Bulletin de sécurité Microsoft MS16-006 - Critique
Mise à jour de sécurité pour Silverlight pour traiter l’exécution de code à distance (3126036)
Publication : 12 janvier 2016 | Mise à jour : 14 janvier 2016
Version : 1.1
Résumé
Cette mise à jour de sécurité résout une vulnérabilité dans Microsoft Silverlight. La vulnérabilité peut autoriser l’exécution de code à distance si un utilisateur visite un site web compromis qui contient une application Silverlight spécialement conçue. Un attaquant n’aurait aucun moyen de forcer les utilisateurs à visiter un site web compromis. Au lieu de cela, un attaquant devra convaincre les utilisateurs de visiter le site web, généralement en les obtenant pour cliquer sur un lien dans un e-mail ou un message instantané qui amène les utilisateurs sur le site web de l’attaquant.
Cette mise à jour de sécurité est évaluée critique pour Microsoft Silverlight 5 et Microsoft Silverlight 5 Developer Runtime lorsqu’elle est installée sur Mac ou toutes les versions prises en charge de Microsoft Windows. Pour plus d’informations, consultez la section Logiciels affectés.
La mise à jour résout les vulnérabilités en corrigeant la façon dont Microsoft Silverlight valide les résultats du décodeur. Pour plus d’informations sur les vulnérabilités, consultez la section Informations sur les vulnérabilités.
Pour plus d’informations sur cette mise à jour, consultez l’article 3126036 de la Base de connaissances Microsoft.
Évaluations de gravité des logiciels et des vulnérabilités affectés
Les versions ou éditions logicielles suivantes sont affectées. Les versions ou éditions qui ne sont pas répertoriées sont passées par leur cycle de vie de support ou ne sont pas affectées. Pour déterminer le cycle de vie de prise en charge de votre version ou édition logicielle, consultez Support Microsoft cycle de vie.
Les évaluations de gravité indiquées pour chaque logiciel concerné supposent l’impact maximal potentiel de la vulnérabilité. Pour plus d’informations sur la probabilité, dans les 30 jours suivant la publication de ce bulletin de sécurité, de l’exploitabilité de la vulnérabilité par rapport à son impact sur la gravité et la sécurité, consultez l’index exploitabilité dans le résumé du bulletin de janvier.
| Système d’exploitation | Vulnérabilité d’exécution de code à distance du runtime Silverlight - CVE-2016-0034 | Mises à jour remplacé |
|---|---|---|
| Logiciels | ||
| Microsoft Silverlight 5 lorsqu’il est installé sur Mac (3126036) | Exécution de code distant critique | 3106614 dans MS15-129 |
| Microsoft Silverlight 5 Developer Runtime lorsqu’il est installé sur Mac (3126036) | Exécution de code distant critique | 3106614 dans MS15-129 |
| Microsoft Silverlight 5 lorsqu’il est installé sur toutes les versions prises en charge des clients Microsoft Windows (3126036) | Exécution de code distant critique | 3106614 dans MS15-129 |
| Microsoft Silverlight 5 Developer Runtime lorsqu’il est installé sur toutes les versions prises en charge des clients Microsoft Windows (3126036) | Exécution de code distant critique | 3106614 dans MS15-129 |
| Microsoft Silverlight 5 lorsqu’il est installé sur toutes les versions prises en charge des serveurs Microsoft Windows (3126036) | Exécution de code distant critique | 3106614 dans MS15-129 |
| Microsoft Silverlight 5 Developer Runtime lorsqu’il est installé sur toutes les versions prises en charge des serveurs Microsoft Windows (3126036) | Exécution de code distant critique | 3106614 dans MS15-129 |
Faq sur la mise à jour
Quels navigateurs web prennent en charge les applications Microsoft Silverlight ?
Pour exécuter des applications Microsoft Silverlight, la plupart des navigateurs web, y compris Microsoft Internet Explorer, nécessitent que Microsoft Silverlight soit installé et que le plug-in correspondant soit activé. Pour plus d’informations sur Microsoft Silverlight, consultez le site officiel, Microsoft Silverlight. Reportez-vous à la documentation de votre navigateur pour en savoir plus sur la désactivation ou la suppression des plug-ins.
Quelles sont les versions de Microsoft Silverlight 5 affectées par les vulnérabilités ?
Microsoft Silverlight build 5.1.41212.0, qui était la build actuelle de Microsoft Silverlight à partir du moment où ce bulletin a été publié pour la première fois, résout les vulnérabilités et n’est pas affecté. Les builds de Microsoft Silverlight antérieures à la version 5.1.41212.0 sont affectées.
Comment faire connaître la version et la build de Microsoft Silverlight actuellement installées sur mon système ?
Si Microsoft Silverlight est déjà installé sur votre ordinateur, vous pouvez consulter la page Obtenir Microsoft Silverlight , qui indique la version et la build de Microsoft Silverlight actuellement installées sur votre système. Vous pouvez également utiliser la fonctionnalité Gérer les modules complémentaires des versions actuelles de Microsoft Internet Explorer pour déterminer la version et les informations de génération actuellement installées sur votre système.
Vous pouvez également case activée manuellement le numéro de version de sllauncher.exe situé dans le répertoire « %ProgramFiles%\Microsoft Silverlight » (sur les systèmes Microsoft Windows x86) ou dans le répertoire « %ProgramFiles(x86)%\Microsoft Silverlight » (sur les systèmes Microsoft Windows x64).
En outre, sur Microsoft Windows, les informations de version et de build de la version actuellement installée de Microsoft Silverlight se trouvent dans le Registre à l’adresse [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Silverlight] :Version sur les systèmes Microsoft Windows x86 ou [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Silverlight] :Version sur les systèmes Microsoft Windows x64.
