Bulletin de sécurité Microsoft MS15-088 - Important
Le passage du paramètre de ligne de commande non sécurisé peut autoriser la divulgation d’informations (3082458)
Publication : 11 août 2015
Version : 1.0
Résumé
Cette mise à jour de sécurité permet de résoudre une vulnérabilité de divulgation d’informations dans Microsoft Windows, Internet Explorer et Microsoft Bureau. Pour exploiter la vulnérabilité, un attaquant doit d’abord utiliser une autre vulnérabilité dans Internet Explorer pour exécuter du code dans le processus bac à sable (sandbox). L’attaquant peut ensuite exécuter Bloc-notes Windows, Visio, PowerPoint, Excel ou Word avec un paramètre de ligne de commande non sécurisé pour appliquer la divulgation d’informations. Pour être protégés contre la vulnérabilité, les clients doivent appliquer les mises à jour fournies dans ce bulletin, ainsi que la mise à jour d’Internet Explorer fournie dans MS15-079. De même, les clients exécutant un produit Microsoft Bureau affecté doivent également installer les mises à jour applicables fournies dans MS15-081.
Cette mise à jour de sécurité est évaluée comme importante pour toutes les versions prises en charge de Microsoft Windows. Pour plus d’informations, consultez la section Logiciels affectés.
Cette mise à jour de sécurité, conjointement avec les mises à jour pour Internet Explorer et Microsoft Bureau, résout la vulnérabilité en améliorant la façon dont les programmes Bloc-notes Windows et Microsoft Bureau sont exécutés à partir d’Internet Explorer. Pour plus d’informations sur la vulnérabilité, consultez la section Informations sur les vulnérabilités.
Pour plus d’informations sur les mises à jour requises pour résoudre cette vulnérabilité, consultez l’article 3082458 de la Base de connaissances Microsoft, l’article 3082442 de la Base de connaissances Microsoft et l’article de la Base de connaissances Microsoft 3080790.
Logiciel affecté
Les versions ou éditions logicielles suivantes sont affectées. Les versions ou éditions qui ne sont pas répertoriées sont passées par leur cycle de vie de support ou ne sont pas affectées. Pour déterminer le cycle de vie de prise en charge de votre version ou édition logicielle, consultez Support Microsoft cycle de vie.
Système d’exploitation | Impact maximal sur la sécurité | Évaluation de gravité agrégée | Mises à jour remplacé* |
---|---|---|---|
Windows Vista | |||
Windows Vista Service Pack 2 (3046017) | Divulgation d’informations | Important | Aucun |
Windows Vista Service Pack 2 (3079757) | Divulgation d’informations | Important | 3039066 dans MS15-020 |
Windows Vista x64 Edition Service Pack 2 (3046017) | Divulgation d’informations | Important | Aucun |
Windows Vista x64 Edition Service Pack 2 (3079757) | Divulgation d’informations | Important | 3039066 dans MS15-020 |
Windows Server 2008 | |||
Windows Server 2008 pour systèmes 32 bits Service Pack 2 (3046017) | Divulgation d’informations | Important | Aucun |
Windows Server 2008 pour systèmes 32 bits Service Pack 2 (3079757) | Divulgation d’informations | Important | 3039066 dans MS15-020 |
Windows Server 2008 pour systèmes x64 Service Pack 2 (3046017) | Divulgation d’informations | Important | Aucun |
Windows Server 2008 pour systèmes x64 Service Pack 2 (3079757) | Divulgation d’informations | Important | 3039066 dans MS15-020 |
Windows Server 2008 pour les systèmes Itanium Service Pack 2 (3046017) | Divulgation d’informations | Important | Aucun |
Windows Server 2008 pour les systèmes Itanium Service Pack 2 (3079757) | Divulgation d’informations | Important | 3039066 dans MS15-020 |
Windows 7 | |||
Windows 7 pour systèmes 32 bits Service Pack 1 (3046017) | Divulgation d’informations | Important | Aucun |
Windows 7 pour systèmes 32 bits Service Pack 1 (3079757) | Divulgation d’informations | Important | 3039066 dans MS15-020 |
Windows 7 pour systèmes x64 Service Pack 1 (3046017) | Divulgation d’informations | Important | Aucun |
Windows 7 pour systèmes x64 Service Pack 1 (3079757) | Divulgation d’informations | Important | 3039066 dans MS15-020 |
Windows Server 2008 R2 | |||
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (3046017) | Divulgation d’informations | Important | Aucun |
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (3079757) | Divulgation d’informations | Important | 3039066 dans MS15-020 |
Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1 (3046017) | Divulgation d’informations | Important | Aucun |
Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1 (3079757) | Divulgation d’informations | Important | 3039066 dans MS15-020 |
Windows 8 et Windows 8.1 | |||
Windows 8 pour systèmes 32 bits (3046017) | Divulgation d’informations | Important | Aucun |
Windows 8 pour systèmes x64 (3046017) | Divulgation d’informations | Important | Aucun |
Windows 8.1 pour les systèmes 32 bits (3046017) | Divulgation d’informations | Important | Aucun |
Windows 8.1 pour systèmes x64 (3046017) | Divulgation d’informations | Important | Aucun |
Windows Server 2012 et Windows Server 2012 R2 | |||
Windows Server 2012 (3046017) | Divulgation d’informations | Important | Aucun |
Windows Server 2012 R2 (3046017) | Divulgation d’informations | Important | Aucun |
Windows RT et Windows RT 8.1 | |||
Windows RT[1](3046017) | Divulgation d’informations | Important | Aucun |
Windows RT 8.1[1](3046017) | Divulgation d’informations | Important | Aucun |
Windows 10 | |||
Windows 10 pour systèmes 32 bits[2](3081436) | Divulgation d’informations | Important | Aucun |
Windows 10 pour les systèmes x64[2](3081436) | Divulgation d’informations | Important | Aucun |
Option d’installation server Core | |||
Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core) (3046017) | Divulgation d’informations | Important | Aucun |
Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation server Core) (3079757) | Divulgation d’informations | Important | 3039066 dans MS15-020 |
Windows Server 2008 pour systèmes x64 Service Pack 2 (installation server Core) (3046017) | Divulgation d’informations | Important | Aucun |
Windows Server 2008 pour systèmes x64 Service Pack 2 (installation server Core) (3079757) | Divulgation d’informations | Important | 3039066 dans MS15-020 |
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation server Core) (3046017) | Divulgation d’informations | Important | Aucun |
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation server Core) (3079757) | Divulgation d’informations | Important | 3039066 dans MS15-020 |
Windows Server 2012 (installation minimale) (3046017) | Divulgation d’informations | Important | Aucun |
Windows Server 2012 R2 (installation minimale) (3046017) | Divulgation d’informations | Important | Aucun |
[1]Cette mise à jour est disponible uniquement via Windows Update .
[2]La mise à jour de Windows 10 est cumulative. En plus de contenir des mises à jour non liées à la sécurité, il contient également tous les correctifs de sécurité pour toutes les vulnérabilités affectées par Windows 10 avec la version de sécurité de ce mois-ci. La mise à jour est disponible uniquement via le catalogue Windows Update. Consultez l’article de la Base de connaissances Microsoft 3081436 pour plus d’informations et télécharger des liens.
*La colonne Mises à jour remplacée affiche uniquement la dernière mise à jour dans n’importe quelle chaîne de mises à jour remplacées. Pour obtenir la liste complète des mises à jour remplacées, accédez au catalogue Microsoft Update, recherchez le numéro de mise à jour Ko, puis affichez les détails de la mise à jour (les informations remplacées sont fournies sous l’onglet Détails du package).
Notez que Windows Server Technical Preview 2 est affecté. Les clients exécutant ce système d’exploitation sont encouragés à appliquer la mise à jour, disponible via Windows Update.
Faq sur la mise à jour
La vulnérabilité abordée dans ce bulletin est également abordée dans d’autres bulletins publiés en août. Dois-je installer plusieurs mises à jour pour qu’elles soient protégées contre la vulnérabilité ?
Oui. Pour être protégés contre cette vulnérabilité, les clients doivent appliquer toutes les mises à jour fournies dans ce bulletin pour leur logiciel concerné, ainsi que la mise à jour pour Internet Explorer fournie dans MS15-079. De même, les clients exécutant un produit Microsoft Bureau affecté doivent également installer les mises à jour applicables fournies dans MS15-081. Les clients qui n’installent pas toutes les mises à jour disponibles pour leur logiciel concerné ne seront pas entièrement protégés contre la vulnérabilité.
