• Article

Avis de sécurité

Conseils de sécurité Microsoft 973882

Les vulnérabilités dans microsoft Active Template Library (ATL) peuvent autoriser l’exécution de code à distance

Publication : 28 juillet 2009 | Mise à jour : 13 octobre 2009

Version : 4.0

Microsoft publie cet avis de sécurité pour fournir des informations sur notre examen continu des vulnérabilités dans les versions publiques et privées de la bibliothèque de modèles actifs (ATL) de Microsoft. Cet avis fournit également des conseils sur ce que les développeurs peuvent faire pour s’assurer que les contrôles et les composants qu’ils ont créés ne sont pas vulnérables aux problèmes ATL ; ce que les professionnels de l’informatique et les consommateurs peuvent faire pour atténuer les attaques potentielles qui utilisent les vulnérabilités ; et ce que Microsoft fait dans le cadre de son enquête continue sur le problème décrit dans cet avis. Cet avis de sécurité fournit également une liste complète de tous les bulletins de sécurité microsoft et tous les Mises à jour de sécurité liés aux vulnérabilités dans ATL. L’enquête de Microsoft sur les versions privées et publiques d’ATL est en cours et nous publierons les mises à jour de sécurité et les conseils appropriés dans le cadre du processus d’investigation.

Microsoft est conscient des vulnérabilités de sécurité dans les versions publiques et privées d’ATL. Microsoft ATL est utilisé par les développeurs de logiciels pour créer des contrôles ou des composants pour la plateforme Windows. Les vulnérabilités décrites dans cet avis de sécurité et le Bulletin de sécurité Microsoft MS09-035 peuvent entraîner une divulgation d’informations ou des attaques d’exécution de code à distance pour les contrôles et les composants créés à l’aide de versions vulnérables de l’ATL. Les composants et les contrôles créés avec la version vulnérable d’ATL peuvent être exposés à une condition vulnérable en raison de la façon dont ATL est utilisé ou en raison de problèmes dans le code ATL lui-même.

Conseils pour les développeurs : Microsoft a corrigé les problèmes dans les en-têtes publics d’ATL et a publié des mises à jour des bibliothèques dans le bulletin MS09-035 « Vulnérabilités dans la bibliothèque de modèles active Visual Studio pourrait autoriser l’exécution à distance du code ». Microsoft recommande vivement aux développeurs qui ont créé des contrôles ou des composants avec ATL d’agir immédiatement pour évaluer leurs contrôles d’exposition à une condition vulnérable et de suivre les instructions fournies pour créer des contrôles et des composants qui ne sont pas vulnérables. Pour plus d’informations sur les vulnérabilités et les conseils pour résoudre les problèmes dans ATL, consultez MS09-035, « Les vulnérabilités dans la bibliothèque de modèles active Visual Studio pourraient autoriser l’exécution de code à distance ».

Conseils professionnels et consommateurs informatiques : Pour mieux protéger les clients tandis que les développeurs mettent à jour leurs composants et contrôles, Microsoft a développé une nouvelle technologie de défense en profondeur. Cette nouvelle technologie de défense intégrée à Internet Explorer permet de protéger les clients contre les attaques futures à l’aide des vulnérabilités de la bibliothèque de modèles Active Microsoft décrites dans ce Bulletin de sécurité Microsoft MS09-035. Pour bénéficier de cette nouvelle technologie de défense en profondeur, les professionnels de l’informatique et les consommateurs doivent déployer immédiatement la mise à jour de sécurité d’Internet Explorer proposée dans le Bulletin de sécurité Microsoft MS09-034, « Mise à jour de sécurité cumulative pour Internet Explorer ».

Cette mise à jour de sécurité inclut une atténuation qui empêche les composants et les contrôles générés à l’aide de l’ATL vulnérable d’être exploités dans Internet Explorer, ainsi que de traiter plusieurs vulnérabilités non liées. Les nouvelles protections de défense en profondeur proposées dans MS09-034 incluent des mises à jour vers Internet Explorer 5.01, Internet Explorer 6 et Internet Explorer 6 Service Pack 1, Internet Explorer 7 et Internet Explorer 8. Ces protections de défense en profondeur surveillent et empêchent l’exploitation réussie de toutes les vulnérabilités ATL publiques et privées connues, y compris les vulnérabilités susceptibles d’entraîner le contournement de la fonctionnalité de sécurité des bits de destruction d’ActiveX. Ces protections sont conçues pour protéger les clients contre les attaques basées sur le web.

Aide utilisateur à domicile : Pour mieux protéger les clients pendant que les développeurs mettent à jour leurs composants et contrôles, Microsoft a développé une nouvelle technologie de défense en profondeur. Cette nouvelle technologie de défense en profondeur intégrée à Internet Explorer avec la nouvelle mise à jour permet de protéger les clients contre les futures attaques à l’aide des vulnérabilités de la bibliothèque de modèles Active Microsoft décrites dans ce Bulletin de sécurité Microsoft MS09-035. Les utilisateurs à domicile inscrits à l’Mises à jour automatique recevront automatiquement la nouvelle mise à jour d’Internet Explorer et n’ont pas à entreprendre d’action supplémentaire. Les utilisateurs à domicile seront automatiquement mieux protégés contre les futures attaques contre les vulnérabilités traitées dans cet avis de sécurité et dans le Bulletin de sécurité Microsoft MS09-035.

