Bulletin de sécurité Microsoft MS16-141 - Critique

Mise à jour de sécurité pour Adobe Flash Player (3202790)

Publication : 8 novembre 2016

Version : 1.0

Résumé

Cette mise à jour de sécurité résout les vulnérabilités dans Adobe Flash Player lorsqu’elle est installée sur toutes les éditions prises en charge de Windows 8.1, Windows Server 2012 R2, Windows RT 8.1, Windows 10 et Windows Server 2016.

Cette mise à jour de sécurité est évaluée critique. La mise à jour résout les vulnérabilités dans Adobe Flash Player en mettant à jour les bibliothèques Adobe Flash affectées contenues dans Internet Explorer 10, Internet Explorer 11 et Microsoft Edge. Pour plus d’informations, consultez la section Logiciels affectés.

Pour plus d’informations sur cette mise à jour, consultez l’article de la Base de connaissances Microsoft 3202790.

Informations sur la vulnérabilité

Cette mise à jour de sécurité traite les vulnérabilités suivantes, qui sont décrites dans le Bulletin de sécurité Adobe APSB16-37 :

CVE-2016-7857, CVE-2016-7858, CVE-2016-7859, CVE-2016-7860, CVE-2016-7861, CVE-2016-7862, CVE-2016-7863, CVE-2016-7864, CVE-2016-7865

Logiciel affecté

Les versions ou éditions logicielles suivantes sont affectées. Les versions ou éditions qui ne sont pas répertoriées sont passées par leur cycle de vie de support ou ne sont pas affectées. Pour déterminer le cycle de vie de prise en charge de votre version ou édition logicielle, consultez Support Microsoft cycle de vie.

Système d’exploitation Composant Gravité et impact agrégés Mises à jour remplacé*
Windows 8.1
Windows 8.1 pour les systèmes 32 bits Adobe Flash Player (3202790) Exécution de code distant critique 3201860 dans MS16-128
Windows 8.1 pour les systèmes x64 Adobe Flash Player (3202790) Exécution de code distant critique 3201860 dans MS16-128
Windows Server 2012 et Windows Server 2012 R2
Windows Server 2012 Adobe Flash Player (3202790) Modérer l’exécution du code distant 3201860 dans MS16-128
Windows Server 2012 R2 Adobe Flash Player (3202790) Modérer l’exécution du code distant 3201860 dans MS16-128
Windows RT 8.1
Windows RT 8.1 Adobe Flash Player (3202790)[1] Exécution de code distant critique 3201860 dans MS16-128
Windows 10
Windows 10 pour les systèmes 32 bits Adobe Flash Player (3202790)[2] Exécution de code distant critique 3201860 dans MS16-128
Windows 10 pour systèmes x64 Adobe Flash Player (3202790)[2] Exécution de code distant critique 3201860 dans MS16-128
Windows 10 version 1511 pour les systèmes 32 bits Adobe Flash Player (3202790)[2] Exécution de code distant critique 3201860 dans MS16-128
Windows 10 version 1511 pour les systèmes x64 Adobe Flash Player (3202790)[2] Exécution de code distant critique 3201860 dans MS16-128
Windows 10 version 1607 pour les systèmes 32 bits Adobe Flash Player (3202790)[2] Exécution de code distant critique 3201860 dans MS16-128
Windows 10 version 1607 pour les systèmes x64 Adobe Flash Player (3202790)[2] Exécution de code distant critique 3201860 dans MS16-128
Windows Server 2016
Windows Server 2016 pour les systèmes 64 bits Adobe Flash Player (3202790)[2] Exécution de code distant critique 3201860 dans MS16-128

[1]Cette mise à jour est disponible via Windows Update.

[2]Les mises à jour Adobe FlashPlayer pour les mises à jour de Windows 10 sont disponibles via Windows Update ou via le catalogue Microsoft Update.

