Bulletin de sécurité Microsoft MS15-129 - Critique
Mise à jour de sécurité pour Silverlight pour traiter l’exécution de code à distance (3106614)
Publication : 8 décembre 2015
Version : 1.0
Résumé
Cette mise à jour de sécurité résout les vulnérabilités dans Microsoft Silverlight. Les vulnérabilités les plus graves peuvent autoriser l’exécution de code à distance si Microsoft Silverlight gère incorrectement certaines demandes ouvertes et fermées susceptibles d’entraîner des violations d’accès en lecture et en écriture. Pour exploiter la vulnérabilité, un attaquant peut héberger un site web qui contient une application Silverlight spécialement conçue, puis convaincre un utilisateur de visiter un site web compromis. L’attaquant peut également tirer parti des sites web contenant du contenu spécialement conçu, y compris ceux qui acceptent ou hébergent du contenu ou des publicités fournis par l’utilisateur.
Un attaquant n’aurait aucun moyen de forcer les utilisateurs à visiter un site web compromis. Au lieu de cela, un attaquant devra convaincre un utilisateur de prendre des mesures, comme cliquer sur un lien qui amène l’utilisateur sur le site web de l’attaquant.
Cette mise à jour de sécurité est évaluée critique pour Microsoft Silverlight 5 et Microsoft Silverlight 5 Developer Runtime lorsqu’elle est installée sur Mac ou toutes les versions prises en charge de Microsoft Windows. Pour plus d’informations, consultez la section Logiciels affectés.
La mise à jour résout les vulnérabilités en corrigeant la façon dont Microsoft Silverlight gère certaines demandes web ouvertes et fermées, et en corrigeant la façon dont la mémoire est gérée pour maintenir l’intégrité de la randomisation de disposition de l’espace d’adressage (ASLR) dans Silverlight. Pour plus d’informations sur les vulnérabilités, consultez la section Informations sur les vulnérabilités.
Pour plus d’informations sur cette mise à jour, consultez l’article de la Base de connaissances Microsoft 3106614.
Logiciel affecté
Les versions ou éditions logicielles suivantes sont affectées. Les versions ou éditions qui ne sont pas répertoriées sont passées par leur cycle de vie de support ou ne sont pas affectées. Pour déterminer le cycle de vie de prise en charge de votre version ou édition logicielle, consultez Support Microsoft cycle de vie.
| Système d’exploitation | Impact maximal sur la sécurité | Évaluation de gravité agrégée | Mises à jour remplacé |
|---|---|---|---|
| Logiciels | |||
| Microsoft Silverlight 5 lorsqu’il est installé sur Mac (3106614) | Critique | Exécution de code à distance | 3080333 dans MS15-080 |
| Microsoft Silverlight 5 Developer Runtime lorsqu’il est installé sur Mac (3106614) | Critique | Exécution de code à distance | 3080333 dans MS15-080 |
| Microsoft Silverlight 5 lorsqu’il est installé sur toutes les versions prises en charge des clients Microsoft Windows (3106614) | Critique | Exécution de code à distance | 3080333 dans MS15-080 |
| Microsoft Silverlight 5 Developer Runtime lorsqu’il est installé sur toutes les versions prises en charge des clients Microsoft Windows (3106614) | Critique | Exécution de code à distance | 3080333 dans MS15-080 |
| Microsoft Silverlight 5 lorsqu’il est installé sur toutes les versions prises en charge des serveurs Microsoft Windows (3106614) | Critique | Exécution de code à distance | 3080333 dans MS15-080 |
| Microsoft Silverlight 5 Developer Runtime lorsqu’il est installé sur toutes les versions prises en charge des serveurs Microsoft Windows (3106614) | Critique | Exécution de code à distance | 3080333 dans MS15-080 |
Évaluations de gravité et identificateurs de vulnérabilité
Les évaluations de gravité suivantes supposent l’impact maximal potentiel de la vulnérabilité. Pour plus d’informations sur la probabilité, dans les 30 jours suivant la publication de ce bulletin de sécurité, de l’exploitabilité de la vulnérabilité par rapport à son impact sur la gravité et la sécurité, consultez l’index exploitabilité dans le résumé du bulletin de décembre.