Atténuation des facteurs pour les contrôles et les composants créés à l’aide de la version vulnérable de la bibliothèque de modèles active de Microsoft (ATL) :

  • Par défaut, la majorité des contrôles ActiveX ne sont pas inclus dans la liste verte par défaut pour les contrôles ActiveX dans Internet Explorer 7 ou Internet Explorer 8 s’exécutant sur Windows Vista ou des systèmes d’exploitation ultérieurs. Seuls les clients qui ont approuvé explicitement les contrôles vulnérables à l’aide de la fonctionnalité d’opt-in ActiveX risquent d’exploiter cette vulnérabilité. Toutefois, si un client a utilisé ces contrôles ActiveX dans une version précédente d’Internet Explorer, puis mis à niveau ultérieurement vers Internet Explorer 7 ou Internet Explorer 8, ces contrôles ActiveX sont activés pour fonctionner dans Internet Explorer 7 et Internet Explorer 8, même si le client ne l’a pas approuvé explicitement à l’aide de la fonctionnalité d’adhésion ActiveX.
  • Par défaut, Internet Explorer 8 offre des protections améliorées en activant les protections de mémoire DEP/NX pour les utilisateurs sur Windows XP Service Pack 3, Windows Vista Service Pack 1 et Windows Vista Service Pack 2 et Windows 7.
  • Par défaut, Internet Explorer sur Windows Server 2003 et Windows Server 2008 s’exécute en mode restreint appelé Configuration de sécurité améliorée. La configuration de sécurité améliorée est un groupe de paramètres préconfigurés dans Internet Explorer qui peuvent réduire la probabilité qu’un utilisateur ou un administrateur télécharge et exécute du contenu web spécialement conçu sur un serveur. Il s’agit d’un facteur d’atténuation pour les sites Web que vous n’avez pas ajoutés à la zone sites approuvés d’Internet Explorer. Consultez également Gestion de la configuration de sécurité renforcée d’Internet Explorer.
  • Par défaut, toutes les versions prises en charge de Microsoft Outlook et de Microsoft Outlook Express ouvrent des messages électroniques HTML dans la zone Sites restreints. La zone sites restreints permet d’atténuer les attaques susceptibles d’exploiter cette vulnérabilité en empêchant les contrôles Active Scripting et ActiveX d’être utilisés lors de la lecture de messages électroniques HTML. Toutefois, si un utilisateur clique sur un lien dans un message électronique, l’utilisateur peut toujours être vulnérable à l’exploitation de cette vulnérabilité par le biais du scénario d’attaque basé sur le web.
  • Dans un scénario d’attaque basé sur le web, un attaquant peut héberger un site Web qui contient une page Web utilisée pour exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent du contenu ou des publicités fournis par l’utilisateur peuvent contenir du contenu spécialement conçu qui pourrait exploiter cette vulnérabilité. Toutefois, dans tous les cas, un attaquant n’aurait aucun moyen de forcer les utilisateurs à visiter ces sites Web. Au lieu de cela, un attaquant doit persuader les utilisateurs de visiter le site Web, généralement en les obtenant pour cliquer sur un lien dans un message électronique ou un message message instantané qui amène les utilisateurs au site Web de l’attaquant.
  • Un attaquant qui a réussi à exploiter cette vulnérabilité peut obtenir les mêmes droits d’utilisateur que l’utilisateur local. Les utilisateurs dont les comptes sont configurés avec des droits restreints sur le système sont moins vulnérables que les utilisateurs qui ont des droits administratifs.

Mises à jour liés à ATL :

Mise à jour publiée le 13 octobre 2009

  • Le Bulletin de sécurité Microsoft MS09-060, « Vulnérabilités dans les contrôles ActiveX Microsoft Active Template Library (ATL) pour Microsoft Bureau Pourrait autoriser l’exécution de code à distance », prend en charge les composants Microsoft Bureau affectés par les vulnérabilités ATL décrites dans cet avis.

Mises à jour publiée le 25 août 2009

  • Windows Live Messenger 14.0.8089 est publié pour résoudre les vulnérabilités dans le client Windows Live Messenger qui sont liées aux vulnérabilités ATL décrites dans cet avis.
  • Une section Forum aux questions sur les composants Windows Live a été ajoutée à cet avis pour communiquer la suppression de la fonctionnalité « Attacher la photo » de Windows Live Hotmail et fournir des détails sur la version de Windows Live Messenger 14.0.8089.

Mises à jour publiée le 11 août 2009

  • Le Bulletin de sécurité Microsoft MS09-037, « Vulnérabilités dans microsoft Active Template Library (ATL) Pourrait autoriser l’exécution de code à distance », fournit la prise en charge des composants Windows affectés par les vulnérabilités ATL décrites dans cet avis.
  • Le Bulletin de sécurité Microsoft MS09-035, « Les vulnérabilités dans la bibliothèque de modèles active Visual Studio pourraient autoriser l’exécution de code à distance », est réinitialisé pour offrir de nouvelles mises à jour aux développeurs qui utilisent Visual Studio pour créer des composants et des contrôles pour les applications mobiles à l’aide d’ATL pour les appareils intelligents.

Mises à jour publiée le 28 juillet 2009

  • Le Bulletin de sécurité Microsoft MS09-035, « Les vulnérabilités dans la bibliothèque de modèles active Visual Studio pourraient autoriser l’exécution de code à distance », explique en détail les vulnérabilités spécifiques dans ATL et fournit les en-têtes ATL publics mis à jour pour que les fournisseurs développent des composants et des contrôles mis à jour. Notre enquête a montré qu’il existe des composants et des contrôles Microsoft et tiers affectés par ce problème et que ces composants et contrôles existent sur toutes les éditions prises en charge de Windows 2000 Service Pack 4, Windows XP, Windows Server 2003, Windows Vista et Windows Server 2008. Les développeurs qui utilisaient des versions vulnérables de l’ATL lors de la création de contrôles ou de composants doivent passer en revue ce bulletin et prendre des mesures immédiates si leurs contrôles sont vulnérables.
  • Le Bulletin de sécurité Microsoft MS09-034, « Mise à jour de sécurité cumulative pour Internet Explorer », inclut une atténuation qui empêche les composants et les contrôles générés à l’aide de l’ATL vulnérable d’être exploités dans Internet Explorer, ainsi que d’aborder plusieurs vulnérabilités non liées. Les nouvelles protections de défense en profondeur proposées dans MS09-034 incluent des mises à jour vers Internet Explorer 5.01, Internet Explorer 6 et Internet Explorer 6 Service Pack 1, Internet Explorer 7 et Internet Explorer 8. Ces protections de défense en profondeur surveillent et empêchent l’exploitation réussie de toutes les vulnérabilités ATL publiques et privées connues, y compris les vulnérabilités susceptibles d’entraîner le contournement de la fonctionnalité de sécurité des bits de destruction d’ActiveX. Ces protections sont conçues pour protéger les clients contre les attaques basées sur le web.
  • Nous ne savons pas quelles méthodes ou contrôles inclus dans Windows 7 permettrait aux attaques de réussir via Internet Explorer.

