Bulletin de sécurité Microsoft MS17-013 - Critique

Mise à jour de sécurité pour le composant Microsoft Graphics (4013075)

Date de publication : 14 mars 2017 | Date de mise à jour : 9 mai 2017

Version : 3.0

Cette mise à jour de sécurité corrige des vulnérabilités dans Microsoft Windows, Microsoft Office, Skype Entreprise, Microsoft Lync et Microsoft Silverlight. La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance si un utilisateur visitait un site web spécialement conçu ou ouvrait un document spécialement conçu. Les utilisateurs dont les comptes sont configurés avec moins de droits sur le système pourraient être moins touchés que ceux qui disposent de privilèges d'administrateur.

Cette mise à jour de sécurité est de niveau « Critique » pour :

  • Toutes les versions prises en charge de Microsoft Windows
  • Les éditions concernées de Microsoft Office 2007 et Microsoft Office 2010
  • Les éditions concernées de Skype Entreprise 2016, Microsoft Lync 2013 et Microsoft Lync 2010
  • Les éditions concernées de Silverlight

Cette mise à jour de sécurité corrige les vulnérabilités en modifiant la manière dont le logiciel traite les objets en mémoire.

Pour plus d'informations, consultez la section Logiciels concernés et indices de gravité de la vulnérabilité.

Pour plus d'informations sur cette mise à jour, consultez l'article 4013075 de la Base de connaissances Microsoft.

Les versions ou éditions répertoriées ci-dessous sont concernées. Les versions ou éditions non répertoriées ont atteint la fin de leur cycle de vie ou ne sont pas concernées. Consultez le site web Politique de Support Microsoft afin de connaître la politique de support Microsoft pour votre version ou édition.

Les indices de gravité indiqués pour chaque logiciel concerné supposent l'impact potentiel maximal de la vulnérabilité. Pour plus d'informations sur les risques dans les 30 jours suivant la publication d'un Bulletin concernant l'exploitabilité de la vulnérabilité par rapport à son indice de gravité et à son impact, consultez l'Indice d'exploitabilité dans la synthèse des Bulletins de sécurité de mars.

Microsoft Windows

Système d'exploitation

Vulnérabilité d'élévation de privilèges dans Windows GDI
CVE-2017-0001
CVE-2017-0005
CVE-2017-0025
CVE-2017-0047

Vulnérabilité de divulgation d'informations dans Windows GDI+
CVE-2017-0060
CVE-2017-0062
CVE-2017-0073

Vulnérabilité de divulgation d'informations dans le module de gestion de couleurs Microsoft - CVE-2017-0061

Vulnérabilité de divulgation d'informations dans le module de gestion de couleurs Microsoft - CVE-2017-0063

Vulnérabilité de divulgation d'informations dans le composant Graphics de Windows - CVE-2017-0038

Vulnérabilité d'exécution de code à distance dans le composant Graphics de Windows - CVE-2017-0108

Vulnérabilité d'exécution de code à distance dans le composant Graphics de Windows - CVE-2017-0014

Mises à jour remplacées*

Windows Vista

Windows Vista Service Pack 2
(4012583)

Non applicable

Important
Divulgation d'informations

Non applicable

Non applicable

Non applicable

Critique
Exécution de code à distance

Non applicable

3204724 dans le Bulletin MS16-146

Windows Vista Édition x64 Service Pack 2
(4012583)

Non applicable

Important
Divulgation d'informations

Non applicable

Non applicable

Non applicable

Critique
Exécution de code à distance

Non applicable

3204724 dans le Bulletin MS16-146

Windows Vista Service Pack 2
(4017018)

Non applicable

Non applicable

Non applicable

Non applicable

Important
Divulgation d'informations

Non applicable

Non applicable

Aucune

Windows Vista Édition x64 Service Pack 2
(4017018)

Non applicable

Non applicable

Non applicable

Non applicable

Important
Divulgation d'informations

Non applicable

Non applicable

Aucune

Windows Vista Service Pack 2
(4012584)

