Bulletin de sécurité Microsoft MS16-109 - Important
Mise à jour de sécurité pour Silverlight (3182373)
Publication : 13 septembre 2016
Version : 1.0
Résumé
Cette mise à jour de sécurité résout une vulnérabilité dans Microsoft Silverlight. La vulnérabilité peut autoriser l’exécution de code à distance si un utilisateur visite un site web compromis qui contient une application Silverlight spécialement conçue. Un attaquant n’aurait aucun moyen de forcer un utilisateur à visiter un site web compromis. Au lieu de cela, un attaquant aurait à convaincre l’utilisateur de visiter le site web, généralement en demandant à l’utilisateur de cliquer sur un lien dans un e-mail ou un message instantané qui amène l’utilisateur sur le site web de l’attaquant.
Cette mise à jour de sécurité est évaluée comme importante pour Microsoft Silverlight 5 et Microsoft Silverlight 5 Developer Runtime lorsqu’elle est installée sur Mac ou toutes les versions prises en charge de Microsoft Windows. Pour plus d’informations, consultez la section Logiciels affectés.
La mise à jour résout la vulnérabilité en corrigeant la façon dont Microsoft Silverlight alloue de la mémoire pour l’insertion et l’ajout de chaînes dans StringBuilder. Pour plus d’informations sur les vulnérabilités, consultez la section Informations sur les vulnérabilités.
Pour plus d’informations sur cette mise à jour, consultez l’article de la Base de connaissances Microsoft 3182373.
Évaluations de gravité des logiciels et des vulnérabilités affectés
Les versions ou éditions logicielles suivantes sont affectées. Les versions ou éditions qui ne sont pas répertoriées sont passées par leur cycle de vie de support ou ne sont pas affectées. Pour déterminer le cycle de vie de prise en charge de votre version ou édition logicielle, consultez Support Microsoft cycle de vie.
Les évaluations de gravité indiquées pour chaque logiciel concerné supposent l’impact maximal potentiel de la vulnérabilité. Pour plus d’informations sur la probabilité, dans les 30 jours suivant la publication de ce bulletin de sécurité, de l’exploitabilité de la vulnérabilité par rapport à son impact sur la gravité et la sécurité, consultez l’index exploitabilité dans le résumé du bulletin de septembre.
| Outils pour développeurs | Vulnérabilité d’altération de la mémoire Microsoft Silverlight - CVE-2016-3367 | Mises à jour remplacé |
|---|---|---|
| Logiciels | ||
| Microsoft Silverlight 5 lorsqu’il est installé sur Mac (3182373) | Exécution de code à distance importante | 3126036 dans MS16-006 |
| Microsoft Silverlight 5 Developer Runtime lorsqu’il est installé sur Mac (3182373) | Exécution de code à distance importante | 3126036 dans MS16-006 |
| Microsoft Silverlight 5 lorsqu’il est installé sur toutes les versions prises en charge des clients Microsoft Windows (3182373) | Exécution de code à distance importante | 3126036 dans MS16-006 |
| Microsoft Silverlight 5 Developer Runtime lorsqu’il est installé sur toutes les versions prises en charge des clients Microsoft Windows (3182373) | Exécution de code à distance importante | 3126036 dans MS16-006 |
| Microsoft Silverlight 5 lorsqu’il est installé sur toutes les versions prises en charge des serveurs Microsoft Windows (3182373) | Exécution de code à distance importante | 3126036 dans MS16-006 |
| Microsoft Silverlight 5 Developer Runtime lorsqu’il est installé sur toutes les versions prises en charge des serveurs Microsoft Windows (3182373) | Exécution de code à distance importante | 3126036 dans MS16-006 |
Faq sur la mise à jour
Quels navigateurs web prennent en charge les applications Microsoft Silverlight ?