Logiciels affectés supplémentaires | Impact maximal sur la sécurité | Évaluation de gravité agrégée | Mises à jour remplacé |
---|---|---|---|
Internet Explorer | |||
Consultez MS15-079 pour obtenir la liste complète des logiciels affectés et des liens de téléchargement pour Internet Explorer (3078071) | Divulgation d’informations | Important | Voir MS15-079 |
Microsoft Office : | |||
Consultez MS15-081 pour obtenir la liste complète des logiciels affectés et des liens de téléchargement pour Microsoft Bureau (3080790) | Divulgation d’informations | Important | Voir MS15-081 |
Évaluations de gravité et identificateurs de vulnérabilité
Les évaluations de gravité suivantes supposent l’impact maximal potentiel de la vulnérabilité. Pour plus d’informations sur la probabilité, dans les 30 jours suivant la publication de ce bulletin de sécurité, de l’exploitabilité de la vulnérabilité par rapport à son impact sur la gravité et la sécurité, consultez l’index exploitabilité dans le résumé du bulletin d’août.
Évaluation de la gravité des vulnérabilités et impact maximal sur la sécurité par les logiciels affectés | ||
---|---|---|
Logiciel affecté | Vulnérabilité de transmission du paramètre de ligne de commande non sécurisée - CVE-2015-2423 | Évaluation de gravité agrégée |
Windows Vista | ||
Windows Vista Service Pack 2 (3046017) | Divulgation d’informations importantes | Important |
Windows Vista Service Pack 2 (3079757) | Divulgation d’informations importantes | Important |
Windows Vista x64 Edition Service Pack 2 (3046017) | Divulgation d’informations importantes | Important |
Windows Vista x64 Edition Service Pack 2 (3079757) | Divulgation d’informations importantes | Important |
Windows Server 2008 | ||
Windows Server 2008 pour systèmes 32 bits Service Pack 2 (3046017) | Divulgation d’informations importantes | Important |
Windows Server 2008 pour systèmes 32 bits Service Pack 2 (3079757) | Divulgation d’informations importantes | Important |
Windows Server 2008 pour systèmes x64 Service Pack 2 (3046017) | Divulgation d’informations importantes | Important |
Windows Server 2008 pour systèmes x64 Service Pack 2 (3079757) | Divulgation d’informations importantes | Important |
Windows Server 2008 pour les systèmes Itanium Service Pack 2 (3046017) | Divulgation d’informations importantes | Important |
Windows Server 2008 pour les systèmes Itanium Service Pack 2 (3079757) | Divulgation d’informations importantes | Important |
Windows 7 | ||
Windows 7 pour systèmes 32 bits Service Pack 1 (3046017) | Divulgation d’informations importantes | Important |
Windows 7 pour systèmes 32 bits Service Pack 1 (3079757) | Divulgation d’informations importantes | Important |
Windows 7 pour systèmes x64 Service Pack 1 (3046017) | Divulgation d’informations importantes | Important |
Windows 7 pour systèmes x64 Service Pack 1 (3079757) | Divulgation d’informations importantes | Important |
Windows Server 2008 R2 | ||
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (3046017) | Divulgation d’informations importantes | Important |
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (3079757) | Divulgation d’informations importantes | Important |
Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1 (3046017) | Divulgation d’informations importantes | Important |
Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1 (3079757) | Divulgation d’informations importantes | Important |
Windows 8 et Windows 8.1 | ||
Windows 8 pour les systèmes 32 bits (3046017) | Divulgation d’informations importantes | Important |
Windows 8 pour systèmes x64 (3046017) | Divulgation d’informations importantes | Important |
Windows 8.1 pour les systèmes 32 bits (3046017) | Divulgation d’informations importantes | Important |
Windows 8.1 pour systèmes x64 (3046017) | Divulgation d’informations importantes | Important |
Windows Server 2012 et Windows Server 2012 R2 | ||
Windows Server 2012 (3046017) | Divulgation d’informations importantes | Important |
Windows Server 2012 R2 (3046017) | Divulgation d’informations importantes | Important |
Windows RT et Windows RT 8.1 | ||
Windows RT (3046017) | Divulgation d’informations importantes | Important |
Windows RT 8.1 (3046017) | Divulgation d’informations importantes | Important |
Windows 10 | ||
Windows 10 pour les systèmes 32 bits (3081436) | Divulgation d’informations importantes | Important |
Windows 10 pour systèmes x64 (3081436) | Divulgation d’informations importantes | Important |
Option d’installation server Core | ||
Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core) (3046017) | Divulgation d’informations importantes | Important |
Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core) (3079757) | Divulgation d’informations importantes | Important |
Windows Server 2008 pour systèmes x64 Service Pack 2 (installation Server Core) (3046017) | Divulgation d’informations importantes | Important |
Windows Server 2008 pour systèmes x64 Service Pack 2 (installation Server Core) (3079757) | Divulgation d’informations importantes | Important |
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation server Core) (3046017) | Divulgation d’informations importantes | Important |
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation server Core) (3079757) | Divulgation d’informations importantes | Important |
Windows Server 2012 (installation minimale) (3046017) | Divulgation d’informations importantes | Important |
Windows Server 2012 R2 (installation minimale) (3046017) | Divulgation d’informations importantes | Important |
Informations sur la vulnérabilité
Vulnérabilité de transmission du paramètre de ligne de commande non sécurisée - CVE-2015-2423
Une vulnérabilité de divulgation d’informations existe dans Microsoft Windows, Internet Explorer et Microsoft Bureau lorsque les fichiers d’un niveau d’intégrité moyen deviennent accessibles à Internet Explorer s’exécutant en mode de protection améliorée (EPM).
