Bulletin de sécurité Microsoft MS15-049 - Important

  • Article

La vulnérabilité dans Silverlight pourrait autoriser l’élévation de privilèges (3058985)

Publication : 12 mai 2015 | Mise à jour : 23 juin 2015

Version : 1.1

Résumé

Cette mise à jour de sécurité résout une vulnérabilité dans Microsoft Silverlight. La vulnérabilité peut autoriser l’élévation de privilèges si une application Silverlight spécialement conçue est exécutée sur un système affecté. Pour exploiter la vulnérabilité, un attaquant doit d’abord se connecter au système ou convaincre un utilisateur connecté d’exécuter l’application spécialement conçue.

Cette mise à jour de sécurité est évaluée comme importante pour Microsoft Silverlight 5 et Microsoft Silverlight 5 Developer Runtime lorsqu’elle est installée sur Mac ou toutes les versions prises en charge de Microsoft Windows. Pour plus d’informations, consultez la section Logiciels affectés.

La mise à jour de sécurité résout la vulnérabilité en ajoutant des case activée supplémentaires pour garantir que les processus non élevés sont limités à s’exécuter à un niveau d’intégrité faible (autorisations très limitées). Pour plus d’informations sur la vulnérabilité, consultez la section Informations sur les vulnérabilités.

Pour plus d’informations sur cette mise à jour, consultez l’article de la Base de connaissances Microsoft 3058985.

Logiciel affecté

Les versions ou éditions logicielles suivantes sont affectées. Les versions ou éditions qui ne sont pas répertoriées sont passées par leur cycle de vie de support ou ne sont pas affectées. Pour déterminer le cycle de vie de prise en charge de votre version ou édition logicielle, consultez Support Microsoft cycle de vie.

Système d’exploitation Impact maximal sur la sécurité Évaluation de gravité agrégée Mises à jour remplacé
Logiciels
Microsoft Silverlight 5 lorsqu’il est installé sur Mac (3056819) Important Élévation de privilège 2932677 dans MS14-014
Microsoft Silverlight 5 Developer Runtime lorsqu’il est installé sur Mac (3056819) Important Élévation de privilège 2932677 dans MS14-014
Microsoft Silverlight 5 lorsqu’il est installé sur toutes les versions prises en charge des clients Microsoft Windows (3056819) Important Élévation de privilège 2932677 dans MS14-014
Microsoft Silverlight 5 Developer Runtime lorsqu’il est installé sur toutes les versions prises en charge des clients Microsoft Windows (3056819) Important Élévation de privilège 2932677 dans MS14-014
Microsoft Silverlight 5 lorsqu’il est installé sur toutes les versions prises en charge des serveurs Microsoft Windows (3056819) Important Élévation de privilège 2932677 dans MS14-014
Microsoft Silverlight 5 Developer Runtime lorsqu’il est installé sur toutes les versions prises en charge des serveurs Microsoft Windows (3056819) Important Élévation de privilège 2932677 dans MS14-014

Évaluations de gravité et identificateurs de vulnérabilité

Les évaluations de gravité suivantes supposent l’impact maximal potentiel de la vulnérabilité. Pour plus d’informations sur la probabilité, dans les 30 jours suivant la publication de ce bulletin de sécurité, de l’exploitabilité de la vulnérabilité par rapport à son impact sur la gravité et la sécurité, consultez l’index exploitabilité dans le résumé du bulletin de mai.

Évaluation de la gravité des vulnérabilités et impact maximal sur la sécurité par les logiciels affectés
Logiciel affecté Vulnérabilité de l’application Microsoft Silverlight hors navigateur - CVE-2015-1715 Évaluation de gravité agrégée
Microsoft Silverlight 5 lorsqu’il est installé sur Mac (3056819) Élévation de privilège importante Important
Microsoft Silverlight 5 Developer Runtime lorsqu’il est installé sur Mac (3056819) Élévation de privilège importante Important
Microsoft Silverlight 5 lorsqu’il est installé sur toutes les versions prises en charge des clients Microsoft Windows (3056819) Élévation de privilège importante Important
Microsoft Silverlight 5 Developer Runtime lorsqu’il est installé sur toutes les versions prises en charge des clients Microsoft Windows (3056819) Élévation de privilège importante Important
Microsoft Silverlight 5 lorsqu’il est installé sur toutes les versions prises en charge des serveurs Microsoft Windows (3056819) Élévation de privilège importante Important
Microsoft Silverlight 5 Developer Runtime lorsqu’il est installé sur toutes les versions prises en charge des serveurs Microsoft Windows (3056819) Élévation de privilège importante Important

Faq sur la mise à jour

Pourquoi les mêmes fichiers de mise à jour dans ce bulletin sont-ils également indiqués dans le bulletin GDI+ ?
Bien que ce bulletin et le bulletin GDI+ publient simultanément chacune d’elles répondent à différentes vulnérabilités de sécurité, les mises à jour de sécurité pour chacune d’elles ont été consolidées, ce qui entraîne l’apparition de fichiers de mise à jour identiques dans les deux bulletins.