Pour exécuter des applications Microsoft Silverlight, la plupart des navigateurs web, y compris Microsoft Internet Explorer, nécessitent que Microsoft Silverlight soit installé et que le plug-in correspondant soit activé. Pour plus d’informations sur Microsoft Silverlight, consultez le site officiel, Microsoft Silverlight. Reportez-vous à la documentation de votre navigateur pour en savoir plus sur la désactivation ou la suppression des plug-ins.
Quelles sont les versions de Microsoft Silverlight 5 affectées par les vulnérabilités ?
Microsoft Silverlight build 5.1.50709.0, qui était la build actuelle de Microsoft Silverlight à partir du moment où ce bulletin a été publié pour la première fois, traite les vulnérabilités et n’est pas affecté. Les builds de Microsoft Silverlight antérieures à la version 5.1.50709.0 sont affectées.
Comment faire connaître la version et la build de Microsoft Silverlight actuellement installées sur mon système ?
Si Microsoft Silverlight est déjà installé sur votre ordinateur, vous pouvez consulter la page Obtenir Microsoft Silverlight , qui indique la version et la build de Microsoft Silverlight actuellement installées sur votre système. Vous pouvez également utiliser la fonctionnalité Gérer les modules complémentaires des versions actuelles de Microsoft Internet Explorer pour déterminer la version et les informations de génération actuellement installées sur votre système.
Vous pouvez également case activée manuellement le numéro de version de sllauncher.exe situé dans le répertoire « %ProgramFiles%\Microsoft Silverlight » (sur les systèmes Microsoft Windows x86) ou dans le répertoire « %ProgramFiles(x86)%\Microsoft Silverlight » (sur les systèmes Microsoft Windows x64).
En outre, sur Microsoft Windows, les informations de version et de build de la version actuellement installée de Microsoft Silverlight se trouvent dans le Registre à l’adresse [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Silverlight] :Version sur les systèmes Microsoft Windows x86 ou [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Silverlight] :Version sur les systèmes Microsoft Windows x64.
Sur Apple Mac OS, les informations de version et de build de la version actuellement installée de Microsoft Silverlight sont disponibles comme suit :
- Ouvrez le Finder.
- Sélectionnez le lecteur système et accédez au dossier Plug-ins Internet - Bibliothèque.
- Cliquez avec le bouton droit sur le fichier Silverlight.Plug-in (si votre souris n’a qu’un seul bouton, appuyez sur La touche Ctrl tout en cliquant sur le fichier) pour afficher le menu contextuel, puis cliquez sur Afficher le contenu du package.
- Dans le dossier de contenu, recherchez le fichier info.plist et ouvrez-le avec un éditeur. Elle contient une entrée similaire à celle-ci, qui vous indique le numéro de version : SilverlightVersion 5.1.50709.0
La version installée avec cette mise à jour de sécurité pour Microsoft Silverlight 5 est 5.1.50709.0. Si votre numéro de version Microsoft Silverlight 5 est supérieur ou égal à ce numéro de version, votre système n’est pas vulnérable.
Comment faire mettre à niveau ma version de Microsoft Silverlight ?
La fonctionnalité de mise à jour automatique de Microsoft Silverlight permet de s’assurer que votre installation de Microsoft Silverlight est mise à jour avec la dernière version de Microsoft Silverlight, la fonctionnalité Microsoft Silverlight et les fonctionnalités de sécurité. Pour plus d’informations sur la fonctionnalité de mise à jour automatique de Microsoft Silverlight, consultez Microsoft Silverlight Updater. Les utilisateurs Windows qui ont désactivé la fonctionnalité de mise à jour automatique De Microsoft Silverlight peuvent s’inscrire à Microsoft Update pour obtenir la dernière version de Microsoft Silverlight ou télécharger la dernière version de Microsoft Silverlight manuellement à l’aide du lien de téléchargement dans la table Logiciel affecté dans la section précédente, Logiciel affecté. Pour plus d’informations sur le déploiement de Microsoft Silverlight dans un environnement d’entreprise, consultez le Guide de déploiement d’entreprise Silverlight.