Notez que les vulnérabilités décrites dans ce bulletin affectent Windows Server 2016 Technical Preview 5. Pour être protégé contre les vulnérabilités, Microsoft recommande aux clients qui exécutent ce système d’exploitation d’appliquer la mise à jour actuelle, qui est disponible exclusivement à partir de Windows Update.

*La colonne Mises à jour remplacée affiche uniquement la dernière mise à jour dans n’importe quelle chaîne de mises à jour remplacées. Pour obtenir la liste complète des mises à jour remplacées, accédez au catalogue Microsoft Update, recherchez le numéro de mise à jour Ko, puis affichez les détails de la mise à jour (les informations remplacées sont fournies sous l’onglet Détails du package).

Forums Aux Questions (FAQ)

Comment un attaquant pourrait-il exploiter ces vulnérabilités ?
Dans un scénario d’attaque web où l’utilisateur utilise Internet Explorer pour le Bureau, un attaquant peut héberger un site web spécialement conçu pour exploiter ces vulnérabilités via Internet Explorer, puis convaincre un utilisateur d’afficher le site web. Un attaquant peut également incorporer un contrôle ActiveX marqué comme « sécurisé pour l’initialisation » dans une application ou un document Microsoft Bureau qui héberge le moteur de rendu Internet Explorer. L’attaquant peut également tirer parti des sites web et sites web compromis qui acceptent ou hébergent du contenu ou des publicités fournis par l’utilisateur. Ces sites web peuvent contenir du contenu spécialement conçu qui pourrait exploiter l’une de ces vulnérabilités. Dans tous les cas, toutefois, un attaquant n’aurait aucun moyen de forcer les utilisateurs à afficher le contenu contrôlé par l’attaquant. Au lieu de cela, un attaquant devra convaincre les utilisateurs de prendre des mesures, généralement en cliquant sur un lien dans un message électronique ou dans un message Instantané Messenger qui amène les utilisateurs sur le site web de l’attaquant, ou en ouvrant une pièce jointe envoyée par e-mail.

Dans un scénario d’attaque web où l’utilisateur utilise Internet Explorer dans l’interface utilisateur de style Windows 8, un attaquant doit d’abord compromettre un site web déjà répertorié dans la liste affichage de compatibilité (CV). Un attaquant peut ensuite héberger un site web qui contient du contenu Flash spécialement conçu pour exploiter l’une de ces vulnérabilités via Internet Explorer, puis convaincre un utilisateur d’afficher le site web. Un attaquant n’aurait aucun moyen de forcer les utilisateurs à afficher le contenu contrôlé par l’attaquant. Au lieu de cela, un attaquant devra convaincre les utilisateurs de prendre des mesures, généralement en cliquant sur un lien dans un message électronique ou dans un message Instantané Messenger qui amène les utilisateurs sur le site web de l’attaquant, ou en ouvrant une pièce jointe envoyée par e-mail. Pour plus d’informations sur Internet Explorer et la liste des CV, consultez l’article MSDN, conseils pour les développeurs pour les sites web avec du contenu pour Adobe Flash Player dans Windows 8.

Facteurs d’atténuation

L’atténuation fait référence à un paramètre, à une configuration courante ou à une meilleure pratique générale, existant dans un état par défaut, qui peut réduire la gravité de l’exploitation d’une vulnérabilité. Les facteurs d’atténuation suivants peuvent être utiles dans votre situation :