Mise à jour publiée le 14 juillet 2009

  • Le Bulletin de sécurité Microsoft MS09-032, « Mise à jour de sécurité cumulative des bits de destruction ActiveX », a fourni des mesures de sécurité ActiveX (un bit de destruction) qui empêchaient l’exécution du contrôle msvidctl dans Internet Explorer. L’exploit dans msvidcntl a profité d’une vulnérabilité dans la version privée d’ATL. Dans cette instance spécifique, la vulnérabilité permet à un attaquant de endommager la mémoire, ce qui peut entraîner une exécution de code à distance. Les bits de destruction émis dans la version de juin pour msvidctl (MS09-032) bloquent les exploits publics, comme décrit ici.

Informations générales

Vue d’ensemble

Objectif de l’avis : ce conseil a été publié pour fournir aux clients une notification initiale de la vulnérabilité divulguée publiquement. Pour plus d’informations, consultez les sections Solutions de contournement, Atténuation des facteurs et actions suggérées de cet avis de sécurité.

État de l’avis : avis publié.

Recommandation : passez en revue les actions suggérées et configurez-les selon les besoins.

Références Identification
Référence CVE CVE-2009-0901 CVE-2009-2493\ CVE-2009-2495\ CVE-2008-0015\
Bulletin de sécurité MS09-035, « Vulnérabilités dans la bibliothèque de modèles actifs Visual Studio pourrait autoriser l’exécution de code à distance » \ MS09-034, « Mise à jour de sécurité cumulative pour Internet Explorer » \ MS09-032, « Mise à jour de sécurité cumulative des bits de destruction ActiveX »
Article de la Base de connaissances Microsoft Article ms09-035 :\ Article de la Base de connaissances Microsoft 969706\ \ MS09-034 :\ Article de la Base de connaissances Microsoft 972260\ \ MS09-032 :\ Article de la Base de connaissances Microsoft 973346

Cet avis traite du logiciel suivant.

Logiciel affecté
Microsoft Windows
Contrôles et composants créés à l’aide d’une bibliothèque de modèles active vulnérable
Microsoft services Microsoft Live
Windows Live Messenger (versions inférieures à 14.0.8089)
Fonctionnalité Windows Live Hotmail « Attacher une photo »

Forums Aux Questions (FAQ)

Quelle est la portée de l’avis ?
Microsoft est conscient des vulnérabilités affectant les composants et les contrôles générés à l’aide de versions publiques et privées de la bibliothèque de modèles actifs (ATL). L’avis vise à sensibiliser les utilisateurs aux mises à jour qui aident à atténuer le risque de contrôles et de composants vulnérables, à fournir des conseils et des instructions aux développeurs qui ont créé des contrôles et des composants à l’aide de l’ATL vulnérable et aux professionnels de l’informatique sur la façon de protéger et d’installer des atténuations dans leur environnement.

Microsoft publiera-t-il des mises à jour de sécurité supplémentaires liées à cet avis de sécurité à l’avenir ?
L’enquête de Microsoft sur les en-têtes privés et publics d’ATL est en cours et nous publierons les mises à jour de sécurité et les conseils appropriés dans le cadre du processus d’investigation.

La vulnérabilité msvidctl (MS09-032) était-elle liée à cette mise à jour ATL ?
Oui, l’exploit dans msvidctl a profité d’une vulnérabilité dans la version privée d’ATL. Dans cette instance spécifique, la vulnérabilité permet à un attaquant de endommager la mémoire, ce qui peut entraîner une exécution de code à distance. MS09-032, précédemment émis dans la version du 14 juillet, bloque les attaques connues pour msvidctl. Pour plus d’informations sur l’exploit dans msvidctl, consultez https://blogs.technet.com/srd/archive/2009/07/06/new-vulnerability-in-mpeg2tunerequest-activex-control-object-in-msvidctl-dll.aspx.

La mise à jour d’Internet Explorer (ms09-034) protège-t-elle également contre les attaques msvidctl ?
Oui, les atténuations d’Internet Explorer protègent contre l’exploitation des vulnérabilités connues dans les versions publiques et privées d’ATL, y compris les attaques msvidctl.

Qu’est-ce qu’ATL ?
La bibliothèque de modèles active (ATL) est un ensemble de classes C++ basées sur des modèles qui vous permettent de créer de petits objets COM (Component Object Model). ATL prend en charge les principales fonctionnalités COM, notamment les implémentations de stock, les interfaces doubles, les interfaces d’énumérateur COM standard, les points de connexion, les interfaces de déchirure et les contrôles ActiveX. Pour plus d’informations, consultez l’article MSDN, ATL.

Quelles sont les causes de cette menace dans ATL ?
Le problème est provoqué dans certains cas par la façon dont ATL est utilisé, et dans d’autres cas par le code ATL lui-même. Dans ces cas, les flux de données peuvent être gérés de manière incorrecte, ce qui peut entraîner une altération de la mémoire, une divulgation d’informations et une instanciation d’objets sans tenir compte de la stratégie de sécurité. Pour plus d’informations sur les vulnérabilités traitées dans ATL, consultez MS09-035, « Les vulnérabilités dans la bibliothèque de modèles active Visual Studio pourraient autoriser l’exécution de code à distance ».

