Bulletin de sécurité Microsoft MS15-065 - Critique
Mise à jour de sécurité pour Internet Explorer (3076321)
Publication : 22 juillet 2015
Version : 1.1
Résumé
Cette mise à jour de sécurité résout les vulnérabilités dans Internet Explorer. Les vulnérabilités les plus graves peuvent permettre l’exécution de code à distance si un utilisateur consulte une page web spécialement conçue à l’aide d’Internet Explorer. Un attaquant qui a réussi à exploiter ces vulnérabilités pourrait obtenir les mêmes droits d’utilisateur que l’utilisateur actuel. Les clients dont les comptes sont configurés pour avoir moins de droits d’utilisateur sur le système peuvent être moins affectés que ceux qui opèrent avec des droits d’utilisateur administratifs.
Cette mise à jour de sécurité est évaluée critique pour Internet Explorer 6 (IE 6), Internet Explorer 7 (IE 7), Internet Explorer 8 (IE 8), Internet Explorer 9 (IE 9), Internet Explorer 10 (IE 10) et Internet Explorer 11 (IE 11) sur les clients Windows affectés, et Modéré pour Internet Explorer 6 (IE 6), Internet Explorer 7 (IE 7), Internet Explorer 8 (IE 8), Internet Explorer 9 (IE 9), Internet Explorer 10 (IE 10) et Internet Explorer 11 (IE 11) sur les serveurs Windows affectés. Pour plus d’informations, consultez la section Logiciels affectés.
La mise à jour de sécurité résout les vulnérabilités par :
- Modification de la façon dont Internet Explorer, VBScript et JScript gèrent les objets en mémoire
- Aider à garantir que les versions affectées d’Internet Explorer implémentent correctement la fonctionnalité de sécurité CFG
- Empêcher le filtre XSS dans Internet Explorer de désactiver incorrectement les attributs HTML
- Ajout de validations d’autorisations supplémentaires à Internet Explorer
- Aider à garantir que les versions affectées d’Internet Explorer implémentent correctement la fonctionnalité de sécurité ASLR
- Aider à garantir que les stratégies inter-domaines sont correctement appliquées dans Internet Explorer
- Aider à restreindre les informations retournées aux feuilles de style externes
- Aider à s’assurer que les chemins d’accès aux fichiers sont correctement validés avant de retourner des données de fichier à l’utilisateur
- Aider à s’assurer que les demandes de ressources de module sont correctement validées dans Internet Explorer
Pour plus d’informations sur les vulnérabilités, consultez la section Informations sur les vulnérabilités.
Pour plus d’informations sur cette mise à jour, consultez l’article 3065822 de la Base de connaissances Microsoft.
Logiciel affecté
Les versions ou éditions logicielles suivantes sont affectées. Les versions ou éditions qui ne sont pas répertoriées sont passées par leur cycle de vie de support ou ne sont pas affectées. Pour déterminer le cycle de vie de prise en charge de votre version ou édition logicielle, consultez Support Microsoft cycle de vie.
Logiciel affecté
| Système d’exploitation | Composant | Impact maximal sur la sécurité | Évaluation de gravité agrégée | Mises à jour remplacé* |
|---|---|---|---|---|
| Internet Explorer 6 | ||||
| Windows Server 2003 Service Pack 2 | Internet Explorer 6 (3065822) | Exécution de code à distance | Modéré | 3058515 dans MS15-056 |
| Windows Server 2003 x64 Edition Service Pack 2 | Internet Explorer 6 (3065822) | Exécution de code à distance | Modéré | 3058515 dans MS15-056 |
| Windows Server 2003 avec SP2 pour les systèmes Itanium | Internet Explorer 6 (3065822) | Exécution de code à distance | Modéré | 3058515 dans MS15-056 |
| Internet Explorer 7 | ||||
| Windows Server 2003 Service Pack 2 | Internet Explorer 7 (3065822) | Exécution de code à distance | Modéré | 3058515 dans MS15-056 |
| Windows Server 2003 x64 Edition Service Pack 2 | Internet Explorer 7 (3065822) | Exécution de code à distance | Modéré | 3058515 dans MS15-056 |
| Windows Server 2003 avec SP2 pour les systèmes Itanium | Internet Explorer 7 (3065822) | Exécution de code à distance | Modéré | 3058515 dans MS15-056 |
| Windows Vista Service Pack 2 | Internet Explorer 7 (3065822) | Exécution de code à distance | Critique | 3058515 dans MS15-056 |
| Windows Vista x64 Edition Service Pack 2 | Internet Explorer 7 (3065822) | Exécution de code à distance | Critique | 3058515 dans MS15-056 |
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 | Internet Explorer 7 (3065822) | Exécution de code à distance | Modéré | 3058515 dans MS15-056 |
| Windows Server 2008 pour systèmes x64 Service Pack 2 | Internet Explorer 7 (3065822) | Exécution de code à distance | Modéré | 3058515 dans MS15-056 |
| Windows Server 2008 pour les systèmes Itanium Service Pack 2 | Internet Explorer 7 (3065822) | Exécution de code à distance | Modéré | 3058515 dans MS15-056 |
| Internet Explorer 8 | ||||
| Windows Server 2003 Service Pack 2 | Internet Explorer 8 (3065822) | Exécution de code à distance | Modéré | 3058515 dans MS15-056 |
| Windows Server 2003 x64 Edition Service Pack 2 | Internet Explorer 8 (3065822) | Exécution de code à distance | Modéré | 3058515 dans MS15-056 |
| Windows Vista Service Pack 2 | Internet Explorer 8 (3065822) | Exécution de code à distance | Critique | 3058515 dans MS15-056 |
| Windows Vista x64 Edition Service Pack 2 | Internet Explorer 8 (3065822) | Exécution de code à distance | Critique | 3058515 dans MS15-056 |
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 | Internet Explorer 8 (3065822) | Exécution de code à distance | Modéré | 3058515 dans MS15-056 |