| Évaluation de la gravité des vulnérabilités et impact maximal sur la sécurité par les logiciels affectés | ||||
|---|---|---|---|---|
| Logiciel affecté | Vulnérabilité de divulgation d’informations Microsoft Silverlight - CVE-2015-6114 | Vulnérabilité de divulgation d’informations Microsoft Silverlight - CVE-2015-6165 | Vulnérabilité MICROSOFT Silverlight RCE - CVE-2015-6166 | Évaluation de gravité agrégée |
| Microsoft Silverlight 5 lorsqu’il est installé sur Mac (3106614) | Divulgation d’informations importantes | Divulgation d’informations importantes | Exécution de code distant critique | Critique |
| Microsoft Silverlight 5 Developer Runtime lorsqu’il est installé sur Mac (3106614) | Divulgation d’informations importantes | Divulgation d’informations importantes | Exécution de code distant critique | Critique |
| Microsoft Silverlight 5 lorsqu’il est installé sur toutes les versions prises en charge des clients Microsoft Windows (3106614) | Divulgation d’informations importantes | Divulgation d’informations importantes | Exécution de code distant critique | Critique |
| Microsoft Silverlight 5 Developer Runtime lorsqu’il est installé sur toutes les versions prises en charge des clients Microsoft Windows (3106614) | Divulgation d’informations importantes | Divulgation d’informations importantes | Exécution de code distant critique | Critique |
| Microsoft Silverlight 5 lorsqu’il est installé sur toutes les versions prises en charge des serveurs Microsoft Windows (3106614) | Divulgation d’informations importantes | Divulgation d’informations importantes | Exécution de code distant critique | Critique |
| Microsoft Silverlight 5 Developer Runtime lorsqu’il est installé sur toutes les versions prises en charge des serveurs Microsoft Windows (3106614) | Divulgation d’informations importantes | Divulgation d’informations importantes | Exécution de code distant critique | Critique |
Faq sur la mise à jour
Pourquoi la mise à jour répertoriée dans ce bulletin est-elle également indiquée dans d’autres bulletins qui publient ce mois-ci ?
Étant donné que les bulletins sont divisés par les vulnérabilités de sécurité qu’ils résolvent, et non par les packages de mise à jour publiés, il est possible que des bulletins distincts référencent la même mise à jour si les correctifs pour leurs vulnérabilités respectives ont été consolidés dans un package de mise à jour unique. Dans de telles situations, il est également possible que les vulnérabilités décrites dans le bulletin aient des évaluations de gravité et d’impact complètement différentes des vulnérabilités décrites dans l’autre bulletin. C’est fréquemment le cas des mises à jour cumulatives pour les produits tels qu’Internet Explorer ou Silverlight, où les mises à jour singulières contiennent des correctifs très différents de vulnérabilités de sécurité abordées dans des bulletins distincts.
Notez que les fichiers de mise à jour identiques qui sont expédiés avec plusieurs bulletins n’ont pas besoin d’être installés plusieurs fois.
Quels navigateurs web prennent en charge les applications Microsoft Silverlight ?
Pour exécuter des applications Microsoft Silverlight, la plupart des navigateurs web, y compris Microsoft Internet Explorer, nécessitent que Microsoft Silverlight soit installé et que le plug-in correspondant soit activé. Pour plus d’informations sur Microsoft Silverlight, consultez le site officiel, Microsoft Silverlight. Reportez-vous à la documentation de votre navigateur pour en savoir plus sur la désactivation ou la suppression des plug-ins.
Quelles sont les versions de Microsoft Silverlight 5 affectées par les vulnérabilités ?
Microsoft Silverlight build 5.1.41105.00, qui était la build actuelle de Microsoft Silverlight à partir du moment où ce bulletin a été publié pour la première fois, résout les vulnérabilités et n’est pas affecté. Les builds de Microsoft Silverlight antérieures à la version 5.1.41105.00 sont affectées.