  • Dans un scénario d’attaque basé sur le web où l’utilisateur utilise Internet Explorer pour le Bureau, un attaquant peut héberger un site web qui contient une page web utilisée pour exploiter l’une de ces vulnérabilités. En outre, les sites web et sites web compromis qui acceptent ou hébergent du contenu ou des publicités fournis par l’utilisateur peuvent contenir du contenu spécialement conçu qui pourrait exploiter l’une de ces vulnérabilités. Toutefois, dans tous les cas, un attaquant n’aurait aucun moyen de forcer les utilisateurs à visiter ces sites web. Au lieu de cela, un attaquant aurait à convaincre les utilisateurs de visiter le site web, généralement en les obtenant pour cliquer sur un lien dans un e-mail ou un message Instantané Messenger qui amène les utilisateurs au site web de l’attaquant.
  • Internet Explorer dans l’interface utilisateur de style Windows 8 ne lirea que le contenu Flash à partir de sites répertoriés dans la liste affichage de compatibilité (CV). Cette restriction nécessite qu’un attaquant compromisse d’abord un site web déjà répertorié dans la liste des CV. Un attaquant peut ensuite héberger du contenu Flash spécialement conçu pour exploiter l’une de ces vulnérabilités via Internet Explorer, puis convaincre un utilisateur d’afficher le site web. Un attaquant n’aurait aucun moyen de forcer les utilisateurs à afficher le contenu contrôlé par l’attaquant. Au lieu de cela, un attaquant devra convaincre les utilisateurs de prendre des mesures, généralement en cliquant sur un lien dans un message électronique ou dans un message Instantané Messenger qui amène les utilisateurs sur le site web de l’attaquant, ou en ouvrant une pièce jointe envoyée par e-mail.
  • Par défaut, toutes les versions prises en charge de Microsoft Outlook et windows Live Mail ouvrent des messages électroniques HTML dans la zone Sites restreints. La zone sites restreints, qui désactive les scripts et les contrôles ActiveX, permet de réduire le risque qu’un attaquant puisse utiliser l’une de ces vulnérabilités pour exécuter du code malveillant. Si un utilisateur clique sur un lien dans un message électronique, l’utilisateur peut toujours être vulnérable à l’exploitation de l’une de ces vulnérabilités par le biais du scénario d’attaque basé sur le web.
  • Par défaut, Internet Explorer sur Windows Server 2012 et Windows Server 2012 R2 s’exécute en mode restreint appelé Configuration de sécurité améliorée. Ce mode peut contribuer à réduire la probabilité d’exploitation de ces vulnérabilités Adobe Flash Player dans Internet Explorer.

Solutions de contournement

La solution de contournement fait référence à un paramètre ou à une modification de configuration qui aiderait à bloquer les vecteurs d’attaque connus avant d’appliquer la mise à jour.

  • Empêcher l’exécution d’Adobe Flash Player

    Vous pouvez désactiver les tentatives d’instanciation d’Adobe Flash Player dans Internet Explorer et d’autres applications qui respectent la fonctionnalité kill bit, comme Bureau 2007 et Bureau 2010, en définissant le bit de destruction pour le contrôle dans le Registre.

    Avertissement Si vous utilisez l’Éditeur du Registre de manière incorrecte, vous risquez de provoquer de graves problèmes qui peuvent nécessiter la réinstallation de votre système d’exploitation. Microsoft ne peut pas vous garantir que vous pourrez résoudre les problèmes qui résulteront d'une mauvaise utilisation de l'éditeur du registre. Son utilisation est sous votre entière responsabilité.

    Pour définir le bit de destruction pour le contrôle dans le Registre, procédez comme suit :

    1. Collez ce qui suit dans un fichier texte et enregistrez-le avec l’extension de fichier .reg.

      Windows Registry Editor Version 5.00
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
      "Compatibility Flags"=dword:00000400
      
      [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
      "Compatibility Flags"=dword:00000400
      
  1. Double-cliquez sur le fichier .reg pour l’appliquer à un système individuel. Vous pouvez également appliquer cette solution de contournement entre les domaines à l’aide de la stratégie de groupe. Pour plus d’informations sur la stratégie de groupe, consultez l’article TechNet, collection de stratégies de groupe.

Notez que vous devez redémarrer Internet Explorer pour que vos modifications prennent effet.

Impact de la solution de contournement. Il n’y a aucun impact tant que l’objet n’est pas destiné à être utilisé dans Internet Explorer.

Comment annuler la solution de contournement. Supprimez les clés de Registre ajoutées lors de l’implémentation de cette solution de contournement.