| Windows Server 2008 pour systèmes x64 Service Pack 2 | Internet Explorer 8 (3065822) | Exécution de code à distance | Modéré | 3058515 dans MS15-056 |
| Windows 7 pour systèmes 32 bits Service Pack 1 | Internet Explorer 8 (3065822) | Exécution de code à distance | Critique | 3058515 dans MS15-056 |
| Windows 7 pour systèmes x64 Service Pack 1 | Internet Explorer 8 (3065822) | Exécution de code à distance | Critique | 3058515 dans MS15-056 |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 | Internet Explorer 8 (3065822) | Exécution de code à distance | Modéré | 3058515 dans MS15-056 |
| Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1 | Internet Explorer 8 (3065822) | Exécution de code à distance | Modéré | 3058515 dans MS15-056 |
| Internet Explorer 9 | ||||
| Windows Vista Service Pack 2 | Internet Explorer 9 (3065822) | Exécution de code à distance | Critique | 3058515 dans MS15-056 |
| Windows Vista x64 Edition Service Pack 2 | Internet Explorer 9 (3065822) | Exécution de code à distance | Critique | 3058515 dans MS15-056 |
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 | Internet Explorer 9 (3065822) | Exécution de code à distance | Modéré | 3058515 dans MS15-056 |
| Windows Server 2008 pour systèmes x64 Service Pack 2 | Internet Explorer 9 (3065822) | Exécution de code à distance | Modéré | 3058515 dans MS15-056 |
| Windows 7 pour systèmes 32 bits Service Pack 1 | Internet Explorer 9 (3065822) | Exécution de code à distance | Critique | 3058515 dans MS15-056 |
| Windows 7 pour systèmes x64 Service Pack 1 | Internet Explorer 9 (3065822) | Exécution de code à distance | Critique | 3058515 dans MS15-056 |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 | Internet Explorer 9 (3065822) | Exécution de code à distance | Modéré | 3058515 dans MS15-056 |
| Internet Explorer 10 | ||||
| Windows 7 pour systèmes 32 bits Service Pack 1 | Internet Explorer 10 (3065822) | Exécution de code à distance | Critique | 3058515 dans MS15-056 |
| Windows 7 pour systèmes x64 Service Pack 1 | Internet Explorer 10 (3065822) | Exécution de code à distance | Critique | 3058515 dans MS15-056 |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 | Internet Explorer 10 (3065822) | Exécution de code à distance | Modéré | 3058515 dans MS15-056 |
| Windows 8 pour les systèmes 32 bits | Internet Explorer 10 (3065822) | Exécution de code à distance | Critique | 3058515 dans MS15-056 |
| Windows 8 pour systèmes x64 | Internet Explorer 10 (3065822) | Exécution de code à distance | Critique | 3058515 dans MS15-056 |
| Windows Server 2012 | Internet Explorer 10 (3065822) | Exécution de code à distance | Modéré | 3058515 dans MS15-056 |
| Windows RT | Internet Explorer 10[1](3065822) | Exécution de code à distance | Critique | 3058515 dans MS15-056 |
| Internet Explorer 11 | ||||
| Windows 7 pour systèmes 32 bits Service Pack 1 | Internet Explorer 11 (3065822) | Exécution de code à distance | Critique | 3058515 dans MS15-056 |
| Windows 7 pour systèmes x64 Service Pack 1 | Internet Explorer 11 (3065822) | Exécution de code à distance | Critique | 3058515 dans MS15-056 |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 | Internet Explorer 11 (3065822) | Exécution de code à distance | Modéré | 3058515 dans MS15-056 |
| Windows 8.1 pour les systèmes 32 bits | Internet Explorer 11 (3065822) | Exécution de code à distance | Critique | 3058515 dans MS15-056 |
| Windows 8.1 pour les systèmes x64 | Internet Explorer 11 (3065822) | Exécution de code à distance | Critique | 3058515 dans MS15-056 |
| Windows Server 2012 R2 | Internet Explorer 11 (3065822) | Exécution de code à distance | Modéré | 3058515 dans MS15-056 |
| Windows RT 8.1 | Internet Explorer 11[1](3065822) | Exécution de code à distance | Critique | 3058515 dans MS15-056 |
[1]Cette mise à jour est disponible via Windows Update.
*La colonne Mises à jour remplacée affiche uniquement la dernière mise à jour dans une chaîne de mises à jour remplacées. Pour obtenir la liste complète des mises à jour remplacées, accédez au catalogue Microsoft Update, recherchez le numéro de mise à jour Ko, puis affichez les détails de la mise à jour (les informations remplacées sont sous l’onglet Détails du package).
Faq sur la mise à jour
J’exécute Internet Explorer 7, Internet Explorer 8 ou Internet Explorer 9. Y a-t-il des mises à jour supplémentaires que je devrais connaître ?
Oui. Pour Internet Explorer 7, Internet Explorer 8 et Internet Explorer 9, la mise à jour 3074886 est groupée avec les 3065822 de mise à jour. Pour plus d’informations sur cette mise à jour, consultez l’article de la Base de connaissances Microsoft 3074886.
Remarque pour windows Update, Windows Server Update Services (WSUS) ou les clients du catalogue Microsoft Update :
Les 3074886 de mise à jour sont installées automatiquement et de manière transparente avec les 3065822 de mise à jour de sécurité. Les 3074886 de mise à jour s’affichent séparément des 3065822 de mise à jour de sécurité dans la liste des mises à jour installées lors de l’affichage dans l’élément Ajouter supprimer des programmes ou des fonctionnalités dans Panneau de configuration.
Remarque pour les clients du Centre de téléchargement :
Si vous téléchargez et installez les mises à jour manuellement, vous devez d’abord installer la mise à jour 3065822 avant d’installer la mise à jour 3074886. L’échec du suivi de l’ordre d’installation ou de l’échec de l’installation des 3074886 après l’installation de 3065822 peut entraîner une dégradation des fonctionnalités.