Comment faire connaître la version et la build de Microsoft Silverlight actuellement installées sur mon système ?
Si Microsoft Silverlight est déjà installé sur votre ordinateur, vous pouvez consulter la page Obtenir Microsoft Silverlight , qui indique la version et la build de Microsoft Silverlight actuellement installées sur votre système. Vous pouvez également utiliser la fonctionnalité Gérer les modules complémentaires des versions actuelles de Microsoft Internet Explorer pour déterminer la version et les informations de génération actuellement installées sur votre système.
Vous pouvez également case activée manuellement le numéro de version de sllauncher.exe situé dans le répertoire « %ProgramFiles%\Microsoft Silverlight » (sur les systèmes Microsoft Windows x86) ou dans le répertoire « %ProgramFiles(x86)%\Microsoft Silverlight » (sur les systèmes Microsoft Windows x64).
En outre, sur Microsoft Windows, les informations de version et de build de la version actuellement installée de Microsoft Silverlight se trouvent dans le Registre à l’adresse [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Silverlight] :Version sur les systèmes Microsoft Windows x86 ou [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Silverlight] :Version sur les systèmes Microsoft Windows x64.
Sur Apple Mac OS, les informations de version et de build de la version actuellement installée de Microsoft Silverlight sont disponibles comme suit :
- Ouvrir le Finder
- Sélectionnez le lecteur système et accédez au dossier Plug-ins Internet - Bibliothèque
- Cliquez avec le bouton droit sur le fichier Silverlight.Plug-in (si votre souris n’a qu’un seul bouton, appuyez sur La touche Ctrl tout en cliquant sur le fichier) pour afficher le menu contextuel, puis cliquez sur Afficher le contenu du package.
- Dans le dossier de contenu, recherchez le fichier info.plist et ouvrez-le avec un éditeur. Elle contient une entrée similaire à celle-ci, qui affiche le numéro de version : SilverlightVersion 5.1.41105.00
La version installée avec cette mise à jour de sécurité pour Microsoft Silverlight 5 est 5.1.41105.00. Si votre numéro de version Microsoft Silverlight 5 est supérieur ou égal à ce numéro de version, votre système n’est pas vulnérable.
Comment faire mettre à niveau ma version de Microsoft Silverlight ?
La fonctionnalité de mise à jour automatique de Microsoft Silverlight permet de s’assurer que votre installation de Microsoft Silverlight est mise à jour avec la dernière version de Microsoft Silverlight, la fonctionnalité Microsoft Silverlight et les fonctionnalités de sécurité. Pour plus d’informations sur la fonctionnalité de mise à jour automatique de Microsoft Silverlight, consultez Microsoft Silverlight Updater. Les utilisateurs Windows qui ont désactivé la fonctionnalité de mise à jour automatique De Microsoft Silverlight peuvent s’inscrire à Microsoft Update pour obtenir la dernière version de Microsoft Silverlight ou télécharger la dernière version de Microsoft Silverlight manuellement à l’aide du lien de téléchargement dans la table Logiciel affecté dans la section précédente, Logiciel affecté. Pour plus d’informations sur le déploiement de Microsoft Silverlight dans un environnement d’entreprise, consultez le Guide de déploiement d’entreprise Silverlight.
Cette mise à jour va-t-elle mettre à niveau ma version de Silverlight ?
La mise à jour 3106614 met à niveau les versions précédentes de Silverlight vers Silverlight version 5.1.41105.00. Microsoft recommande la mise à niveau pour être protégée contre la vulnérabilité décrite dans ce bulletin.
Où puis-je trouver des informations supplémentaires sur le cycle de vie du produit Silverlight ?
Pour plus d’informations sur le cycle de vie propres à Silverlight, consultez la politique de cycle de vie du support Microsoft Silverlight.