Quelles sont les différences entre les versions publiques et privées de la bibliothèque de modèles actifs ?
La version privée de la bibliothèque de modèles actifs est utilisée par les développeurs Microsoft pour générer des contrôles et des composants. Microsoft a mis à jour toutes les versions de la bibliothèque de modèles actifs utilisées par nos développeurs.

La version publique de la bibliothèque de modèles actifs est distribuée aux clients par le biais d’outils de développement, tels que Microsoft Visual Studio. Microsoft fournit une version mise à jour de notre ATL public via le Bulletin de sécurité Microsoft MS09-035.

Les vulnérabilités de sécurité dans ATL nécessitent-elles que Microsoft et les développeurs tiers émettent des mises à jour de sécurité ?
Oui. Outre les mises à jour du bulletin décrites dans cet avis, Microsoft effectue une enquête complète sur les contrôles et composants Microsoft. À la fin de cette enquête, Microsoft prendra les mesures appropriées pour protéger nos clients. Cela peut inclure la fourniture d’une mise à jour de sécurité par le biais de notre processus de publication mensuel ou la fourniture d’une mise à jour de sécurité hors bande, en fonction des besoins des clients.

Microsoft fournit également des conseils et contacte activement les principaux développeurs tiers pour les aider à identifier les contrôles et composants vulnérables. Cela peut entraîner des mises à jour de sécurité pour les contrôles et composants tiers.

Forum aux questions sur Windows services Microsoft Live

Comment la mise à niveau vers Windows Live Messenger sera-t-elle distribuée ?
Lors de la connexion au service Windows Live Messenger, les utilisateurs de Windows Live Messenger 8.1, Windows Live Messenger 8.5 et Windows Live Messenger 14.0 sur les versions prises en charge de Windows seront invités par le mécanisme de déploiement du client dans le service Windows Live Messenger à accepter la mise à niveau vers Windows Live Messenger 14.0.8089. En outre, les utilisateurs qui souhaitent télécharger la mise à niveau vers Windows Live Messenger 14.0.8089 peuvent le faire immédiatement à l’aide du Centre de téléchargement Windows Live. Sinon, les utilisateurs des versions vulnérables des clients Windows Live Messenger peuvent ne pas être autorisés à se connecter au service Windows Live Messenger.

Pourquoi Microsoft publie-t-il la mise à niveau vers Windows Live Messenger via le service Windows Live Messenger, ainsi que des téléchargements ?
Microsoft émet actuellement des mises à niveau pour le client Windows Live Messenger à l’aide du service Windows Live Messenger, car ces services en ligne ont leur propre mécanisme de déploiement client. Toutefois, les liens du Centre de téléchargement Microsoft sont également disponibles pour des clients Windows Live Messenger spécifiques. Les utilisateurs qui souhaitent télécharger immédiatement les mises à niveau peuvent le faire dans le Centre de téléchargement Windows Live.

S’il s’agit d’une mise à niveau, comment puis-je détecter si j’ai une version vulnérable de Windows Live Messenger ?
Lorsque vous tentez de vous connecter au service Windows Live Messenger, le mécanisme de déploiement du client détermine automatiquement la version et la plateforme actuelles de votre client et, si nécessaire, recommandez la mise à niveau appropriée. En outre, vous pouvez vérifier votre version du client Windows Live Messenger en cliquant sur Aide , puis à propos.

Que se passe-t-il si je ne mets pas à niveau vers la version la plus récente de Windows Live Messenger ?
Si vous ne effectuez pas de mise à niveau vers une version non affectée du client Windows Live Messenger, en fonction de votre plateforme, vous serez informé de la mise à niveau sur chaque tentative de connexion. Si vous n’acceptez pas la mise à niveau, vous n’êtes peut-être pas autorisé à accéder au service Windows Live Messenger.

D’autres applications Microsoft Real-Time Collaboration, telles que Windows Messenger ou Bureau Communicator, sont-elles affectées par cette vulnérabilité ?
Non. Les autres applications de messagerie ne sont pas affectées, car elles ne contiennent pas le composant vulnérable.

Quand Microsoft a-t-il supprimé la fonctionnalité Windows Live Hotmail « Attacher une photo » ? Cela coïncide-t-il avec le lancement d’une autre nouvelle fonctionnalité ?
Microsoft a récemment pris la décision de supprimer la fonctionnalité à court terme afin de résoudre le problème. La suppression temporaire de cette fonctionnalité n’a pas coïncidé avec le lancement d’une autre fonctionnalité.

Quel est le dernier calendrier de la fonctionnalité « Attacher la photo » pour être entièrement restaurée sur tous les utilisateurs de Windows Live Hotmail ?
Microsoft travaille activement à corriger le problème. En attendant, vous pouvez toujours ajouter des images en tant que pièces jointes à vos messages Hotmail en cliquant sur Attacher, puis en sélectionnant l’image que vous souhaitez inclure.

Forum aux questions des développeurs sur Visual Studio Update

Quelles sont les causes de cette menace dans ATL ?
Le problème est provoqué dans certains cas par la façon dont ATL est utilisé, et dans d’autres cas par le code ATL lui-même. Dans ces cas, les flux de données peuvent être gérés de manière incorrecte, ce qui peut entraîner une altération de la mémoire, une divulgation d’informations et une instanciation d’objets sans tenir compte de la stratégie de sécurité. Pour plus d’informations sur les vulnérabilités traitées dans ATL, consultez MS09-035, « Les vulnérabilités dans la bibliothèque de modèles active Visual Studio pourraient autoriser l’exécution de code à distance ».