J’exécute Internet Explorer 10 ou Internet Explorer 11. Existe-t-il d’autres mises à jour supplémentaires dont je dois être informé ?
Oui. Les systèmes exécutant Internet Explorer 10 ou Internet Explorer 11 ne seront pas entièrement protégés tant que vous n’avez pas installé les 3065822 de mise à jour de sécurité et les 3075516 de mise à jour de sécurité. En outre, les 3074886 de mise à jour sont également regroupées avec les 3065822 de mise à jour.
Remarque pour windows Update, Windows Server Update Services (WSUS) ou les clients du catalogue Microsoft Update :
Les 3075516 de mise à jour de sécurité et les 3074886 de mise à jour sont installés automatiquement et de manière transparente avec les 3065822 de mise à jour de sécurité sur les systèmes applicables. Mises à jour 3075516 et 3074886 s’affichent séparément des 3065822 de mise à jour dans la liste des mises à jour installées lors de l’affichage dans le Ajoutez ou supprimez des programmes ou l’élément Programmes et fonctionnalités dans Panneau de configuration.
Remarque pour les clients du Centre de téléchargement :
Si vous téléchargez et installez les mises à jour manuellement, vous devez d’abord installer la mise à jour de sécurité 3065822 avant d’installer la mise à jour 3075516 ou de mettre à jour 3074886. L’échec du suivi de l’ordre d’installation ou de l’échec de l’installation des 3075516 et des 3074886 après l’installation de 3065822 peut entraîner une dégradation des fonctionnalités.
Pour traiter CVE-2015-2372, quelles mises à jour s’appliquent à mon système ?
CVE-2015-2372 est une vulnérabilité dans le moteur VBScript. Bien que le vecteur d’attaque soit via Internet Explorer, la vulnérabilité est traitée par cette mise à jour (3065822) uniquement pour les systèmes exécutant Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 et Internet Explorer 11. Pour Internet Explorer 7 et versions antérieures et pour les systèmes sans Internet Explorer installé, la vulnérabilité est traitée par la mise à jour décrite dans MS15-066.
La mise à jour qui traite CVE-2015-2372 dépend de la version du moteur de script VBScript installée sur votre système. Pour plus d’informations sur la mise à jour, consultez le tableau suivant.
| Version | MS15-066 | MS15-065 |
|---|---|---|
| VBScript 5.6 \ (Internet Explorer 6) | VBScript 5.6 \ (3072604) | Non applicable |
| VBScript 5.7\ (Internet Explorer 6 et Internet Explorer 7) | VBScript 5.7 \ (3072604) | Non applicable |
| VBScript 5.8 \ (Internet Explorer 8) | VBScript 5.8 \ (3072604)\ (installation principale de Windows Server sur Windows Server 2008 R2 uniquement) | Internet Explorer 8 \ (3065822) |
| VBScript 5.8 \ (Internet Explorer 9) | Non applicable | Internet Explorer 9 \ (3065822) |
| VBScript 5.8 \ (Internet Explorer 10) | Non applicable | Internet Explorer 10 \ (3065822) |
| VBScript 5.8 \ (Internet Explorer 11) | Non applicable | Internet Explorer 11 \ (3065822) |
Évaluations de gravité et identificateurs de vulnérabilité
Les évaluations de gravité suivantes supposent l’impact maximal potentiel de la vulnérabilité. Pour plus d’informations sur la probabilité, dans les 30 jours suivant la publication de ce bulletin de sécurité, de l’exploitabilité de la vulnérabilité par rapport à son impact sur la gravité et la sécurité, consultez l’index exploitabilité dans le résumé du bulletin de juillet.
Lorsqu’elles sont spécifiées dans la table Évaluation de gravité et impact, les valeurs critiques, importantes et modérées indiquent des évaluations de gravité. Pour plus d’informations, consultez Le système d’évaluation de gravité du bulletin de sécurité. Reportez-vous à la clé suivante pour les abréviations utilisées dans le tableau pour indiquer l’impact maximal :
| Abréviation | Impact maximal |
|---|---|
| RCE | Exécution de code à distance |
| Eop | Élévation de privilège |
| id | Divulgation d’informations |
| SFB | Contournement des fonctionnalités de sécurité |
| Évaluation et impact des gravités des vulnérabilités | |||||||
|---|---|---|---|---|---|---|---|
| Numéro CVE | Titre de la vulnérabilité | Internet Explorer 6 | Internet Explorer 7 | Internet Explorer 8 | Internet Explorer 9 | Internet Explorer 10 | Internet Explorer 11 |
| CVE-2015-1729 | Vulnérabilité de divulgation d’informations Internet Explorer | Non applicable | Non applicable | Non applicable | Clients Windows : Important / ID Serveurs Windows : Faible / ID | Clients Windows : Important / ID Serveurs Windows : Faible / ID | Clients Windows : Important / ID Serveurs Windows : Faible / ID |
| CVE-2015-1733 | Vulnérabilité d’altération de la mémoire d’Internet Explorer | Non applicable | Non applicable | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE |
| CVE-2015-1738 | Vulnérabilité d’altération de la mémoire d’Internet Explorer | Non applicable | Non applicable | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Non applicable | Non applicable |
| CVE-2015-1767 | Vulnérabilité d’altération de la mémoire d’Internet Explorer | Non applicable | Non applicable | Non applicable | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE |
| CVE-2015-2372 | Vulnérabilité d’altération de la mémoire VBScript | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE |
| CVE-2015-2383 | Vulnérabilité d’altération de la mémoire d’Internet Explorer | Non applicable | Non applicable | Non applicable | Non applicable | Non applicable | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE |
| CVE-2015-2384 | Vulnérabilité d’altération de la mémoire d’Internet Explorer | Non applicable | Non applicable | Non applicable | Non applicable | Non applicable | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE |
| CVE-2015-2385 | Vulnérabilité d’altération de la mémoire d’Internet Explorer | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE |
| CVE-2015-2388 | Vulnérabilité d’altération de la mémoire d’Internet Explorer | Non applicable | Non applicable | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Non applicable | Non applicable |