  • Empêcher Adobe Flash Player de s’exécuter dans Internet Explorer via la stratégie de groupe

Notez que le composant logiciel enfichable MMC de stratégie de groupe peut être utilisé pour définir une stratégie pour une machine, pour une unité organisationnelle ou pour un domaine entier. Pour plus d’informations sur la stratégie de groupe, consultez les sites Web Microsoft suivants :

Vue d’ensemble de la stratégie de groupe

Qu’est-ce que l’Éditeur d’objets de stratégie de groupe ?

Principaux outils et paramètres de stratégie de groupe

Pour désactiver Adobe Flash Player dans Internet Explorer via la stratégie de groupe, procédez comme suit :

Notez que cette solution de contournement n’empêche pas Flash d’être appelée à partir d’autres applications, telles que Microsoft Bureau 2007 ou Microsoft Bureau 2010.

  1. Ouvrez la console de gestion des stratégies de groupe et configurez la console pour qu’elle fonctionne avec l’objet de stratégie de groupe approprié, tel que l’ordinateur local, l’unité d’organisation ou l’objet de stratégie de groupe de domaine.
  2. Accédez au nœud suivant : modèles Administration istratives ->Composants Windows ->Internet Explorer -Fonctionnalités de sécurité ->>Gestion des modules complémentaires
  3. Double-cliquez sur Désactiver Adobe Flash dans Internet Explorer et empêcher les applications d’utiliser la technologie Internet Explorer pour instancier des objets Flash.
  4. Définissez le paramètre sur Activé.
  5. Cliquez sur Appliquer , puis sur OK pour revenir à la console de gestion des stratégies de groupe.
  6. Actualisez la stratégie de groupe sur tous les systèmes ou attendez que l’intervalle d’actualisation de la stratégie de groupe planifié suivant pour que les paramètres prennent effet.
  • Empêcher Adobe Flash Player de s’exécuter dans Bureau 2010 sur les systèmes concernés

Notez que cette solution de contournement n’empêche pas Adobe Flash Player de s’exécuter dans Internet Explorer.

Avertissement Si vous utilisez l’Éditeur du Registre de manière incorrecte, vous risquez de provoquer de graves problèmes qui peuvent nécessiter la réinstallation de votre système d’exploitation. Microsoft ne peut pas vous garantir que vous pourrez résoudre les problèmes qui résulteront d'une mauvaise utilisation de l'éditeur du registre. Son utilisation est sous votre entière responsabilité.

Pour obtenir des étapes détaillées que vous pouvez utiliser pour empêcher l’exécution d’un contrôle dans Internet Explorer, consultez l’article de la Base de connaissances Microsoft 240797. Suivez les étapes de l’article pour créer une valeur d’indicateurs de compatibilité dans le Registre pour empêcher l’instanciation d’un objet COM dans Internet Explorer.

Pour désactiver Adobe Flash Player dans Bureau 2010 uniquement, définissez le bit de destruction pour le contrôle ActiveX pour Adobe Flash Player dans le Registre en procédant comme suit :

  1. Créez un fichier texte nommé Disable_Flash.reg avec le contenu suivant :
             Windows Registry Editor Version 5.00

            [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM\Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
            "Compatibility Flags"=dword:00000400
  1. Double-cliquez sur le fichier .reg pour l’appliquer à un système individuel.
  2. Notez que vous devez redémarrer Internet Explorer pour que vos modifications prennent effet.

Vous pouvez également appliquer cette solution de contournement entre les domaines à l’aide de la stratégie de groupe. Pour plus d’informations sur la stratégie de groupe, consultez l’article TechNet, collection de stratégies de groupe. 

  • Empêcher l’exécution des contrôles ActiveX dans Bureau 2007 et Bureau 2010

Pour désactiver tous les contrôles ActiveX dans Microsoft Bureau 2007 et Microsoft Bureau 2010, y compris Adobe Flash Player dans Internet Explorer, procédez comme suit :

  1. Cliquez sur Fichier, sur Options, sur Centre de gestion de la confidentialité, puis sur Centre de gestion de la confidentialité Paramètres.
  2. Cliquez sur ActiveX Paramètres dans le volet gauche, puis sélectionnez Désactiver tous les contrôles sans notifications.
  3. Cliquez sur OK pour enregistrer vos paramètres.