Qu’est-ce qu’un attaquant peut utiliser cette vulnérabilité ?
Pour les contrôles et les composants créés à l’aide d’ATL, l’utilisation non sécurisée de certaines macros peut permettre l’instanciation d’objets arbitraires qui peuvent contourner la stratégie de sécurité ActiveX associée (c’est-à-dire tuer des bits) dans Internet Explorer. En outre, les composants et les contrôles créés à l’aide de la version vulnérable d’ATL peuvent être vulnérables à l’exécution de code à distance ou aux menaces de divulgation d’informations. Si un utilisateur est connecté avec des droits d’utilisateur administratifs et qu’il dispose d’un contrôle vulnérable sur son système, un attaquant peut prendre le contrôle complet du système concerné. Un attaquant peut alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes avec des droits d’utilisateur complets. Les utilisateurs dont les comptes sont configurés avec des droits restreints sur le système sont moins vulnérables que les utilisateurs qui ont des droits administratifs.

Je suis développeur d’applications tiers et j’utilise ATL dans mon composant ou contrôle. Mon composant ou contrôle est-il vulnérable et, le cas échéant, comment puis-je le mettre à jour ?
Les composants et les contrôles peuvent être affectés par ce problème si certaines conditions sont remplies pendant la construction du composant ou du contrôle. MS09-035 contient des informations, des exemples et des conseils supplémentaires que les développeurs tiers peuvent utiliser pour détecter et corriger les composants et contrôles vulnérables.

Que fait la mise à jour de sécurité pour Visual Studio ?
Ces mises à jour résolvent les vulnérabilités dans la bibliothèque de modèles Active Microsoft (ATL) qui pourraient permettre à un utilisateur distant et non authentifié d’exécuter du code arbitraire sur un système affecté. Ces vulnérabilités sont dans certains cas causées par la façon dont ATL est utilisé, et dans d’autres cas par le code ATL lui-même. Étant donné que ces vulnérabilités affectent ATL, les composants ou les contrôles développés à l’aide d’ATL peuvent exposer les clients à l’aide des contrôles et composants affectés aux scénarios d’exécution de code distant.

La mise à jour de sécurité pour Visual Studio met à jour la version vulnérable de l’ATL utilisée par Visual Studio. Cela permet aux utilisateurs de Visual Studio de modifier et de recréer leurs contrôles et composants à l’aide d’une version mise à jour de l’ATL.

Notre enquête a montré que Microsoft et les composants et contrôles tiers peuvent être affectés par ce problème. Par conséquent, tous les fournisseurs concernés doivent modifier et reconstruire leurs composants et contrôles à l’aide de l’ATL corrigé fourni dans le Bulletin de sécurité Microsoft MS09-035.

Forum aux questions des professionnels de l’informatique sur ce qu’ils peuvent faire pour se protéger eux-mêmes

La mise à jour d’Internet Explorer MS09-034 me protège-t-elle de tous les composants et contrôles qui ont été basés sur la version vulnérable d’ATL ?
Pour mieux protéger les clients tandis que les développeurs mettent à jour leurs composants et contrôles, Microsoft a développé une nouvelle technologie de défense en profondeur. Cette nouvelle technologie de défense intégrée à Internet Explorer permet de protéger les clients contre les attaques futures à l’aide des vulnérabilités de la bibliothèque de modèles Active Microsoft décrites dans cet avis et dans le Bulletin de sécurité Microsoft MS09-035. Le Bulletin de sécurité Microsoft MS09-034, « Mise à jour de sécurité cumulative pour Internet Explorer », inclut une atténuation qui empêche les composants et les contrôles générés à l’aide de l’ATL vulnérable d’être exploités dans Internet Explorer, ainsi que d’aborder plusieurs vulnérabilités non liées.

Microsoft continue d’examiner tous les contrôles et composants Microsoft et aide les développeurs tiers à évaluer leurs contrôles et composants.

Quelle action un professionnel de l’informatique peut-il prendre pour atténuer l’exposition à ce problème ?
Microsoft recommande vivement aux professionnels de l’informatique de déployer immédiatement la mise à jour de sécurité Internet Explorer proposée dans le Bulletin de sécurité Microsoft MS09-034, « Mise à jour de sécurité cumulative pour Internet Explorer ».

Forum aux questions sur ce que les consommateurs peuvent faire pour se protéger eux-mêmes

Quelle action les consommateurs peuvent-ils prendre pour atténuer l’exposition à ce problème ?
Pour mieux protéger les clients tandis que les développeurs mettent à jour leurs composants et contrôles, Microsoft a développé une nouvelle technologie de défense en profondeur. Cette nouvelle technologie de défense intégrée à Internet Explorer permet de protéger les clients contre les attaques futures à l’aide des vulnérabilités de la bibliothèque de modèles Active Microsoft décrites dans cet avis et dans le Bulletin de sécurité Microsoft MS09-035. Microsoft recommande vivement aux consommateurs d’activer la mise à jour automatique et de déployer immédiatement la mise à jour de sécurité Internet Explorer proposée dans le Bulletin de sécurité Microsoft MS09-034, « Mise à jour de sécurité cumulative pour Internet Explorer ». Les utilisateurs à domicile qui reçoivent automatiquement les mises à jour reçoivent les atténuations fournies dans la mise à jour cumulative d’Internet Explorer et d’autres mises à jour de sécurité liées à ce problème et n’ont pas à prendre d’autres mesures.

Microsoft encourage également les utilisateurs à domicile à effectuer une mise à niveau vers Internet Explorer 8 pour bénéficier d’une sécurité et d’une protection améliorées.

Forum aux questions sur les atténuations dans Internet Explorer Update

Quelles sont les causes de cette menace qui pourrait permettre le contournement de la sécurité ActiveX ?
Les contrôles ActiveX créés avec des méthodes ATL vulnérables peuvent ne pas valider correctement les informations. Cela peut entraîner un contrôle ActiveX qui autorise l’altération de la mémoire ou permet à un attaquant de tirer parti d’un contrôle ActiveX approuvé pour charger un contrôle ActiveX non approuvé qui avait été précédemment bloqué de s’exécuter dans Internet Explorer.