| CVE-2015-2389 | Vulnérabilité d’altération de la mémoire d’Internet Explorer | Non applicable | Non applicable | Non applicable | Non applicable | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE |
| CVE-2015-2390 | Vulnérabilité d’altération de la mémoire d’Internet Explorer | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE |
| CVE-2015-2391 | Vulnérabilité d’altération de la mémoire d’Internet Explorer | Non applicable | Non applicable | Non applicable | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Non applicable | Non applicable |
| CVE-2015-2397 | Vulnérabilité d’altération de la mémoire d’Internet Explorer | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE |
| CVE-2015-2398 | Vulnérabilité de contournement du filtre XSS d’Internet Explorer | Non applicable | Non applicable | Clients Windows : Important / Serveurs Windows SFB : Faible / SFB | Clients Windows : Important / Serveurs Windows SFB : Faible / SFB | Clients Windows : Important / Serveurs Windows SFB : Faible / SFB | Clients Windows : Important / Serveurs Windows SFB : Faible / SFB |
| CVE-2015-2401 | Vulnérabilité d’altération de la mémoire d’Internet Explorer | Non applicable | Non applicable | Non applicable | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE |
| CVE-2015-2402 | Vulnérabilité d’élévation de privilèges d’Internet Explorer | Non applicable | Clients Windows : Serveurs Windows Importants / EoP : Faible / EoP | Clients Windows : Serveurs Windows Importants / EoP : Faible / EoP | Clients Windows : Serveurs Windows Importants / EoP : Faible / EoP | Clients Windows : Serveurs Windows Importants / EoP : Faible / EoP | Clients Windows : Serveurs Windows Importants / EoP : Faible / EoP |
| CVE-2015-2403 | Vulnérabilité d’altération de la mémoire d’Internet Explorer | Non applicable | Non applicable | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Non applicable | Non applicable | Non applicable |
| CVE-2015-2404 | Vulnérabilité d’altération de la mémoire d’Internet Explorer | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE |
| CVE-2015-2406 | Vulnérabilité d’altération de la mémoire d’Internet Explorer | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE |
| CVE-2015-2408 | Vulnérabilité d’altération de la mémoire d’Internet Explorer | Non applicable | Non applicable | Non applicable | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE |
| CVE-2015-2410 | Vulnérabilité de divulgation d’informations Internet Explorer | Clients Windows : Important / ID Serveurs Windows : Faible / ID | Clients Windows : Important / ID Serveurs Windows : Faible / ID | Clients Windows : Important / ID Serveurs Windows : Faible / ID | Clients Windows : Important / ID Serveurs Windows : Faible / ID | Clients Windows : Important / ID Serveurs Windows : Faible / ID | Clients Windows : Important / ID Serveurs Windows : Faible / ID |
| CVE-2015-2411 | Vulnérabilité d’altération de la mémoire d’Internet Explorer | Non applicable | Non applicable | Non applicable | Non applicable | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE |
| CVE-2015-2412 | Vulnérabilité de divulgation d’informations Internet Explorer | Non applicable | Non applicable | Non applicable | Non applicable | Clients Windows : Important / ID Serveurs Windows : Faible / ID | Clients Windows : Important / ID Serveurs Windows : Faible / ID |
| CVE-2015-2413 | Vulnérabilité de divulgation d’informations Internet Explorer | Clients Windows : Important / ID Serveurs Windows : Faible / ID | Clients Windows : Important / ID Serveurs Windows : Faible / ID | Clients Windows : Important / ID Serveurs Windows : Faible / ID | Clients Windows : Important / ID Serveurs Windows : Faible / ID | Clients Windows : Important / ID Serveurs Windows : Faible / ID | Clients Windows : Important / ID Serveurs Windows : Faible / ID |
| CVE-2015-2414 | Vulnérabilité de divulgation d’informations Internet Explorer | Non applicable | Non applicable | Clients Windows : Important / ID Serveurs Windows : Faible / ID | Clients Windows : Important / ID Serveurs Windows : Faible / ID | Clients Windows : Important / ID Serveurs Windows : Faible / ID | Clients Windows : Important / ID Serveurs Windows : Faible / ID |
| CVE-2015-2419 | Vulnérabilité d’altération de la mémoire Jscript9 | Non applicable | Non applicable | Non applicable | Non applicable | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE |
| CVE-2015-2421 | Contournement ASLR d’Internet Explorer | Clients Windows : Important / Serveurs Windows SFB : Faible / SFB | Clients Windows : Important / Serveurs Windows SFB : Faible / SFB | Clients Windows : Important / Serveurs Windows SFB : Faible / SFB | Clients Windows : Important / Serveurs Windows SFB : Faible / SFB | Clients Windows : Important / Serveurs Windows SFB : Faible / SFB | Clients Windows : Important / Serveurs Windows SFB : Faible / SFB |
| CVE-2015-2422 | Vulnérabilité d’altération de la mémoire d’Internet Explorer | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE |
| CVE-2015-2425 | Vulnérabilité d’altération de la mémoire d’Internet Explorer | Non applicable | Non applicable | Non applicable | Non applicable | Non applicable | Clients Windows : Serveurs Windows critiques / RCE : Modéré / RCE |
Informations sur la vulnérabilité
Vulnérabilité d’altération de la mémoire VBScript - CVE-2015-2372
Une vulnérabilité d’exécution de code à distance existe de la façon dont le moteur VBScript , lorsqu’il est rendu dans Internet Explorer, gère les objets en mémoire. Dans un scénario d’attaque basé sur le web, un attaquant peut héberger un site web spécialement conçu pour exploiter cette vulnérabilité via Internet Explorer, puis convaincre un utilisateur d’afficher le site web. Un attaquant peut également incorporer un contrôle ActiveX marqué comme « sécurisé pour l’initialisation » dans une application ou un document Microsoft Bureau qui héberge le moteur de rendu Internet Explorer. L’attaquant peut également tirer parti des sites web et sites web compromis qui acceptent ou hébergent du contenu ou des publicités fournis par l’utilisateur. Ces sites web peuvent contenir du contenu spécialement conçu qui pourrait exploiter cette vulnérabilité.