Non applicable

Non applicable

Important
Divulgation d'informations

Important
Divulgation d'informations

Non applicable

Non applicable

Non applicable

Aucune

Windows Vista Édition x64 Service Pack 2
(4012584)

Non applicable

Non applicable

Important
Divulgation d'informations

Important
Divulgation d'informations

Non applicable

Non applicable

Non applicable

Aucune

Windows Vista Service Pack 2
(4012497)

Important
Élévation de privilèges

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

3204723 dans le Bulletin MS16-151

Windows Vista Édition x64 Service Pack 2
(4012497)

Important
Élévation de privilèges

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

3204723 dans le Bulletin MS16-151

Windows Server 2008

Windows Server 2008 pour systèmes 32 bits Service Pack 2
(4012583)

Non applicable

Important
Divulgation d'informations

Non applicable

Non applicable

Non applicable

Critique
Exécution de code à distance

Non applicable

3204724 dans le Bulletin MS16-146

Windows Server 2008 pour systèmes x64 Service Pack 2
(4012583)

Non applicable

Important
Divulgation d'informations

Non applicable

Non applicable

Non applicable

Critique
Exécution de code à distance

Non applicable

3204724 dans le Bulletin MS16-146

Windows Server 2008 pour systèmes Itanium Service Pack 2
(4012583)

Non applicable

Important
Divulgation d'informations

Non applicable

Non applicable

Non applicable

Critique
Exécution de code à distance

Non applicable

3204724 dans le Bulletin MS16-146

Windows Server 2008 pour systèmes 32 bits Service Pack 2
(4017018)

Non applicable

Non applicable

Non applicable

Non applicable

Important
Divulgation d'informations

Non applicable

Non applicable

Aucune

Windows Server 2008 pour systèmes x64 Service Pack 2
(4017018)

Non applicable

Non applicable

Non applicable

Non applicable

Important
Divulgation d'informations

Non applicable

Non applicable

Aucune

Windows Server 2008 pour systèmes Itanium Service Pack 2
(4017018)

Non applicable

Non applicable

Non applicable

Non applicable

Important
Divulgation d'informations

Non applicable

Non applicable

Aucune

Windows Server 2008 pour systèmes Itanium Service Pack 2
(4012583)

Non applicable

Important
Divulgation d'informations

Non applicable

Non applicable

Important
Divulgation d'informations

Critique
Exécution de code à distance

Non applicable

3204724 dans le Bulletin MS16-146

Windows Server 2008 pour systèmes 32 bits Service Pack 2
(4012584)

Non applicable

Non applicable

Important
Divulgation d'informations

Important
Divulgation d'informations

Non applicable

Non applicable

Non applicable

Aucune

Windows Server 2008 pour systèmes x64 Service Pack 2
(4012584)

Non applicable

Non applicable

Important
Divulgation d'informations

Important
Divulgation d'informations

Non applicable

Non applicable

Non applicable

Aucune

Windows Server 2008 pour systèmes Itanium Service Pack 2
(4012584)

Non applicable

Non applicable

Important
Divulgation d'informations

Important
Divulgation d'informations

Non applicable

Non applicable

Non applicable

Aucune

Windows Server 2008 pour systèmes 32 bits Service Pack 2
(4012497)

Important
Élévation de privilèges

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

3204723 dans le Bulletin MS16-151

Windows Server 2008 pour systèmes x64 Service Pack 2
(4012497)

Important
Élévation de privilèges

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

3204723 dans le Bulletin MS16-151

Windows Server 2008 pour systèmes Itanium Service Pack 2
(4012497)

Important
Élévation de privilèges

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

3204723 dans le Bulletin MS16-151

Windows 7

Windows 7 pour systèmes 32 bits Service Pack 1
(4012212)
Sécurité uniquement[3]