Informations sur la vulnérabilité
Vulnérabilité MICROSOFT Silverlight RCE - CVE-2015-6166
Une vulnérabilité d’exécution de code à distance existe lorsque Microsoft Silverlight gère incorrectement certaines demandes d’ouverture et de fermeture pouvant entraîner des violations d’accès en lecture et en écriture.
Pour exploiter la vulnérabilité, un attaquant peut héberger un site web qui contient une application Silverlight spécialement conçue, puis convaincre un utilisateur de visiter le site web compromis. L’attaquant peut également tirer parti des sites web contenant du contenu spécialement conçu, y compris ceux qui acceptent ou hébergent du contenu ou des publicités fournis par l’utilisateur. Par exemple, un attaquant peut afficher du contenu web spécialement conçu à l’aide de bannières publicitaires ou à l’aide d’autres méthodes pour fournir du contenu web aux systèmes concernés. Toutefois, dans tous les cas, un attaquant n’aurait aucun moyen de forcer les utilisateurs à visiter un site web compromis. Au lieu de cela, un attaquant aurait à convaincre un utilisateur de visiter le site web, généralement en appelant l’utilisateur à cliquer sur un lien dans un e-mail ou dans un message Instantané Messenger.
Dans le scénario de navigation web, un attaquant qui a réussi à exploiter cette vulnérabilité peut obtenir les mêmes autorisations que l’utilisateur actuellement connecté. Si un utilisateur est connecté avec des droits d’utilisateur administratifs, un attaquant peut prendre le contrôle complet du système concerné. Un attaquant peut alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes avec des droits d’utilisateur complets. Les utilisateurs dont les comptes sont configurés avec des droits restreints sur le système sont moins vulnérables que les utilisateurs qui ont des droits administratifs. La mise à jour résout la vulnérabilité en corrigeant la façon dont Microsoft Silverlight gère certaines demandes web ouvertes et fermées.
Microsoft a reçu des informations sur cette vulnérabilité par le biais d’une divulgation coordonnée des vulnérabilités. Au moment où ce bulletin de sécurité a été émis à l’origine, Microsoft n’a pas conscience de toute attaque qui tente d’exploiter cette vulnérabilité.
Facteurs d’atténuation
Microsoft n’a pas identifié de facteurs d’atténuation pour cette vulnérabilité.
Solutions de contournement
Microsoft n’a identifié aucune solution de contournement pour cette vulnérabilité.
Vulnérabilités de divulgation d’informations Microsoft Silverlight multiples
Plusieurs vulnérabilités de divulgation d’informations existent lorsque Silverlight ne parvient pas à gérer correctement les objets en mémoire, ce qui peut permettre à un attaquant de prédire de manière plus fiable les valeurs de pointeur et de dégrader l’efficacité de la fonctionnalité de sécurité ASLR (Address Space Layout Randomization).
Pour exploiter les vulnérabilités, dans un scénario d’attaque de navigation web, un attaquant peut potentiellement contourner la fonctionnalité de sécurité ASLR, qui protège les utilisateurs contre une vaste classe de vulnérabilités. Le contournement ASLR lui-même n’autorise pas l’exécution arbitraire du code. Toutefois, un attaquant peut utiliser les vulnérabilités conjointement avec un contournement ASLR pour compromettre un système ciblé.
Dans un scénario d’attaque basé sur le web, un attaquant peut héberger un site web avec du contenu Silverlight spécialement conçu dans une tentative d’exploitation des vulnérabilités. En outre, les sites web et sites web compromis qui acceptent ou hébergent du contenu fourni par l’utilisateur contenant du contenu spécialement conçu peuvent également exploiter les vulnérabilités. Un attaquant n’aurait aucun moyen de forcer un utilisateur à visiter un site web spécialement conçu. Au lieu de cela, un attaquant aurait à convaincre un utilisateur de prendre des mesures. Par exemple, un attaquant peut inciter un utilisateur à cliquer sur un lien qui amène l’utilisateur sur le site web de l’attaquant. La mise à jour résout les vulnérabilités en corrigeant la façon dont la mémoire est gérée pour maintenir l’intégrité d’ASLR dans Silverlight.