Un attaquant qui a réussi à exploiter cette vulnérabilité pourrait obtenir les mêmes droits d’utilisateur que l’utilisateur actuel. Si l’utilisateur actuel est connecté avec des droits d’utilisateur administratifs, un attaquant qui a réussi à exploiter cette vulnérabilité peut prendre le contrôle complet d’un système affecté. Un attaquant peut alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes avec des droits d’utilisateur complets. La mise à jour résout la vulnérabilité en modifiant la façon dont le moteur de script VBScript gère les objets en mémoire.
Le tableau suivant contient des liens vers l’entrée standard pour chaque vulnérabilité dans la liste Des vulnérabilités et des expositions courantes :
| Titre de la vulnérabilité | Numéro CVE | Divulgation publique | Exploités |
|---|---|---|---|
| Vulnérabilité d’altération de la mémoire VBScript | CVE-2015-2372 | Non | Non |
Facteurs d’atténuation
Microsoft n’a pas identifié de facteurs d’atténuation pour cette vulnérabilité.
Solutions de contournement
Les solutions de contournement suivantes peuvent être utiles dans votre situation :
Restreindre l’accès à VBScript.dll
- Pour les systèmes 32 bits, entrez la commande suivante à l’invite de commandes d’administration :
takeown /f %windir%\system32\vbscript.dll cacls %windir%\system32\vbscript.dll /E /P everyone:N- Pour les systèmes 64 bits, entrez la commande suivante à l’invite de commandes d’administration :
takeown /f %windir%\syswow64\vbscript.dll cacls %windir%\syswow64\vbscript.dll /E /P everyone:NImpact de la solution de contournement. Les sites web qui utilisent VBScript peuvent ne pas fonctionner correctement.
Comment annuler la solution de contournement.
- Pour les systèmes 32 bits, entrez la commande suivante à l’invite de commandes d’administration :
cacls %windir%\system32\vbscript.dll /E /R everyone- Pour les systèmes 64 bits, entrez la commande suivante à l’invite de commandes d’administration :
cacls %windir%\syswow64\vbscript.dll /E /R everyone
Vulnérabilité de contournement du filtre Internet Explorer XSS - CVE-2015-2398
Une vulnérabilité de contournement de filtre XSS existe de la façon dont Internet Explorer désactive un attribut HTML dans les données de réponse HTTP correctement filtrées. La vulnérabilité peut permettre aux scripts initialement désactivés de s’exécuter dans le contexte de sécurité incorrect, ce qui entraîne la divulgation d’informations.
Un attaquant peut publier sur un site web un contenu spécialement conçu pour exploiter cette vulnérabilité. L’attaquant aurait alors à convaincre l’utilisateur d’afficher le contenu sur le site web concerné. Si l’utilisateur accède ensuite au site web, le filtre XSS désactive les attributs HTML dans le contenu spécialement conçu, créant une condition qui pourrait permettre à un script malveillant de s’exécuter dans le contexte de sécurité incorrect, ce qui entraîne la divulgation d’informations.
Un attaquant qui a réussi à exploiter cette vulnérabilité peut entraîner l’exécution du code de script sur le système d’un autre utilisateur sous la forme d’un site web tiers. Ce code de script s’exécuterait à l’intérieur du navigateur lors de la visite du site web tiers et pourrait prendre des mesures sur le système de l’utilisateur que le site web tiers a été autorisé à entreprendre. La vulnérabilité ne peut être exploitée que si l’utilisateur a cliqué sur un lien hypertexte, soit dans un e-mail HTML, soit si l’utilisateur a visité le site web d’un attaquant ou un site web contenant du contenu sous le contrôle de l’attaquant. Tous les systèmes où Internet Explorer est utilisé fréquemment, tels que les stations de travail et les serveurs terminal, sont les plus exposés à cette vulnérabilité.
La mise à jour résout la vulnérabilité en empêchant le filtre XSS dans Internet Explorer de désactiver incorrectement les attributs HTML.
Le tableau suivant contient des liens vers l’entrée standard pour chaque vulnérabilité dans la liste Des vulnérabilités et des expositions courantes :
| Titre de la vulnérabilité | Numéro CVE | Divulgation publique | Exploités |
|---|---|---|---|
| Vulnérabilité de contournement du filtre XSS d’Internet Explorer | CVE-2015-2398 | Oui | Non |
Facteurs d’atténuation
Microsoft n’a pas identifié de facteurs d’atténuation pour ces vulnérabilités.
Solutions de contournement
Microsoft n’a identifié aucune solution de contournement pour ces vulnérabilités.
Vulnérabilité d’élévation de privilèges Internet Explorer - CVE-2015-2402
Une vulnérabilité d’élévation de privilèges existe quand Internet Explorer ne valide pas correctement les autorisations dans des conditions spécifiques, ce qui peut permettre l’exécution du script avec des privilèges élevés.
Dans un scénario d’attaque web, un attaquant peut héberger un site web utilisé pour tenter d’exploiter cette vulnérabilité. En outre, les sites web et sites web compromis qui acceptent ou hébergent du contenu fourni par l’utilisateur peuvent contenir du contenu spécialement conçu qui pourrait exploiter la vulnérabilité. Dans tous les cas, toutefois, un attaquant n’aurait aucun moyen de forcer les utilisateurs à afficher le contenu contrôlé par l’attaquant. Au lieu de cela, un attaquant aurait à convaincre les utilisateurs de prendre des mesures. Par exemple, un attaquant peut inciter les utilisateurs à cliquer sur un lien qui les amène sur le site de l’attaquant. Un attaquant qui a réussi à exploiter la vulnérabilité peut élever des privilèges dans les versions affectées d’Internet Explorer. Un attaquant peut ensuite tirer parti de ces privilèges avec une autre vulnérabilité pour exécuter du code arbitraire avec des privilèges de niveau d’intégrité moyen (autorisations de l’utilisateur actuel).