Important
Élévation de privilèges

Important
Divulgation d'informations

Important
Divulgation d'informations

Important
Divulgation d'informations

Important
Divulgation d'informations

Critique
Exécution de code à distance

Critique
Exécution de code à distance

Aucune

Windows 7 pour systèmes 32 bits Service Pack 1
(4012215)
Correctif cumulatif mensuel[3]

Important
Élévation de privilèges

Important
Divulgation d'informations

Important
Divulgation d'informations

Important
Divulgation d'informations

Important
Divulgation d'informations

Critique
Exécution de code à distance

Critique
Exécution de code à distance

3212646

Windows 7 pour systèmes x64 Service Pack 1
(4012212)
Sécurité uniquement[3]

Important
Élévation de privilèges

Important
Divulgation d'informations

Important
Divulgation d'informations

Important
Divulgation d'informations

Important
Divulgation d'informations

Critique
Exécution de code à distance

Critique
Exécution de code à distance

Aucune

Windows 7 pour systèmes x64 Service Pack 1
(4012215)
Correctif cumulatif mensuel[3]

Important
Élévation de privilèges

Important
Divulgation d'informations

Important
Divulgation d'informations

Important
Divulgation d'informations

Important
Divulgation d'informations

Critique
Exécution de code à distance

Critique
Exécution de code à distance

3212646

Windows Server 2008 R2

Windows Server 2008 R2 pour systèmes x64 Service Pack 1
(4012212)
Sécurité uniquement[3]

Important
Élévation de privilèges

Important
Divulgation d'informations

Important
Divulgation d'informations

Important
Divulgation d'informations

Important
Divulgation d'informations

Critique
Exécution de code à distance

Critique
Exécution de code à distance

Aucune

Windows Server 2008 R2 pour systèmes x64 Service Pack 1
(4012215)
Correctif cumulatif mensuel[3]

Important
Élévation de privilèges

Important
Divulgation d'informations

Important
Divulgation d'informations

Important
Divulgation d'informations

Important
Divulgation d'informations

Critique
Exécution de code à distance

Critique
Exécution de code à distance

3212646

Windows Server 2008 R2 pour systèmes Itanium Service Pack 1
(4012212)
Sécurité uniquement[3]

Important
Élévation de privilèges

Important
Divulgation d'informations

Important
Divulgation d'informations

Important
Divulgation d'informations

Important
Divulgation d'informations

Critique
Exécution de code à distance

Critique
Exécution de code à distance

Aucune

Windows Server 2008 R2 pour systèmes Itanium Service Pack 1
(4012215)
Correctif cumulatif mensuel[3]

Important
Élévation de privilèges

Important
Divulgation d'informations

Important
Divulgation d'informations

Important
Divulgation d'informations

Important
Divulgation d'informations

Critique
Exécution de code à distance

Critique
Exécution de code à distance

3212646

Windows 8.1

Windows 8.1 pour systèmes 32 bits
(4012213)
Sécurité uniquement[3]

Important
Élévation de privilèges

Important
Divulgation d'informations

Non applicable

Important
Divulgation d'informations

Important
Divulgation d'informations

Non applicable

Critique
Exécution de code à distance

Aucune

Windows 8.1 pour systèmes 32 bits
(4012216)
Correctif cumulatif mensuel[3]

Important
Élévation de privilèges

Important
Divulgation d'informations

Non applicable

Important
Divulgation d'informations

Important
Divulgation d'informations

Non applicable

Critique
Exécution de code à distance

3205401

Windows 8.1 pour systèmes x64
(4012213)
Sécurité uniquement[3]

Important
Élévation de privilèges

Important
Divulgation d'informations

Non applicable

Important
Divulgation d'informations

Important
Divulgation d'informations

Non applicable

Critique
Exécution de code à distance

Aucune

Windows 8.1 pour systèmes x64
(4012216)
Correctif cumulatif mensuel[3]

Important
Élévation de privilèges

Important
Divulgation d'informations

Non applicable

Important
Divulgation d'informations

Important
Divulgation d'informations

Non applicable

Critique
Exécution de code à distance

3205401

Windows Server 2012 et Windows Server 2012 R2

Windows Server 2012
(4012214)
Sécurité uniquement[3]