Impact de la solution de contournement. Bureau documents qui utilisent des contrôles ActiveX incorporés peuvent ne pas s’afficher comme prévu.

Comment annuler la solution de contournement.

Pour réactiver les contrôles ActiveX dans Microsoft Bureau 2007 et Microsoft Bureau 2010, procédez comme suit :

  1. Cliquez sur Fichier, sur Options, sur Centre de gestion de la confidentialité, puis sur Centre de gestion de la confidentialité Paramètres.
  2. Cliquez sur ActiveX Paramètres dans le volet gauche, puis désélectionnez Désactiver tous les contrôles sans notifications.
  3. Cliquez sur OK pour enregistrer vos paramètres. 
  • Définissez les paramètres de zone de sécurité Internet et Intranet local sur « Élevé » pour bloquer les contrôles ActiveX et les scripts actifs dans ces zones

Vous pouvez vous protéger contre l’exploitation de ces vulnérabilités en modifiant vos paramètres pour la zone de sécurité Internet afin de bloquer les contrôles ActiveX et les scripts actifs. Pour ce faire, définissez la sécurité de votre navigateur sur High.

Pour augmenter le niveau de sécurité de navigation dans Internet Explorer, procédez comme suit :

  1. Dans le menu Outils Internet Explorer, cliquez sur Options Internet.
  2. Dans la boîte de dialogue Options Internet, cliquez sur l’onglet Sécurité , puis sur Internet.
  3. Sous Niveau de sécurité pour cette zone, déplacez le curseur vers Haut. Cela définit le niveau de sécurité pour tous les sites web que vous visitez à High.
  4. Cliquez sur Intranet local.
  5. Sous Niveau de sécurité pour cette zone, déplacez le curseur vers Haut. Cela définit le niveau de sécurité pour tous les sites web que vous visitez à High.
  6. Cliquez sur OK pour accepter les modifications et revenir à Internet Explorer.

Remarque Si aucun curseur n’est visible, cliquez sur Niveau par défaut, puis déplacez le curseur vers Haut.

Notez que la définition du niveau élevé peut entraîner le fonctionnement incorrect de certains sites web. Si vous avez des difficultés à utiliser un site web après avoir modifié ce paramètre et que vous êtes sûr que le site est sûr à utiliser, vous pouvez ajouter ce site à votre liste de sites approuvés. Cela permet au site de fonctionner correctement même avec le paramètre de sécurité défini sur High.

Impact de la solution de contournement. Il existe des effets secondaires pour bloquer les contrôles ActiveX et les scripts actifs. De nombreux sites web sur Internet ou un intranet utilisent ActiveX ou Active Scripting pour fournir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peut utiliser des contrôles ActiveX pour fournir des menus, des formulaires de commande ou même des relevés de compte. Le blocage des contrôles ActiveX ou des scripts actifs est un paramètre global qui affecte tous les sites Internet et intranet. Si vous ne souhaitez pas bloquer les contrôles ActiveX ou les scripts actifs pour ces sites, suivez les étapes décrites dans « Ajouter des sites approuvés à la zone sites approuvés Internet Explorer ».

  • Configurer Internet Explorer pour qu’il vous invite avant d’exécuter un script actif ou de désactiver le script actif dans la zone de sécurité Internet et intranet local

Vous pouvez vous protéger contre l’exploitation de ces vulnérabilités en modifiant vos paramètres pour qu’ils s’affichent avant d’exécuter un script actif ou pour désactiver le script actif dans la zone de sécurité Internet et intranet local. Pour ce faire, procédez comme suit :

  1. Dans Internet Explorer, cliquez sur Options Internet dans le menu Outils .
  2. Cliquez sur l’onglet Security .
  3. Cliquez sur Internet, puis sur Niveau personnalisé.
  4. Sous Paramètres, dans la section Script, sous Script actif, cliquez sur **Demander **ou Désactiver, puis sur OK.
  5. Cliquez sur Intranet local, puis sur Niveau personnalisé.
  6. Sous Paramètres, dans la section Script, sous Script actif, cliquez sur **Demander **ou Désactiver, puis sur OK.
  7. Cliquez sur OK pour revenir à Internet Explorer, puis sur OK à nouveau.