Cette vulnérabilité elle-même n’autorise pas l’exécution de code arbitraire. Toutefois, cette vulnérabilité peut être utilisée conjointement avec une autre vulnérabilité (par exemple, une vulnérabilité d’exécution de code à distance) qui peut tirer parti des privilèges élevés lors de l’exécution de code arbitraire. Par exemple, un attaquant peut exploiter une autre vulnérabilité pour exécuter du code arbitraire via Internet Explorer, mais en raison du contexte dans lequel les processus sont lancés par Internet Explorer, le code peut être limité pour s’exécuter à un niveau d’intégrité faible (autorisations très limitées). Toutefois, un attaquant peut, à son tour, exploiter cette vulnérabilité pour provoquer l’exécution du code arbitraire à un niveau d’intégrité moyen (autorisations de l’utilisateur actuel).
La mise à jour résout la vulnérabilité en ajoutant des validations d’autorisation supplémentaires à Internet Explorer. Le tableau suivant contient des liens vers l’entrée standard pour chaque vulnérabilité dans la liste Des vulnérabilités et des expositions courantes :
| Titre de la vulnérabilité | Numéro CVE | Divulgation publique | Exploités |
|---|---|---|---|
| Vulnérabilité d’élévation de privilèges d’Internet Explorer | CVE-2015-2402 | Non | Non |
Facteurs d’atténuation
Microsoft n’a pas identifié de facteurs d’atténuation pour ces vulnérabilités.
Solutions de contournement
Microsoft n’a identifié aucune solution de contournement pour ces vulnérabilités.
Vulnérabilité d’altération de la mémoire JScript9 - CVE -2015-2419
Une vulnérabilité d’exécution de code à distance existe de la façon dont le moteur JScript, lorsqu’il est rendu dans Internet Explorer, gère les objets en mémoire. Dans un scénario d’attaque basé sur le web, un attaquant peut héberger un site web spécialement conçu pour exploiter cette vulnérabilité via Internet Explorer, puis convaincre un utilisateur d’afficher le site web. Un attaquant peut également incorporer un contrôle ActiveX marqué comme « sécurisé pour l’initialisation » dans une application ou un document Microsoft Bureau qui héberge le moteur de rendu Internet Explorer. L’attaquant peut également tirer parti des sites web et sites web compromis qui acceptent ou hébergent du contenu ou des publicités fournis par l’utilisateur. Ces sites web peuvent contenir du contenu spécialement conçu qui pourrait exploiter cette vulnérabilité.
Un attaquant qui a réussi à exploiter cette vulnérabilité pourrait obtenir les mêmes droits d’utilisateur que l’utilisateur actuel. Si l’utilisateur actuel est connecté avec des droits d’utilisateur administratifs, un attaquant qui a réussi à exploiter cette vulnérabilité peut prendre le contrôle complet d’un système affecté. Un attaquant peut alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes avec des droits d’utilisateur complets. La mise à jour résout la vulnérabilité en modifiant la façon dont le moteur de script JScript gère les objets en mémoire.
Le tableau suivant contient des liens vers l’entrée standard pour chaque vulnérabilité dans la liste Des vulnérabilités et des expositions courantes :
| Titre de la vulnérabilité | Numéro CVE | Divulgation publique | Exploités |
|---|---|---|---|
| Vulnérabilité d’altération de la mémoire Jscript9 | CVE-2015-2419 | Oui | Non |
Facteurs d’atténuation
Microsoft n’a pas identifié de facteurs d’atténuation pour cette vulnérabilité.
Solutions de contournement
Microsoft n’a identifié aucune solution de contournement pour cette vulnérabilité.
Contournement d’Internet Explorer ASLR - CVE-2015-2421
Une vulnérabilité de contournement des fonctionnalités de sécurité existe quand Internet Explorer ne parvient pas à utiliser la fonctionnalité de sécurité ASLR (Address Space Layout Randomization), ce qui permet à un attaquant de prédire de manière plus fiable les décalages de mémoire d’instructions spécifiques dans une pile d’appels donnée. Un attaquant qui a réussi à exploiter cette vulnérabilité peut contourner la fonctionnalité de sécurité ASLR (Address Space Layout Randomization), qui permet de protéger les utilisateurs contre une large classe de vulnérabilités. La fonctionnalité de sécurité contourne elle-même n’autorise pas l’exécution arbitraire du code. Toutefois, un attaquant peut utiliser cette vulnérabilité de contournement ASLR conjointement avec une autre vulnérabilité, telle qu’une vulnérabilité d’exécution de code à distance, pour exécuter de manière plus fiable du code arbitraire sur un système cible.
Dans un scénario de navigation web, l’exploitation réussie de cette vulnérabilité nécessite qu’un utilisateur soit connecté et exécute une version affectée d’Internet Explorer, puis accédez à un site malveillant. Par conséquent, tous les systèmes où un navigateur web est utilisé fréquemment, tels que les stations de travail ou les serveurs terminal, sont à risque de cette vulnérabilité. Les serveurs peuvent être plus risqués si les administrateurs autorisent les utilisateurs à parcourir et lire les e-mails sur les serveurs. Toutefois, les meilleures pratiques découragent fortement cette autorisation.