Important
Élévation de privilèges

Important
Divulgation d'informations

Non applicable

Important
Divulgation d'informations

Important
Divulgation d'informations

Non applicable

Critique
Exécution de code à distance

Aucune

Windows Server 2012
(4012217)
Correctif cumulatif mensuel[3]

Important
Élévation de privilèges

Important
Divulgation d'informations

Non applicable

Important
Divulgation d'informations

Important
Divulgation d'informations

Non applicable

Critique
Exécution de code à distance

3205409

Windows Server 2012 R2
(4012213)
Sécurité uniquement[3]

Important
Élévation de privilèges

Important
Divulgation d'informations

Non applicable

Important
Divulgation d'informations

Important
Divulgation d'informations

Non applicable

Critique
Exécution de code à distance

Aucune

Windows Server 2012 R2
(4012216)
Correctif cumulatif mensuel[3]

Important
Élévation de privilèges

Important
Divulgation d'informations

Non applicable

Important
Divulgation d'informations

Important
Divulgation d'informations

Non applicable

Critique
Exécution de code à distance

3205401

Windows RT 8.1

Windows RT 8.1[1]
(4012216)
Correctif cumulatif mensuel[3]

Important
Élévation de privilèges

Important
Divulgation d'informations

Non applicable

Important
Divulgation d'informations

Important
Divulgation d'informations

Non applicable

Critique
Exécution de code à distance

3205401

Windows 10

Windows 10 pour systèmes 32 bits [2]
(4012606)

Important
Élévation de privilèges

Important
Divulgation d'informations

Non applicable

Important
Divulgation d'informations

Important
Divulgation d'informations

Non applicable

Critique
Exécution de code à distance

3210720

Windows 10 pour systèmes x64 [2]
(4012606)

Important
Élévation de privilèges

Important
Divulgation d'informations

Non applicable

Important
Divulgation d'informations

Important
Divulgation d'informations

Non applicable

Critique
Exécution de code à distance

3210720

Windows 10 version 1511 pour systèmes 32 bits [2]
(4013198)

Important
Élévation de privilèges

Important
Divulgation d'informations

Non applicable

Important
Divulgation d'informations

Important
Divulgation d'informations

Non applicable

Critique
Exécution de code à distance

3210721

Windows 10 version 1511 pour systèmes x64 [2]
(4013198)

Important
Élévation de privilèges

Important
Divulgation d'informations

Non applicable

Important
Divulgation d'informations

Important
Divulgation d'informations

Non applicable

Critique
Exécution de code à distance

3210721

Windows 10 version 1607 pour systèmes 32 bits [2]
(4013429)

Important
Élévation de privilèges

Important
Divulgation d'informations

Non applicable

Important
Divulgation d'informations

Important
Divulgation d'informations

Non applicable

Critique
Exécution de code à distance

3213986

Windows 10 version 1607 pour systèmes x64 [2]
(4013429)

Important
Élévation de privilèges

Important
Divulgation d'informations

Non applicable

Important
Divulgation d'informations

Important
Divulgation d'informations

Non applicable

Critique
Exécution de code à distance

3213986

Windows Server 2016

Windows Server 2016 pour systèmes x64
(4013429)

Important
Élévation de privilèges

Important
Divulgation d'informations

Non applicable

Important
Divulgation d'informations

Non applicable

Non applicable

Critique
Exécution de code à distance

3213986

Option d'installation Server Core

Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core)
(4012583)

Non applicable

Important
Divulgation d'informations

Non applicable

Non applicable

Important
Divulgation d'informations

Critique
Exécution de code à distance

Non applicable

3204724 dans le Bulletin MS16-146

Windows Server 2008 pour systèmes x64 Service Pack 2 (installation Server Core)
(4012583)