Microsoft a reçu des informations sur les vulnérabilités par le biais d’une divulgation coordonnée des vulnérabilités. Au moment où ce bulletin de sécurité a été émis à l’origine, Microsoft n’a pas connaissance de toute attaque qui tente d’exploiter les vulnérabilités.
Le tableau suivant contient des liens vers l’entrée standard pour chaque vulnérabilité dans la liste Des vulnérabilités et des expositions courantes :
| Titre de la vulnérabilité | Numéro CVE | Divulgation publique | Exploités |
|---|---|---|---|
| Vulnérabilité de divulgation d’informations Microsoft Silverlight | CVE-2015-6114 | Non | Non |
| Vulnérabilité de divulgation d’informations Microsoft Silverlight | CVE-2015-6165 | Non | Non |
Facteurs d’atténuation
Microsoft n’a pas identifié de facteurs d’atténuation pour cette vulnérabilité.
Solutions de contournement
Les solutions de contournement suivantes peuvent être utiles dans votre situation :
Empêcher temporairement l’exécution de Microsoft Silverlight dans Internet Explorer
- Dans Internet Explorer, accédez au menu Outils , puis cliquez sur Options Internet.
- Dans la fenêtre Options Internet, cliquez sur l’onglet Programmes , puis sur Gérer les modules complémentaires.
- Dans la liste barres d’outils et extensions, recherchez et sélectionnez Microsoft Silverlight, puis cliquez sur Désactiver.
Empêcher temporairement Microsoft Silverlight de s’exécuter dans Mozilla Firefox
- Dans Mozilla Firefox, accédez au menu Outils , puis cliquez sur Addons.
- Dans la fenêtre Compléments, cliquez sur l’onglet Plug-ins .
- Recherchez le plug-in Silverlight, puis cliquez sur Désactiver.
Supprimer Silverlight.Configuration.exe de IE ElevationPolicy
Avertissement Si vous utilisez l’Éditeur du Registre de manière incorrecte, vous risquez de provoquer de graves problèmes qui peuvent nécessiter la réinstallation de votre système d’exploitation. Microsoft ne peut pas vous garantir que vous pourrez résoudre les problèmes qui résulteront d'une mauvaise utilisation de l'éditeur du registre. Son utilisation est sous votre entière responsabilité.
- Ouvrez l'Éditeur du Registre.
- Développez HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Internet Explorer>Low Rights>ElevationPolicy
- Sélectionnez {003B91A6-61E3-4591-891D-01E94C8CB11E}
- Cliquez sur le menu Fichier , puis sur Exporter.
- Dans la fenêtre Exporter le fichier de Registre, tapez silverlight.configuration.exe_backup.reg , puis cliquez sur Enregistrer.
- Cliquez sur le menu Fichier , sur Supprimer, puis sur Oui.
- Fermez l’Éditeur de Registre.
- Déconnectez-vous, puis reconnectez-vous, ou redémarrez l’ordinateur.
Comment annuler la solution de contournement.
- Ouvrez l'Éditeur du Registre.
- Cliquez sur le menu Fichier , puis sur Importer.
- Dans la fenêtre Importer un fichier de Registre, cliquez sur silverlight.configuration.exe_backup.reg , puis sur Ouvrir.
- Fermez l’Éditeur de Registre.
- Déconnectez-vous, puis reconnectez-vous, ou redémarrez l’ordinateur.
Déploiement des mises à jour de sécurité
Pour plus d’informations sur le déploiement des mises à jour de sécurité, consultez l’article de la Base de connaissances Microsoft référencé dans le résumé exécutif.
Remerciements
Microsoft reconnaît les efforts de ceux de la communauté de sécurité qui nous aident à protéger les clients par le biais d’une divulgation coordonnée des vulnérabilités. Pour plus d’informations, consultez accusés de réception.
Exclusion de responsabilité
Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.
Révisions
- V1.0 (8 décembre 2015) : Bulletin publié.
Page générée 2015-12-02 11 :30-08 :00.