La mise à jour résout la vulnérabilité en aidant à garantir que les versions affectées d’Internet Explorer implémentent correctement la fonctionnalité de sécurité ASLR. Le tableau suivant contient des liens vers l’entrée standard pour chaque vulnérabilité dans la liste Des vulnérabilités et des expositions courantes :
| Titre de la vulnérabilité | Numéro CVE | Divulgation publique | Exploités |
|---|---|---|---|
| Contournement ASLR d’Internet Explorer | CVE-2015-2421 | Oui | Non |
Facteurs d’atténuation
Microsoft n’a pas identifié de facteurs d’atténuation pour cette vulnérabilité.
Solutions de contournement
Microsoft n’a identifié aucune solution de contournement pour cette vulnérabilité.
Vulnérabilités d’altération de la mémoire multiples dans Internet Explorer
Des vulnérabilités d’exécution de code à distance existent quand Internet Explorer accède incorrectement aux objets en mémoire. Ces vulnérabilités peuvent endommager la mémoire de telle sorte qu’un attaquant puisse exécuter du code arbitraire dans le contexte de l’utilisateur actuel.
Un attaquant peut héberger un site web spécialement conçu pour exploiter ces vulnérabilités via Internet Explorer, puis convaincre un utilisateur d’afficher le site web. L’attaquant peut également tirer parti des sites web et sites web compromis qui acceptent ou hébergent du contenu ou des publicités fournis par l’utilisateur en ajoutant du contenu spécialement conçu qui pourrait exploiter ces vulnérabilités. Dans tous les cas, toutefois, un attaquant n’aurait aucun moyen de forcer les utilisateurs à afficher le contenu contrôlé par l’attaquant. Au lieu de cela, un attaquant doit convaincre les utilisateurs de prendre des mesures, généralement en les obtenant pour cliquer sur un lien dans un messager instantané ou un message électronique qui amène les utilisateurs sur le site web de l’attaquant, ou en les obtenant pour ouvrir une pièce jointe envoyée par e-mail.
Un attaquant qui a réussi à exploiter ces vulnérabilités pourrait obtenir les mêmes droits d’utilisateur que l’utilisateur actuel. Si l’utilisateur actuel est connecté avec des droits d’utilisateur administratifs, un attaquant qui a réussi à exploiter ces vulnérabilités peut prendre le contrôle complet d’un système affecté. Un attaquant peut alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes avec des droits d’utilisateur complets. Les systèmes dans lesquels Internet Explorer est utilisé fréquemment, tels que les stations de travail ou les serveurs terminal, sont les plus exposés à ces vulnérabilités.
La mise à jour résout les vulnérabilités en modifiant la façon dont Internet Explorer gère les objets en mémoire. Le tableau suivant contient des liens vers l’entrée standard pour chaque vulnérabilité dans la liste Des vulnérabilités et des expositions courantes :
| Titre de la vulnérabilité | Numéro CVE | Divulgation publique | Exploités |
|---|---|---|---|
| Vulnérabilité d’altération de la mémoire d’Internet Explorer | CVE-2015-1733 | Non | Non |
| Vulnérabilité d’altération de la mémoire d’Internet Explorer | CVE-2015-1738 | Non | Non |
| Vulnérabilité d’altération de la mémoire d’Internet Explorer | CVE-2015-1767 | Non | Non |
| Vulnérabilité d’altération de la mémoire d’Internet Explorer | CVE-2015-2383 | Non | Non |
| Vulnérabilité d’altération de la mémoire d’Internet Explorer | CVE-2015-2384 | Non | Non |
| Vulnérabilité d’altération de la mémoire d’Internet Explorer | CVE-2015-2385 | Non | Non |
| Vulnérabilité d’altération de la mémoire d’Internet Explorer | CVE-2015-2388 | Non | Non |
| Vulnérabilité d’altération de la mémoire d’Internet Explorer | CVE-2015-2389 | Non | Non |
| Vulnérabilité d’altération de la mémoire d’Internet Explorer | CVE-2015-2390 | Non | Non |
| Vulnérabilité d’altération de la mémoire d’Internet Explorer | CVE-2015-2391 | Non | Non |
| Vulnérabilité d’altération de la mémoire d’Internet Explorer | CVE-2015-2397 | Non | Non |
| Vulnérabilité d’altération de la mémoire d’Internet Explorer | CVE-2015-2401 | Non | Non |
| Vulnérabilité d’altération de la mémoire d’Internet Explorer | CVE-2015-2403 | Non | Non |
| Vulnérabilité d’altération de la mémoire d’Internet Explorer | CVE-2015-2404 | Non | Non |
| Vulnérabilité d’altération de la mémoire d’Internet Explorer | CVE-2015-2406 | Non | Non |
| Vulnérabilité d’altération de la mémoire d’Internet Explorer | CVE-2015-2408 | Non | Non |
| Vulnérabilité d’altération de la mémoire d’Internet Explorer | CVE-2015-2411 | Non | Non |
| Vulnérabilité d’altération de la mémoire d’Internet Explorer | CVE-2015-2422 | Non | Non |
| Vulnérabilité d’altération de la mémoire d’Internet Explorer | CVE-2015-2425 | Oui | Oui |
Facteurs d’atténuation
Microsoft n’a pas identifié de facteurs d’atténuation pour ces vulnérabilités.
Solutions de contournement
Microsoft n’a identifié aucune solution de contournement pour ces vulnérabilités.
FAQ
J’exécute Internet Explorer sur Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 ou Windows Server 2012 R2. Cela atténue-t-il ces vulnérabilités ?
Oui. Par défaut, Internet Explorer sur Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 et Windows Server 2012 R2 s’exécute en mode restreint appelé Configuration de sécurité renforcée. La configuration de sécurité améliorée est un groupe de paramètres préconfigurés dans Internet Explorer qui peuvent réduire la probabilité qu’un utilisateur ou un administrateur télécharge et exécute du contenu web spécialement conçu sur un serveur. Il s’agit d’un facteur d’atténuation pour les sites web que vous n’avez pas ajoutés à la zone sites approuvés Internet Explorer.
EMET peut-il aider à atténuer les attaques qui tentent d’exploiter ces vulnérabilités ?