Les nouvelles protections de défense en profondeur offertes dans MS09-034 incluent les mises à jour apportées à Internet Explorer 5.01, Internet Explorer 6 et Internet Explorer 6 Service Pack 1, Internet Explorer 7 et Internet Explorer 8, qui surveillent et empêchent l’exploitation réussie de toutes les vulnérabilités ATL publiques et privées connues, notamment les vulnérabilités susceptibles de contourner la fonctionnalité de sécurité du bit de destruction d’Internet Explorer. Ces protections sont conçues pour protéger les clients contre les attaques web.

Qu’est-ce qu’un attaquant peut utiliser cette fonction pour faire ?
Un attaquant qui a réussi à exploiter cette vulnérabilité sur Windows Vista ou Windows 2008 obtiendrait uniquement des droits en tant qu’utilisateur restreint en raison du mode de protection dans Internet Explorer. Sur d’autres systèmes Windows, l’attaquant peut obtenir les mêmes droits d’utilisateur que l’utilisateur local. Les utilisateurs dont les comptes sont configurés avec des droits restreints sur le système sont moins vulnérables que les utilisateurs qui ont des droits administratifs.

Comment un attaquant peut-il utiliser cette fonction ?
Un attaquant peut héberger un site Web conçu pour héberger un contrôle ActiveX spécialement conçu, puis convaincre un utilisateur d’afficher le site Web. Cela peut également inclure des sites Web compromis et des sites Web qui acceptent ou hébergent du contenu ou des publicités fournis par l’utilisateur. Toutefois, dans tous les cas, un attaquant n’aurait aucun moyen de forcer les utilisateurs à visiter ces sites Web. Au lieu de cela, un attaquant aurait à convaincre les utilisateurs de visiter le site Web, généralement en les obtenant pour cliquer sur un lien dans un message électronique ou dans une demande de messagerie instantanée qui amène les utilisateurs sur le site Web de l’attaquant.

Qu’est-ce qu’un coup de mort ?
Une fonctionnalité de sécurité dans Microsoft Internet Explorer permet d’empêcher le chargement d’un contrôle ActiveX par le moteur de rendu HTML d’Internet Explorer. Pour ce faire, vous devez définir un paramètre de Registre, appelé « définition du bit de destruction ». Une fois le bit de destruction défini, le contrôle ne peut jamais être chargé, même lorsqu’il est entièrement installé. La définition du bit de destruction permet de s’assurer que même si un composant vulnérable est introduit ou est réinitif dans un système, il reste inerte et inoffensif.

Pour plus d’informations sur les bits de destruction, consultez l’article 240797 de la Base de connaissances Microsoft : comment arrêter l’exécution d’un contrôle ActiveX dans Internet Explorer. Pour plus d’informations sur les bits de destruction et sur la façon dont ils fonctionnent dans Internet Explorer, consultez le billet de blog security Research and Defense suivant.

Que fait la mise à jour ?
La mise à jour renforce le mécanisme de sécurité ActiveX en fournissant une validation lorsque des méthodes non sécurisées sont utilisées par les contrôles ActiveX à l’aide d’en-têtes ATL vulnérables dans des configurations spécifiques.

Cette mise à jour modifie-t-elle les fonctionnalités ?
Oui. Cette mise à jour n’autorise plus l’exécution d’ensembles spécifiques de méthodes ATL dans Internet Explorer. La mise à jour atténue le risque de contourner la sécurité active en empêchant les contrôles ActiveX approuvés de charger des contrôles non approuvés

Cette mise à jour contient-elle des modifications logicielles supplémentaires ?
Oui. Cette mise à jour contient également des correctifs de sécurité supplémentaires et d’autres mises à jour d’Internet Explorer dans le cadre de la mise à jour cumulative pour Internet Explorer.

Cette mise à jour traite-t-elle tous les scénarios de contrôle ActiveX non sécurisés ?
Non. Cette mise à jour traite spécifiquement des contrôles ActiveX non approuvés/non approuvés susceptibles d’être vulnérables aux problèmes ATL décrits dans cet avis pour protéger les clients contre les attaques lors de la navigation sur Internet.

Microsoft continue d’examiner ce problème. À la fin de cette enquête, Microsoft prendra les mesures appropriées pour protéger nos clients. Cela peut inclure la fourniture d’une mise à jour de sécurité par le biais de notre processus de publication mensuel ou la fourniture d’une mise à jour de sécurité hors bande, en fonction des besoins des clients.

Comment le mode protégé dans Internet Explorer 7 et Internet Explorer 8 sur Windows Vista et les versions ultérieures me protègent-ils contre cette vulnérabilité ?
Internet Explorer 7 et Internet Explorer 8 sur Windows Vista et versions ultérieures s’exécutent en mode protégé par défaut dans la zone de sécurité Internet. Le mode protégé réduit considérablement la capacité d’un attaquant à écrire, modifier ou détruire des données sur l’ordinateur de l’utilisateur ou à installer du code malveillant. Pour ce faire, utilisez les mécanismes d’intégrité de Windows Vista et ultérieur, qui limitent l’accès aux processus, aux fichiers et aux clés de Registre avec des niveaux d’intégrité supérieurs.

Qu’est-ce que la prévention de l’exécution des données (DEP) ?
La prévention de l’exécution des données (DEP) est activée par défaut dans Internet Explorer 8. DEP est conçu pour aider les attaques par foil en empêchant l’exécution du code en mémoire marquée comme non exécutable. Pour plus d’informations sur DEP dans Internet Explorer, consultez le billet suivant : https://blogs.msdn.com/ie/archive/2008/04/08/ie8-security-part-I_3A00_-dep-nx-memory-protection.aspx

Actions suggérées

  • Consultez l’article de la Base de connaissances Microsoft associé à cet avis

    Les clients qui souhaitent en savoir plus sur les problèmes ATL doivent consulter l’article de la Base de connaissances Microsoft 973882.