Sur Apple Mac OS, les informations de version et de build de la version actuellement installée de Microsoft Silverlight sont disponibles comme suit :
Ouvrir le Finder
Sélectionnez le lecteur système et accédez au dossier Plug-ins Internet - Bibliothèque
Cliquez avec le bouton droit sur le fichier Silverlight.Plug-in (si votre souris n’a qu’un seul bouton, appuyez sur La touche Ctrl tout en cliquant sur le fichier) pour afficher le menu contextuel, puis cliquez sur Afficher le contenu du package.
Dans le dossier de contenu, recherchez le fichier info.plist et ouvrez-le avec un éditeur. Il contient une entrée similaire à celle-ci, qui affiche le numéro de version :
SilverlightVersion
5.1.41212.0
La version installée avec cette mise à jour de sécurité pour Microsoft Silverlight 5 est 5.1.41212.0. Si votre numéro de version Microsoft Silverlight 5 est supérieur ou égal à ce numéro de version, votre système n’est pas vulnérable.
Comment faire mettre à niveau ma version de Microsoft Silverlight ?
La fonctionnalité de mise à jour automatique de Microsoft Silverlight permet de s’assurer que votre installation de Microsoft Silverlight est mise à jour avec la dernière version de Microsoft Silverlight, la fonctionnalité Microsoft Silverlight et les fonctionnalités de sécurité. Pour plus d’informations sur la fonctionnalité de mise à jour automatique de Microsoft Silverlight, consultez Microsoft Silverlight Updater. Les utilisateurs Windows qui ont désactivé la fonctionnalité de mise à jour automatique De Microsoft Silverlight peuvent s’inscrire à Microsoft Update pour obtenir la dernière version de Microsoft Silverlight ou télécharger la dernière version de Microsoft Silverlight manuellement à l’aide du lien de téléchargement dans la table Logiciel affecté dans la section précédente, Logiciel affecté. Pour plus d’informations sur le déploiement de Microsoft Silverlight dans un environnement d’entreprise, consultez le Guide de déploiement d’entreprise Silverlight.
Cette mise à jour va-t-elle mettre à niveau ma version de Silverlight ?
La mise à jour 3126036 met à niveau les versions précédentes de Silverlight vers Silverlight version 5.1.41212.0. Microsoft recommande la mise à niveau pour être protégée contre la vulnérabilité décrite dans ce bulletin.
Où puis-je trouver des informations supplémentaires sur le cycle de vie du produit Silverlight ?
Pour plus d’informations sur le cycle de vie propres à Silverlight, consultez la politique de cycle de vie du support Microsoft Silverlight.
Informations sur la vulnérabilité
Vulnérabilité d’exécution de code à distance du runtime Silverlight - CVE-2016-0034
Une vulnérabilité d’exécution de code à distance existe lorsque Microsoft Silverlight décode des chaînes à l’aide d’un décodeur malveillant qui peut retourner des décalages négatifs qui entraînent le remplacement des en-têtes d’objets non sécurisés par un attaquant. Dans un scénario de navigation web, un attaquant qui a réussi à exploiter cette vulnérabilité peut obtenir les mêmes autorisations que l’utilisateur actuellement connecté. Si un utilisateur est connecté avec des droits d’utilisateur administratifs, un attaquant peut prendre le contrôle complet du système concerné. Un attaquant peut alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes avec des droits d’utilisateur complets. Les utilisateurs dont les comptes sont configurés avec des droits restreints sur le système sont moins vulnérables que les utilisateurs qui ont des droits administratifs.
Pour exploiter la vulnérabilité, un attaquant peut héberger un site web qui contient une application Silverlight spécialement conçue, puis convaincre un utilisateur de visiter le site web compromis. L’attaquant peut également tirer parti des sites web contenant du contenu spécialement conçu, y compris ceux qui acceptent ou hébergent du contenu ou des publicités fournis par l’utilisateur. Par exemple, un attaquant peut afficher du contenu web spécialement conçu à l’aide de bannières publicitaires ou à l’aide d’autres méthodes pour fournir du contenu web aux systèmes concernés. Toutefois, dans tous les cas, un attaquant n’aurait aucun moyen de forcer les utilisateurs à visiter un site web compromis. Au lieu de cela, un attaquant aurait à convaincre un utilisateur de visiter le site web, généralement en les invitant à cliquer sur un lien dans un e-mail ou un message instantané. La mise à jour résout cette vulnérabilité en corrigeant la façon dont Microsoft Silverlight valide les résultats du décodeur.
Microsoft a reçu des informations sur cette vulnérabilité par le biais d’une divulgation coordonnée des vulnérabilités. Au moment où ce bulletin de sécurité a été émis à l’origine, Microsoft a reçu un rapport qui pourrait indiquer une attaque limitée tentant d’exploiter cette vulnérabilité.
Facteurs d’atténuation
Microsoft n’a pas identifié de facteurs d’atténuation pour cette vulnérabilité.
Solutions de contournement
Microsoft n’a identifié aucune solution de contournement pour cette vulnérabilité.
Déploiement des mises à jour de sécurité
Pour plus d’informations sur le déploiement des mises à jour de sécurité, consultez l’article de la Base de connaissances Microsoft référencé dans le résumé exécutif.
Remerciements
Microsoft reconnaît les efforts de ceux de la communauté de sécurité qui nous aident à protéger les clients par le biais d’une divulgation coordonnée des vulnérabilités. Pour plus d’informations, consultez accusés de réception.
Exclusion de responsabilité
Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.
Révisions
- V1.0 (12 janvier 2016) : Bulletin publié.
- V1.1 (14 janvier 2016) : Mise à jour des informations de vulnérabilité pour CVE-2016-0034. Il s’agit d’une modification d’information uniquement.
Page générée 2016-01-27 09 :22-08 :00.