Oui. L’expérience d’atténuation améliorée Shared Computer Toolkit (EMET) permet aux utilisateurs de gérer les technologies d’atténuation de la sécurité qui permettent aux attaquants d’exploiter les vulnérabilités de corruption de mémoire dans un logiciel donné. EMET peut aider à atténuer les attaques qui tentent d’exploiter ces vulnérabilités dans Internet Explorer sur les systèmes où EMET est installé et configuré pour fonctionner avec Internet Explorer.
Pour plus d’informations sur EMET, consultez l’expérience d’atténuation améliorée Shared Computer Toolkit.
Vulnérabilités multiples de divulgation d’informations Internet Explorer
Les vulnérabilités de divulgation d’informations existent dans Internet Explorer :
CVE-2015-1729
Une vulnérabilité de divulgation d’informations existe quand Internet Explorer n’applique pas correctement les stratégies inter-domaines, ce qui peut permettre à un attaquant d’accéder aux informations d’un autre domaine ou d’une zone Internet Explorer. La mise à jour résout la vulnérabilité en aidant à garantir que les stratégies inter-domaines sont correctement appliquées dans Internet Explorer.
CVE-2015-2410
Une vulnérabilité de divulgation d’informations existe quand Internet Explorer ne gère pas correctement les requêtes provenant de feuilles de style externes, ce qui peut permettre à un attaquant de détecter l’existence de fichiers spécifiques sur l’ordinateur de l’utilisateur. La mise à jour résout la vulnérabilité en aidant à restreindre les informations retournées aux feuilles de style externes.
CVE-2015-2412
Une vulnérabilité de divulgation d’informations existe quand Internet Explorer ne valide pas correctement les chemins d’accès aux fichiers, ce qui peut permettre à un attaquant de divulguer le contenu des fichiers arbitraires sur l’ordinateur de l’utilisateur. La mise à jour résout la vulnérabilité en vous assurant que les chemins d’accès aux fichiers sont correctement validés avant de retourner les données de fichier à l’utilisateur.
CVE-2015-2413
Une vulnérabilité de divulgation d’informations existe quand Internet Explorer ne gère pas correctement les demandes de ressources de module, ce qui peut permettre à un attaquant de détecter l’existence de fichiers spécifiques sur l’ordinateur de l’utilisateur. La mise à jour résout la vulnérabilité en aidant à s’assurer que les demandes de ressources de module sont correctement validées dans Internet Explorer.
CVE-2015-2414
Une vulnérabilité de divulgation d’informations existe quand Internet Explorer ne gère pas correctement les informations d’image mises en cache, ce qui peut permettre à un attaquant d’accéder à des informations sur l’historique de navigation de l’utilisateur. La mise à jour résout la vulnérabilité en aidant à garantir que les stratégies inter-domaines sont correctement appliquées dans Internet Explorer.
Dans un scénario d’attaque web, un attaquant peut héberger un site web utilisé pour tenter d’exploiter ces vulnérabilités. En outre, les sites web et sites web compromis qui acceptent ou hébergent du contenu fourni par l’utilisateur peuvent contenir du contenu spécialement conçu qui pourrait exploiter ces vulnérabilités. Dans tous les cas, toutefois, un attaquant n’aurait aucun moyen de forcer les utilisateurs à afficher le contenu contrôlé par l’attaquant. Au lieu de cela, un attaquant aurait à convaincre les utilisateurs de prendre des mesures. Par exemple, un attaquant peut inciter les utilisateurs à cliquer sur un lien qui les amène sur le site de l’attaquant.
Un attaquant qui a réussi à exploiter l’une de ces vulnérabilités pourrait potentiellement lire les données qui n’étaient pas destinées à être divulguées. Notez que ces vulnérabilités ne permettent pas à un attaquant d’exécuter du code ou d’élever directement leurs droits utilisateur, mais qu’elles peuvent être utilisées pour obtenir des informations qui pourraient être utilisées pour tenter de compromettre davantage le système concerné.
Le tableau suivant contient des liens vers l’entrée standard pour chaque vulnérabilité dans la liste Des vulnérabilités et des expositions courantes :
| Titre de la vulnérabilité | Numéro CVE | Divulgation publique | Exploités |
|---|---|---|---|
| Vulnérabilité de divulgation d’informations Internet Explorer | CVE-2015-1729 | Non | Non |
| Vulnérabilité de divulgation d’informations Internet Explorer | CVE-2015-2410 | Non | Non |
| Vulnérabilité de divulgation d’informations Internet Explorer | CVE-2015-2412 | Non | Non |
| Vulnérabilité de divulgation d’informations Internet Explorer | CVE-2015-2413 | Oui | Non |
| Vulnérabilité de divulgation d’informations Internet Explorer | CVE-2015-2414 | Non | Non |
Facteurs d’atténuation
Microsoft n’a pas identifié de facteurs d’atténuation pour cette vulnérabilité.
Solutions de contournement
Microsoft n’a identifié aucune solution de contournement pour ces vulnérabilités.
Déploiement des mises à jour de sécurité
Pour plus d’informations sur le déploiement des mises à jour de sécurité, consultez l’article de la Base de connaissances Microsoft référencé dans le résumé exécutif.
Remerciements
Microsoft reconnaît les efforts de ceux de la communauté de sécurité qui nous aident à protéger les clients par le biais d’une divulgation coordonnée des vulnérabilités. Pour plus d’informations, consultez accusés de réception.
Exclusion de responsabilité
Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.
Révisions
- V1.0 (14 juillet 2015) : Bulletin publié.
- V1.1 (22 juillet 2015) : correction des entrées logicielles affectées pour CVE-2015-1733 dans la table Évaluations de gravité et identificateurs de vulnérabilité. Il s’agit d’une modification d’information uniquement. Les clients qui ont déjà installé la mise à jour n’ont pas besoin d’effectuer d’action.
Page générée 2015-07-22 10 :08Z-07 :00.