Non applicable

Important
Divulgation d'informations

Non applicable

Non applicable

Important
Divulgation d'informations

Critique
Exécution de code à distance

Non applicable

3204724 dans le Bulletin MS16-146

Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core)
(4012584)

Non applicable

Non applicable

Important
Divulgation d'informations

Important
Divulgation d'informations

Non applicable

Non applicable

Non applicable

Aucune

Windows Server 2008 pour systèmes x64 Service Pack 2 (installation Server Core)
(4012584)

Non applicable

Non applicable

Important
Divulgation d'informations

Important
Divulgation d'informations

Non applicable

Non applicable

Non applicable

Aucune

Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core)
(4012497)

Important
Élévation de privilèges

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Aucune

Windows Server 2008 pour systèmes x64 Service Pack 2 (installation Server Core)
(4012497)

Important
Élévation de privilèges

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Aucune

Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core)
(4012212)
Sécurité uniquement[3]

Important
Élévation de privilèges

Important
Divulgation d'informations

Important
Divulgation d'informations

Important
Divulgation d'informations

Important
Divulgation d'informations

Critique
Exécution de code à distance

Critique
Exécution de code à distance

Aucune

Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core)
(4012215)
Correctif cumulatif mensuel[3]

Important
Élévation de privilèges

Important
Divulgation d'informations

Important
Divulgation d'informations

Important
Divulgation d'informations

Important
Divulgation d'informations

Critique
Exécution de code à distance

Critique
Exécution de code à distance

3212646

Windows Server 2012 (installation Server Core)
(4012214)
Sécurité uniquement[3]

Important
Élévation de privilèges

Important
Divulgation d'informations

Non applicable

Important
Divulgation d'informations

Important
Divulgation d'informations

Non applicable

Critique
Exécution de code à distance

Aucune

Windows Server 2012 (installation Server Core)
(4012217)
Correctif cumulatif mensuel[3]

Important
Élévation de privilèges

Important
Divulgation d'informations

Non applicable

Non applicable

Important
Divulgation d'informations

Non applicable

Critique
Exécution de code à distance

3205409

Windows Server 2012 R2 (installation Server Core)
(4012213)
Sécurité uniquement[3]

Important
Élévation de privilèges

Important
Divulgation d'informations

Non applicable

Important
Divulgation d'informations

Important
Divulgation d'informations

Non applicable

Critique
Exécution de code à distance

Aucune

Windows Server 2012 R2 (installation Server Core)
(4012216)
Correctif cumulatif mensuel[3]

Important
Élévation de privilèges

Important
Divulgation d'informations

Non applicable

Important
Divulgation d'informations

Important
Divulgation d'informations

Non applicable

Critique
Exécution de code à distance

3205401

Windows Server 2016 pour systèmes x64 (installation Server Core)
(4013429)

Important
Élévation de privilèges

Important
Divulgation d'informations

Non applicable

Important
Divulgation d'informations

Important
Divulgation d'informations

Non applicable

Critique
Exécution de code à distance

3213986

[1] Cette mise à jour n'est disponible que via Windows Update.

[2] Les mises à jour de Windows 10 sont cumulatives. La mise à jour de sécurité mensuelle comprend tous les correctifs de sécurité pour des vulnérabilités qui concernent Windows 10, en plus de mises à jour non liées à la sécurité. Les mises à jour sont disponibles via le Catalogue Microsoft Update.

[3] À partir d'octobre 2016, Microsoft modifie le modèle de maintenance des mises à jour pour Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012 et Windows Server 2012 R2. Pour plus d'informations, consultez cet article de Microsoft TechNet.

* La colonne Mises à jour remplacées n'affiche que la dernière mise à jour d'une série de mises à jour remplacées. Pour obtenir la liste complète des mises à jour remplacées, accédez au Catalogue Microsoft Update, recherchez le numéro d'article de la Base de connaissances, puis consultez les détails de la mise à jour (les informations sur les mises à jour remplacées figurent sous l'onglet Détails du package).