Notez que les packages de mise à jour identiques indiqués dans plusieurs bulletins n’ont pas besoin d’être installés plusieurs fois.

Quels navigateurs web prennent en charge les applications Microsoft Silverlight ?
Pour exécuter des applications Microsoft Silverlight, la plupart des navigateurs web, y compris Microsoft Internet Explorer, nécessitent que Microsoft Silverlight soit installé et que le plug-in correspondant soit activé. Pour plus d’informations sur Microsoft Silverlight, consultez le site officiel, Microsoft Silverlight. Reportez-vous à la documentation de votre navigateur pour en savoir plus sur la désactivation ou la suppression des plug-ins.

Quelles sont les versions de Microsoft Silverlight 5 affectées par la vulnérabilité ?
Microsoft Silverlight build 5.1.40416.00, qui était la build actuelle de Microsoft Silverlight à partir du moment où ce bulletin a été publié pour la première fois, traite la vulnérabilité et n’est pas affecté. Les builds de Microsoft Silverlight antérieures à la version 5.1.40416.00 sont affectées.

Comment faire connaître la version et la build de Microsoft Silverlight actuellement installées sur mon système ?
Si Microsoft Silverlight est déjà installé sur votre ordinateur, vous pouvez consulter la page Obtenir Microsoft Silverlight , qui indique la version et la build de Microsoft Silverlight actuellement installées sur votre système. Vous pouvez également utiliser la fonctionnalité Gérer les modules complémentaires des versions actuelles de Microsoft Internet Explorer pour déterminer la version et les informations de génération actuellement installées sur votre système.

Vous pouvez également case activée manuellement le numéro de version de sllauncher.exe situé dans le répertoire « %ProgramFiles%\Microsoft Silverlight » (sur les systèmes Microsoft Windows x86) ou dans le répertoire « %ProgramFiles(x86)%\Microsoft Silverlight » (sur les systèmes Microsoft Windows x64).

En outre, sur Microsoft Windows, les informations de version et de build de la version actuellement installée de Microsoft Silverlight se trouvent dans le Registre à l’adresse [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Silverlight] :Version sur les systèmes Microsoft Windows x86 ou [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Silverlight] :Version sur les systèmes Microsoft Windows x64.

Sur Apple Mac OS, les informations de version et de build de la version actuellement installée de Microsoft Silverlight sont disponibles comme suit :

  1. Ouvrir le Finder
  2. Sélectionnez le lecteur système et accédez au dossier Plug-ins Internet - Bibliothèque
  3. Cliquez avec le bouton droit sur le fichier Silverlight.Plug-in (si votre souris n’a qu’un seul bouton, appuyez sur La touche Ctrl tout en cliquant sur le fichier) pour afficher le menu contextuel, puis cliquez sur Afficher le contenu du package.
  4. Dans le dossier de contenu, recherchez le fichier info.plist et ouvrez-le avec un éditeur. Il contient une entrée similaire à celle-ci, qui affiche le numéro de version :
    SilverlightVersion
    5.1.40416.00

La version installée avec cette mise à jour de sécurité pour Microsoft Silverlight 5 est 5.1.40416.00. Si votre numéro de version Microsoft Silverlight 5 est supérieur ou égal à ce numéro de version, votre système n’est pas vulnérable.

Comment faire mettre à niveau ma version de Microsoft Silverlight ?
La fonctionnalité de mise à jour automatique de Microsoft Silverlight permet de s’assurer que votre installation de Microsoft Silverlight est mise à jour avec la dernière version de Microsoft Silverlight, la fonctionnalité Microsoft Silverlight et les fonctionnalités de sécurité. Pour plus d’informations sur la fonctionnalité de mise à jour automatique de Microsoft Silverlight, consultez Microsoft Silverlight Updater. Les utilisateurs Windows qui ont désactivé la fonctionnalité de mise à jour automatique de Microsoft Silverlight peuvent s’inscrire à Microsoft Update pour obtenir la dernière version de Microsoft Silverlight ou télécharger la dernière version de Microsoft Silverlight manuellement à l’aide du lien de téléchargement dans la table des logiciels affectés dans la section précédente, Logiciels affectés et non affectés. Pour plus d’informations sur le déploiement de Microsoft Silverlight dans un environnement d’entreprise, consultez le Guide de déploiement d’entreprise Silverlight.

Cette mise à jour va-t-elle mettre à niveau ma version de Silverlight ?
La mise à jour 3056819 met à niveau les versions précédentes de Silverlight vers Silverlight version 5.1.40416.00. Microsoft recommande la mise à niveau pour être protégée contre la vulnérabilité décrite dans ce bulletin.

Où puis-je trouver des informations supplémentaires sur le cycle de vie du produit Silverlight ?
Pour plus d’informations sur le cycle de vie propres à Silverlight, consultez la politique de cycle de vie du support Microsoft Silverlight.