  • Appliquer les mises à jour associées aux bulletins de sécurité MS09-034 et MS09-035

    Les clients disposant de systèmes concernés peuvent télécharger les mises à jour à partir de l’article 969706 de la Base de connaissances Microsoft et de l’article 972260 de la Base de connaissances Microsoft. La mise à jour d’Internet Explorer fournit de nouvelles atténuations qui empêchent l’instanciation des contrôles ActiveX vulnérables dans Internet Explorer 7 et 8. La mise à jour de Visual Studio permet aux développeurs de créer des contrôles ActiveX qui ne sont pas affectés par ces vulnérabilités.

  • Protéger votre PC

    Nous continuons à encourager les clients à suivre nos conseils de protection de votre ordinateur pour activer un pare-feu, obtenir des mises à jour logicielles et installer des logiciels antivirus. Les clients peuvent en savoir plus sur ces étapes en visitant Protéger votre ordinateur.

  • Pour plus d’informations sur la sécurité sur Internet, les clients doivent visiter Microsoft Security Central.

  • Conserver Windows mis à jour

    Tous les utilisateurs Windows doivent appliquer les dernières mises à jour de sécurité Microsoft pour vous assurer que leurs ordinateurs sont aussi protégés que possible. Si vous ne savez pas si votre logiciel est à jour, visitez Windows Update, analysez votre ordinateur pour connaître les mises à jour disponibles et installez les mises à jour de haute priorité qui vous sont proposées. Si les Mises à jour automatiques sont activées, les mises à jour sont remises à vous quand elles sont publiées, mais vous devez vous assurer que vous les installez.

Solutions de contournement

Microsoft a testé les solutions de contournement suivantes. Bien que ces solutions de contournement ne corrigent pas la vulnérabilité sous-jacente, elles aident à bloquer les vecteurs d’attaque connus. Lorsqu’une solution de contournement réduit les fonctionnalités, elle est identifiée dans la section suivante.

Définissez les paramètres de zone de sécurité Internet et Intranet local sur « Élevé » pour qu’ils s’affichent avant d’exécuter des contrôles ActiveX et des scripts actifs dans ces zones

Vous pouvez vous protéger contre cette vulnérabilité en modifiant vos paramètres de la zone de sécurité Internet pour qu’ils s’affichent avant d’exécuter des contrôles ActiveX et des scripts actifs. Pour ce faire, définissez la sécurité de votre navigateur sur High.

Pour augmenter le niveau de sécurité de navigation dans Microsoft Internet Explorer, procédez comme suit :

  1. Dans le menu Outils Internet Explorer, cliquez sur Options Internet.
  2. Dans la boîte de dialogue Options Internet, cliquez sur l’onglet Sécurité , puis sur l’icône Internet .
  3. Sous Niveau de sécurité pour cette zone, déplacez le curseur vers Haut. Cela définit le niveau de sécurité pour tous les sites web que vous visitez à High.

Remarque Si aucun curseur n’est visible, cliquez sur Niveau par défaut, puis déplacez le curseur vers Haut.

Notez que la définition du niveau élevé peut entraîner le fonctionnement incorrect de certains sites Web. Si vous avez des difficultés à utiliser un site Web après avoir modifié ce paramètre et que vous êtes sûr que le site est sûr d’être utilisé, vous pouvez ajouter ce site à votre liste de sites approuvés. Cela permet au site de fonctionner correctement même avec le paramètre de sécurité défini sur High.

Impact de la solution de contournement : il existe des effets secondaires pour inviter avant d’exécuter des contrôles ActiveX et des scripts actifs. De nombreux sites Web qui se trouvent sur Internet ou sur un intranet utilisent ActiveX ou Active Scripting pour fournir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peut utiliser des contrôles ActiveX pour fournir des menus, des formulaires de commande ou même des relevés de compte. L’invite avant d’exécuter des contrôles ActiveX ou un script actif est un paramètre global qui affecte tous les sites Internet et intranet. Vous serez invité fréquemment lorsque vous activez cette solution de contournement. Pour chaque invite, si vous pensez que vous faites confiance au site que vous visitez, cliquez sur Oui pour exécuter des contrôles ActiveX ou des scripts actifs. Si vous ne souhaitez pas être invité à entrer tous ces sites, suivez les étapes décrites dans « Ajouter des sites approuvés à la zone sites approuvés Internet Explorer ».

Ajouter des sites approuvés à la zone sites approuvés d’Internet Explorer

Après avoir défini Internet Explorer pour exiger une invite avant d’exécuter des contrôles ActiveX et des scripts actifs dans la zone Internet et dans la zone intranet local, vous pouvez ajouter des sites que vous approuvez à la zone sites approuvés d’Internet Explorer. Cela vous permettra de continuer à utiliser des sites Web approuvés exactement comme vous le faites aujourd’hui, tout en vous aidant à vous protéger contre cette attaque sur des sites non approuvés. Nous vous recommandons d’ajouter uniquement des sites approuvés à la zone sites approuvés.

Pour accomplir cette tâche, procédez comme suit :

  1. Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l’onglet Sécurité .
  2. Dans la zone Sélectionner un contenu web pour spécifier sa zone de paramètres de sécurité actuelle, cliquez sur Sites approuvés, puis sur Sites.
  3. Si vous souhaitez ajouter des sites qui ne nécessitent pas de canal chiffré, cliquez pour effacer la case Exiger la vérification du serveur (https :) pour tous les sites de cette zone case activée zone.
  4. Dans la zone Ajouter ce site Web à la zone de zone , tapez l’URL d’un site approuvé, puis cliquez sur Ajouter.
  5. Répétez ces étapes pour chaque site que vous souhaitez ajouter à la zone.
  6. Cliquez sur OK deux fois pour accepter les modifications et revenir à Internet Explorer.

Notez que vous ajoutez tous les sites que vous approuvez pour ne pas effectuer d’action malveillante sur votre ordinateur. En particulier, vous pouvez ajouter *.windowsupdate.microsoft.com et *.update.microsoft.com. Il s’agit des sites qui hébergeront la mise à jour et qui nécessitent un contrôle ActiveX pour installer la mise à jour.