Pour exploiter cette vulnérabilité, un attaquant doit d’abord tirer parti d’une autre vulnérabilité et exécuter du code dans Internet Explorer avec EPM, puis exécuter Excel, Bloc-notes Windows, PowerPoint, Visio ou Word à l’aide d’un paramètre de ligne de commande non sécurisé. La mise à jour résout la vulnérabilité en améliorant la façon dont les programmes Bloc-notes Windows et Microsoft Bureau sont exécutés à partir d’Internet Explorer.
Cette vulnérabilité a été divulguée publiquement. Il a été affecté à la vulnérabilité commune et au numéro d’exposition CVE-2015-2423. Lorsque ce bulletin a été publié à l’origine, Microsoft n’avait reçu aucune information pour indiquer que ce problème avait été utilisé publiquement pour attaquer les clients.
Facteurs d’atténuation
Microsoft n’a pas identifié de facteurs d’atténuation pour cette vulnérabilité.
Solutions de contournement
Les solutions de contournement suivantes peuvent être utiles dans votre situation :
Supprimer notepad.exe de la stratégie d’élévation d’Internet Explorer
Notez que l’utilisation incorrecte de l’Éditeur de Registre peut entraîner de graves problèmes qui peuvent nécessiter la réinstallation de votre système d’exploitation. Microsoft ne peut pas garantir que les problèmes résultant d'une utilisation incorrecte de l'éditeur du Registre puissent être résolus. Son utilisation est sous votre entière responsabilité. Pour plus d’informations sur la modification du Registre, consultez la rubrique d’aide « Modification des clés et des valeurs » dans l’Éditeur de Registre (Regedit.exe) ou affichez les rubriques d’aide « Ajouter et supprimer des informations dans le Registre » et « Modifier les données du Registre » dans Regedt32.exe.
Exécutez regedit.exe.
Dans l’Éditeur du Registre, développez la clé de Registre suivante :
"HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy"
Sélectionnez {dc6bf185-7ae4-444e-8c35-e447b0d2bd1e}, cliquez sur Fichier, puis cliquez sur Exporter.
Dans la boîte de dialogue Exporter le fichier de Registre, entrez notepad.exe_backup.reg, puis cliquez sur Enregistrer.
Cliquez sur Fichier, sélectionnez Supprimer, puis cliquez sur Oui.
Déconnectez-vous et reconnectez-vous ou redémarrez l’ordinateur.
Impact de la solution de contournement : Internet Explorer n’est pas autorisé à exécuter Bloc-notes Windows avec des privilèges élevés.
Comment annuler la solution de contournement.
- Exécutez regedit.exe.
- Dans l’Éditeur du Registre, cliquez sur Fichier, puis sur Importer.
- Dans la boîte de dialogue Importer un fichier de Registre, sélectionnez le fichier de sauvegarde que vous avez créé dans la procédure initiale, notepad.exe_backup.reg, puis cliquez sur Ouvrir.
- Déconnectez-vous et reconnectez-vous ou redémarrez l’ordinateur.
Déploiement des mises à jour de sécurité
Pour plus d’informations sur le déploiement des mises à jour de sécurité, consultez l’article de la Base de connaissances Microsoft référencé dans le résumé exécutif.
Remerciements
Microsoft reconnaît les efforts de ceux de la communauté de sécurité qui nous aident à protéger les clients par le biais d’une divulgation coordonnée des vulnérabilités. Pour plus d’informations, consultez accusés de réception.
Exclusion de responsabilité
Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.
Révisions
- V1.0 (11 août 2015) : Bulletin publié.
Page générée 2015-08-12 7 :56Z-07 :00.