Informations sur la vulnérabilité

Vulnérabilité de l’application Microsoft Silverlight hors navigateur - CVE-2015-1715

Une vulnérabilité d’élévation de privilèges existe dans Microsoft Silverlight qui est due au fait que Silverlight autorise incorrectement les applications destinées à s’exécuter à un niveau d’intégrité faible (autorisations très limitées) à exécuter à un niveau d’intégrité moyen (autorisations de l’utilisateur actuel) ou supérieure. Pour exploiter cette vulnérabilité, un attaquant doit d’abord se connecter au système ou convaincre un utilisateur connecté d’exécuter une application Silverlight spécialement conçue.

Un attaquant qui a réussi à exploiter cette vulnérabilité peut exécuter du code arbitraire avec le même niveau d’autorisations que l’utilisateur actuellement connecté. Un attaquant peut ensuite installer des programmes ; afficher, modifier ou supprimer des données ; ou créez des comptes avec des droits d’administration complets. La mise à jour résout la vulnérabilité en ajoutant des case activée supplémentaires pour garantir que les processus non élevés sont limités à s’exécuter à un niveau d’intégrité faible (autorisations très limitées).

Microsoft a reçu des informations sur cette vulnérabilité par le biais d’une divulgation coordonnée des vulnérabilités. Lorsque ce bulletin de sécurité a été émis à l’origine, Microsoft n’avait reçu aucune information pour indiquer que cette vulnérabilité avait été utilisée publiquement pour attaquer les clients.

Facteurs d’atténuation

Microsoft n’a pas identifié de facteurs d’atténuation pour cette vulnérabilité.

Solutions de contournement

Les solutions de contournement suivantes peuvent être utiles dans votre situation :

  • Empêcher temporairement l’exécution de Microsoft Silverlight dans Internet Explorer

    1. Dans Internet Explorer, accédez au menu Outils , puis cliquez sur Options Internet.
    2. Dans la fenêtre Options Internet, cliquez sur l’onglet Programmes , puis sur Gérer les modules complémentaires.
    3. Dans la liste barres d’outils et extensions, recherchez et sélectionnez Microsoft Silverlight, puis cliquez sur Désactiver.

     

  • Empêcher temporairement Microsoft Silverlight de s’exécuter dans Mozilla Firefox

    1. Dans Mozilla Firefox, accédez au menu Outils , puis cliquez sur Addons.
    2. Dans la fenêtre Compléments, cliquez sur l’onglet Plug-ins .
    3. Recherchez le plug-in Silverlight, puis cliquez sur Désactiver.

     

  • Empêcher temporairement Microsoft Silverlight de s’exécuter dans Google Chrome

    1. Dans Google Chrome, tapez about :plugins dans la barre d’adresses.
    2. Dans la fenêtre résultante, recherchez le plug-in Silverlight, puis désactivez-le.

     

  • Supprimer Silverlight.Configuration.exe de IE ElevationPolicy
    Avertissement Si vous utilisez l’Éditeur du Registre de manière incorrecte, vous risquez de provoquer de graves problèmes qui peuvent nécessiter la réinstallation de votre système d’exploitation. Microsoft ne peut pas vous garantir que vous pourrez résoudre les problèmes qui résulteront d'une mauvaise utilisation de l'éditeur du registre. Son utilisation est sous votre entière responsabilité.

    1. Ouvrez l'Éditeur du Registre.
    2. Développez HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Internet Explorer>Low Rights>ElevationPolicy
    3. Sélectionnez {003B91A6-61E3-4591-891D-01E94C8CB11E}
    4. Cliquez sur le menu Fichier , puis sur Exporter.
    5. Dans la fenêtre Exporter le fichier de Registre, tapez silverlight.configuration.exe_backup.reg , puis cliquez sur Enregistrer.
    6. Cliquez sur le menu Fichier , sur Supprimer, puis sur Oui.
    7. Fermez l’Éditeur de Registre.
    8. Déconnectez-vous, puis reconnectez-vous, ou redémarrez l’ordinateur.

     

Comment annuler la solution de contournement.

  1. Ouvrez l'Éditeur du Registre.
  2. Cliquez sur le menu Fichier , puis sur Importer.
  3. Dans la fenêtre Importer un fichier de Registre, cliquez sur silverlight.configuration.exe_backup.reg , puis sur Ouvrir.
  4. Fermez l’Éditeur de Registre.
  5. Déconnectez-vous, puis reconnectez-vous, ou redémarrez l’ordinateur.

Déploiement des mises à jour de sécurité

Pour plus d’informations sur le déploiement des mises à jour de sécurité, consultez l’article de la Base de connaissances Microsoft référencé dans le résumé exécutif.

Remerciements

Microsoft reconnaît les efforts de ceux de la communauté de sécurité qui nous aident à protéger les clients par le biais d’une divulgation coordonnée des vulnérabilités. Pour plus d’informations, consultez accusés de réception.

Exclusion de responsabilité

Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.

Révisions

  • V1.0 (12 mai 2015) : Bulletin publié.
  • V1.1 (23 juin 2015) : Bulletin révisé pour annoncer une modification de détection dans la mise à jour 3056819 pour Microsoft Silverlight 5. Il s’agit d’une modification de détection uniquement. Les clients qui ont déjà mis à jour leurs systèmes n’ont pas besoin d’agir.

Page générée 2015-06-23 10 :35Z-07 :00.