Configurer Internet Explorer pour qu’il vous invite avant d’exécuter un script actif ou de désactiver le script actif dans la zone de sécurité Internet et intranet local

Vous pouvez vous protéger contre cette vulnérabilité en modifiant vos paramètres Internet Explorer pour qu’ils s’affichent avant d’exécuter un script actif ou pour désactiver le script actif dans la zone de sécurité Internet et intranet local. Pour ce faire, procédez comme suit :

  1. Dans Internet Explorer, cliquez sur Options Internet dans le menu Outils .
  2. Cliquez sur l’onglet Security .
  3. Cliquez sur Internet, puis sur Niveau personnalisé.
  4. Sous Paramètres, dans la section Script, sous Script actif, cliquez sur Inviteou Désactiver, puis sur OK.
  5. Cliquez sur Intranet local, puis sur Niveau personnalisé.
  6. Sous Paramètres, dans la section Script, sous Script actif, cliquez sur Inviteou Désactiver, puis sur OK.
  7. Cliquez sur OK deux fois pour revenir à Internet Explorer.

Notez que la désactivation des scripts actifs dans les zones de sécurité Internet et Intranet local peut entraîner le fonctionnement incorrect de certains sites Web. Si vous avez des difficultés à utiliser un site Web après avoir modifié ce paramètre et que vous êtes sûr que le site est sûr d’être utilisé, vous pouvez ajouter ce site à votre liste de sites approuvés. Cela permettra au site de fonctionner correctement.

Impact de la solution de contournement : il existe des effets secondaires pour inviter avant d’exécuter le script actif. De nombreux sites Web qui se trouvent sur Internet ou sur un intranet utilisent le script actif pour fournir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peut utiliser le script actif pour fournir des menus, des formulaires de commande ou même des relevés de compte. L’invite avant d’exécuter le script actif est un paramètre global qui affecte tous les sites Internet et intranet. Vous serez invité fréquemment lorsque vous activez cette solution de contournement. Pour chaque invite, si vous pensez que vous faites confiance au site que vous visitez, cliquez sur Oui pour exécuter le script actif. Si vous ne souhaitez pas être invité à entrer tous ces sites, suivez les étapes décrites dans « Ajouter des sites approuvés à la zone sites approuvés Internet Explorer ».

Ajouter des sites approuvés à la zone sites approuvés d’Internet Explorer

Après avoir défini Internet Explorer pour exiger une invite avant d’exécuter des contrôles ActiveX et des scripts actifs dans la zone Internet et dans la zone intranet local, vous pouvez ajouter des sites que vous approuvez à la zone sites approuvés d’Internet Explorer. Cela vous permettra de continuer à utiliser des sites Web approuvés exactement comme vous le faites aujourd’hui, tout en vous aidant à vous protéger contre cette attaque sur des sites non approuvés. Nous vous recommandons d’ajouter uniquement des sites approuvés à la zone sites approuvés.

Pour accomplir cette tâche, procédez comme suit :

  1. Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l’onglet Sécurité .
  2. Dans la zone Sélectionner un contenu web pour spécifier sa zone de paramètres de sécurité actuelle, cliquez sur Sites approuvés, puis sur Sites.
  3. Si vous souhaitez ajouter des sites qui ne nécessitent pas de canal chiffré, cliquez pour effacer la case Exiger la vérification du serveur (https :) pour tous les sites de cette zone case activée zone.
  4. Dans la zone Ajouter ce site Web à la zone de zone , tapez l’URL d’un site approuvé, puis cliquez sur Ajouter.
  5. Répétez ces étapes pour chaque site que vous souhaitez ajouter à la zone.
  6. Cliquez sur OK deux fois pour accepter les modifications et revenir à Internet Explorer.

Notez que vous ajoutez tous les sites que vous approuvez pour ne pas effectuer d’action malveillante sur votre ordinateur. En particulier, vous pouvez ajouter *.windowsupdate.microsoft.com et *.update.microsoft.com. Il s’agit des sites qui hébergeront la mise à jour et qui nécessitent un contrôle ActiveX pour installer la mise à jour.

Autres informations

Ressources :

  • Vous pouvez fournir des commentaires en remplissant le formulaire en consultant l’aide et le support Microsoft : Contactez-nous.
  • Les clients du États-Unis et du Canada peuvent recevoir un soutien technique du support technique. Pour plus d’informations sur les options de support disponibles, consultez Aide et support Microsoft.
  • Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Pour plus d’informations sur la façon de contacter Microsoft pour connaître les problèmes de support international, visitez le support international.
  • Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.

Exclusion de responsabilité :

Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.

Révisions:

  • V1.0 (28 juillet 2009) : Avis publié.
  • V2.0 (11 août 2009) : Avis révisé pour ajouter des entrées dans la section Mises à jour relative à ATL pour communiquer la publication du Bulletin de sécurité Microsoft MS09-037, « Les vulnérabilités dans microsoft Active Template Library (ATL) pourraient autoriser l’exécution de code à distance » et la réécriture du Bulletin de sécurité Microsoft MS09-035, « Les vulnérabilités dans la bibliothèque de modèles active Visual Studio pourraient autoriser l’exécution de code à distance, « pour proposer des mises à jour supplémentaires.
  • V3.0 (25 août 2009) : avis révisé pour fournir des détails sur la version de Windows Live Messenger 14.0.8089 et pour communiquer la suppression de la fonctionnalité « Attacher une photo » de Windows Live Hotmail.
  • V4.0 (13 octobre 2009) : Avis révisé pour ajouter une entrée dans la section Mises à jour relative à ATL pour communiquer la publication du Bulletin de sécurité Microsoft MS09-060, « Vulnérabilités dans les contrôles Active Template Library (ATL) Microsoft activex pour Microsoft Bureau Pourrait autoriser l’exécution de code à distance ».

Construit à 2014-04-18T13 :49 :36Z-07 :00