Notez que la désactivation des scripts actifs dans les zones de sécurité Internet et intranet local peut entraîner le fonctionnement incorrect de certains sites web. Si vous avez des difficultés à utiliser un site web après avoir modifié ce paramètre et que vous êtes sûr que le site est sûr à utiliser, vous pouvez ajouter ce site à votre liste de sites approuvés. Cela permettra au site de fonctionner correctement.

Impact de la solution de contournement. Il existe des effets secondaires pour inviter avant d’exécuter le script actif. De nombreux sites web qui se trouvent sur Internet ou sur un intranet utilisent le script actif pour fournir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peut utiliser le script actif pour fournir des menus, des formulaires de commande ou même des relevés de compte. L’invite avant d’exécuter le script actif est un paramètre global qui affecte tous les sites Internet et intranet. Vous serez invité fréquemment lorsque vous activez cette solution de contournement. Pour chaque invite, si vous pensez que vous faites confiance au site que vous visitez, cliquez sur Oui pour exécuter le script actif. Si vous ne souhaitez pas être invité à entrer tous ces sites, suivez les étapes décrites dans « Ajouter des sites approuvés à la zone sites approuvés Internet Explorer ».

  • Ajouter des sites approuvés à la zone sites approuvés d’Internet Explorer

    Après avoir défini Internet Explorer pour exiger une invite avant d’exécuter des contrôles ActiveX et des scripts actifs dans la zone Internet et dans la zone intranet local, vous pouvez ajouter des sites que vous approuvez à la zone sites approuvés d’Internet Explorer. Cela vous permettra de continuer à utiliser des sites web approuvés exactement comme vous le faites aujourd’hui, tout en vous aidant à vous protéger contre cette attaque sur des sites non approuvés. Nous vous recommandons d’ajouter uniquement des sites approuvés à la zone sites approuvés.

Pour ce faire, procédez comme suit :

  1. Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l’onglet Sécurité .
  2. Dans la zone Sélectionner un contenu web pour spécifier sa zone de paramètres de sécurité actuelle, cliquez sur Sites approuvés, puis sur Sites.
  3. Si vous souhaitez ajouter des sites qui ne nécessitent pas de canal chiffré, cliquez pour effacer la case Exiger la vérification du serveur (https :) pour tous les sites de cette zone case activée zone.
  4. Dans la zone Ajouter ce site web à la zone de zone , tapez l’URL d’un site approuvé, puis cliquez sur Ajouter.
  5. Répétez ces étapes pour chaque site que vous souhaitez ajouter à la zone.
  6. Cliquez sur OK deux fois pour accepter les modifications et revenir à Internet Explorer.

Notez que vous ajoutez tous les sites que vous approuvez pour ne pas effectuer d’action malveillante sur votre système. Deux sites en particulier que vous souhaiterez peut-être ajouter sont *.windowsupdate.microsoft.com et *.update.microsoft.com. Il s’agit des sites qui hébergeront la mise à jour et qui nécessitent un contrôle ActiveX pour installer la mise à jour.

Déploiement des mises à jour de sécurité

Pour plus d’informations sur le déploiement des mises à jour de sécurité, consultez l’article de la Base de connaissances Microsoft référencé dans le résumé exécutif.

Remerciements

Microsoft reconnaît les efforts de ceux de la communauté de sécurité qui nous aident à protéger les clients par le biais d’une divulgation coordonnée des vulnérabilités. Pour plus d’informations, consultez accusés de réception.

Exclusion de responsabilité

Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.

Révisions

  • V1.0 (8 novembre 2016) : Bulletin publié.

Page générée 2016-11-08 07 :31-08 :00.