Cette mise à jour va-t-elle mettre à niveau ma version de Silverlight ?
La mise à jour 3182373 met à niveau les versions précédentes de Silverlight vers Silverlight version 5.1.50709.0. Microsoft recommande la mise à niveau pour être protégée contre la vulnérabilité décrite dans ce bulletin.
Où puis-je trouver des informations supplémentaires sur le cycle de vie du produit Silverlight ? Pour plus d’informations sur le cycle de vie propres à Silverlight, consultez la politique de cycle de vie du support Microsoft Silverlight.
Informations sur la vulnérabilité
Vulnérabilité d’altération de la mémoire Microsoft Silverlight - CVE-2016-3367
Une vulnérabilité d’exécution de code à distance existe lorsque Microsoft Silverlight autorise incorrectement les applications à accéder aux objets en mémoire. La vulnérabilité peut endommager la mémoire système, ce qui peut permettre à un attaquant d’exécuter du code arbitraire. Dans un scénario de navigation web, un attaquant qui a réussi à exploiter cette vulnérabilité peut obtenir les mêmes autorisations que l’utilisateur actuellement connecté. Si un utilisateur est connecté avec des droits d’utilisateur administratifs, un attaquant peut prendre le contrôle complet du système concerné. Un attaquant peut alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes avec des droits d’utilisateur complets. Les utilisateurs dont les comptes sont configurés avec des droits restreints sur le système sont moins vulnérables que les utilisateurs qui ont des droits administratifs.
Pour exploiter la vulnérabilité, un attaquant peut héberger un site web qui contient une application Silverlight spécialement conçue, puis convaincre un utilisateur de visiter le site web compromis. L’attaquant peut également tirer parti des sites web contenant du contenu spécialement conçu, y compris ceux qui acceptent ou hébergent du contenu ou des publicités fournis par l’utilisateur. Par exemple, un attaquant peut afficher du contenu web spécialement conçu à l’aide de bannières publicitaires ou à l’aide d’autres méthodes pour fournir du contenu web aux systèmes concernés. Toutefois, dans tous les cas, un attaquant n’aurait aucun moyen de forcer un utilisateur à visiter un site web compromis. Au lieu de cela, un attaquant aurait à convaincre un utilisateur de visiter le site web, généralement en demandant à l’utilisateur de cliquer sur un lien dans un e-mail ou un message instantané. La mise à jour résout la vulnérabilité en corrigeant la façon dont Microsoft Silverlight alloue de la mémoire pour l’insertion et l’ajout de chaînes dans StringBuilder.
Le tableau suivant contient des liens vers l’entrée standard pour chaque vulnérabilité dans la liste Des vulnérabilités et des expositions courantes :
| **Titre de la vulnérabilité ** | **Numéro CVE ** | Divulgation publique | Exploités |
|---|---|---|---|
| Vulnérabilité d’altération de la mémoire Microsoft Silverlight | CVE-2016-3367 | Non | Non |
Facteurs d’atténuation
Microsoft n’a pas identifié de facteurs d’atténuation pour cette vulnérabilité.
Solutions de contournement
Microsoft n’a identifié aucune solution de contournement pour cette vulnérabilité.
Déploiement des mises à jour de sécurité
Pour plus d’informations sur le déploiement des mises à jour de sécurité, consultez l’article de la Base de connaissances Microsoft référencé dans le résumé exécutif.
Remerciements
Microsoft reconnaît les efforts de ceux de la communauté de sécurité qui nous aident à protéger les clients par le biais d’une divulgation coordonnée des vulnérabilités. Pour plus d’informations, consultez accusés de réception.
Exclusion de responsabilité
Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.
Révisions
- V1.0 (13 septembre 2016) : Bulletin publié.
Page générée 2016-09-12 09 :56-07 :00.