultez l’article de la Base de connaissances Microsoft 954157.

Comment faire réactiver l’utilisation de ce codec une fois cette mise à jour installée ?
Il est possible de réactiver les fonctionnalités du codec Indeo une fois cette mise à jour installée. La réactivation du codec expose les utilisateurs au risque d’une attaque d’exécution de code à distance et ne doit être prise en compte que si la nécessité de la fonctionnalité du codec dépasse le risque d’exposition. Pour plus d’informations sur la réactivation des fonctionnalités de codec, consultez l’article de la Base de connaissances Microsoft 954157.

Pourquoi y a-t-il deux parties à la mise à jour associée à cet avis ?
Il existe deux parties à cette mise à jour qui aident à atténuer les risques associés au codec Indeo. Il s’agit de la mise à jour de Quartz.dll, qui est le binaire principal utilisé par Lecteur multimédia Windows. La deuxième est la mise à jour fournie par la technologie Shim de compatibilité des applications. La mise à jour du lecteur multimédia empêche les applications d’ouvrir du contenu multimédia qui tire parti du codec Indeo de lire dans la zone Internet, tandis que la mise à jour technologique du shim de compatibilité des applications empêche Internet Explorer et Lecteur multimédia Windows de charger du contenu multimédia qui utilise le codec Indeo.

Pourquoi cette mise à jour n’est-elle pas associée à un bulletin de sécurité ?
Cette mise à jour n’est pas associée à un bulletin de sécurité, car elle ne corrige pas les vulnérabilités spécifiques, mais fournit plutôt des atténuations supplémentaires de défense en profondeur pour rapprocher les systèmes d’exploitation plus anciens du même niveau de protection de sécurité que Windows Vista et Windows 7. Les clients doivent appliquer cette mise à jour pour atténuer la menace dans les scénarios courants et évaluer l’inscription du codec Indeo pour supprimer l’accès au codec dans n’importe quel scénario.

Pourquoi Microsoft ne corrige-t-il pas des vulnérabilités spécifiques dans cette mise à jour ?
Le codec Indeo est un codec plus ancien connu pour avoir plusieurs vulnérabilités de sécurité. Au lieu de résoudre des vulnérabilités spécifiques, Microsoft crée des modifications de défense en profondeur qui réduisent la surface d’attaque toutes ensemble pour les vulnérabilités connues et les vulnérabilités similaires futures.

Facteurs d’atténuation

Microsoft n’a pas identifié de facteurs d’atténuation pour cette vulnérabilité.

Solutions de contournement

La solution de contournement fait référence à un paramètre ou à une modification de configuration qui ne corrige pas les vulnérabilités sous-jacentes, mais qui permet de bloquer les vecteurs d’attaque connus. Microsoft a testé les solutions de contournement et les états suivants dans la discussion si une solution de contournement réduit les fonctionnalités :

  • Désinscrire le codec Indeo

    Il est possible de désactiver ce codec en désinsistant le codec. Pour obtenir des instructions sur la façon de désinscrire le codec, consultez l’article de la Base de connaissances Microsoft 954157.

    Impact de la solution de contournement. L’inscription du codec Indeo empêche toute application ou contenu multimédia d’utiliser ce codec.

    Comment annuler la solution de contournement. Consultez l’article de la Base de connaissances Microsoft 954157 pour plus d’informations sur l’annulation de cette solution de contournement.

Actions suggérées supplémentaires

  • Consultez l’article de la Base de connaissances Microsoft associé à cet avis
    Pour plus d’informations sur ce problème, consultez l’article 954157 de la Base de connaissances Microsoft.

  • Conserver Windows mis à jour
    Tous les utilisateurs Windows doivent appliquer les dernières mises à jour de sécurité Microsoft pour vous assurer que leurs ordinateurs sont aussi protégés que possible. Si vous ne savez pas si votre logiciel est à jour, visitez Windows Update, analysez votre ordinateur pour connaître les mises à jour disponibles et installez les mises à jour de haute priorité qui vous sont proposées. Si les Mises à jour automatiques sont activées, les mises à jour sont remises à vous quand elles sont publiées, mais vous devez vous assurer que vous les installez. Pour plus d’informations sur les mises à jour de sécurité, consultez Microsoft Security Central.

Autres informations

Remerciements

Microsoft remercie ce qui suit pour nous aider à protéger les clients :

  • Paul Byrne de NGS Software pour signaler les vulnérabilités dans le codec Indeo
  • Un chercheur anonyme, travaillant avec TippingPoint et l’Initiative Zero Day, pour signaler plusieurs vulnérabilités dans le codec Indeo
  • Bing Liu de Fortinet FortiGuard Labs pour signaler les vulnérabilités dans le codec Indeo
  • VeriSign iDefense Labs pour signaler les vulnérabilités dans le codec Indeo
  • Dave Lenoe d’Adobe pour signaler les vulnérabilités dans le codec Indeo
  • Will Dormann de Cert/CC pour signaler les vulnérabilités dans le codec Indeo

Commentaires

  • Vous pouvez fournir des commentaires en remplissant le formulaire Aide et support Microsoft, contactez-nous.

Support

  • Les clients du États-Unis et du Canada peuvent recevoir un soutien technique du support technique. Pour plus d’informations sur les options de support disponibles, consultez Aide et support Microsoft.
  • Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Pour plus d’informations sur la façon de contacter Microsoft pour connaître les problèmes de support international, visitez le support international.
  • Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.

Exclusion de responsabilité

Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.

Révisions

  • V1.0 (8 décembre 2009) : avis publié.

Construit à 2014-04-18T13 :49 :36Z-07 :00