Microsoft Office

Système d'exploitation

Vulnérabilité de divulgation d'informations dans GDI+ - CVE-2017-0060

Vulnérabilité de divulgation d'informations dans GDI+ - CVE-2017-0073

Vulnérabilité d'exécution de code à distance dans le composant Graphics de Windows - CVE-2017-0108

Vulnérabilité d'exécution de code à distance dans le composant Graphics de Windows - CVE-2017-0014

Mises à jour remplacées*

Microsoft Office 2007

Microsoft Office 2007 Service Pack 3
(3127945)

Important
Divulgation d'informations

Important
Divulgation d'informations

Critique
Exécution de code à distance

Non applicable

3115109 dans le Bulletin MS16-097

Microsoft Office 2007 Service Pack 3
(3141535)

Non applicable

Non applicable

Critique
Exécution de code à distance

Non applicable

3115109 dans le Bulletin MS16-097

Microsoft Office 2010

Microsoft Office 2010 Service Pack 2 (éditions 32 bits)
(3127958)

Important
Divulgation d'informations

Important
Divulgation d'informations

Critique
Exécution de code à distance

Non applicable

3115131 dans le Bulletin MS16-097

Microsoft Office 2010 Service Pack 2 (éditions 64 bits)
(3127958)

Important
Divulgation d'informations

Important
Divulgation d'informations

Critique
Exécution de code à distance

Non applicable

3115131 dans le Bulletin MS16-097

Microsoft Office 2010 Service Pack 2 (éditions 32 bits)
(3178688)

Non applicable

Non applicable

Critique
Exécution de code à distance

Critique
Exécution de code à distance

2889841 dans le Bulletin MS16-148

Microsoft Office 2010 Service Pack 2 (éditions 64 bits)
(3178688)

Non applicable

Non applicable

Critique
Exécution de code à distance

Critique
Exécution de code à distance

2889841 dans le Bulletin MS16-148

Autres logiciels Office

Microsoft Word Viewer
(3178693)

Important
Divulgation d'informations

Important
Divulgation d'informations

Critique
Exécution de code à distance

Non applicable

3118394 dans le Bulletin MS16-120

Microsoft Word Viewer
(3178653)

Non applicable

Non applicable

Critique
Exécution de code à distance

Non applicable

3127995 dans le Bulletin MS16-148


* La colonne Mises à jour remplacées n'affiche que la dernière mise à jour d'une série de mises à jour remplacées. Pour obtenir la liste complète des mises à jour remplacées, accédez au Catalogue Microsoft Update, recherchez le numéro d'article de la Base de connaissances, puis consultez les détails de la mise à jour (les informations sur les mises à jour remplacées figurent sous l'onglet Détails du package).

Plateformes et logiciels Microsoft Communications

Système d'exploitation

Vulnérabilité de divulgation d'informations dans GDI+ - CVE-2017-0060

Vulnérabilité de divulgation d'informations dans GDI+ - CVE-2017-0073

Vulnérabilité d'exécution de code à distance dans le composant Graphics de Windows - CVE-2017-0108

Mises à jour remplacées*

Skype Entreprise 2016

Skype Entreprise 2016 (éditions 32 bits)
(3178656)

Important
Divulgation d'informations

Important
Divulgation d'informations

Critique
Exécution de code à distance

3118327 dans le Bulletin MS16-120

Skype Entreprise Basic 2016 (éditions 32 bits)
(3178656)

Important
Divulgation d'informations

Important
Divulgation d'informations

Critique
Exécution de code à distance

3118327 dans le Bulletin MS16-120

Skype Entreprise 2016 (éditions 64 bits)
(3178656)

Important
Divulgation d'informations

Important
Divulgation d'informations

Critique
Exécution de code à distance

3118327 dans le Bulletin MS16-120

Skype Entreprise Basic 2016 (éditions 64 bits)
(3178656)

Important
Divulgation d'informations

Important
Divulgation d'informations

Critique
Exécution de code à distance

3118327 dans le Bulletin MS16-120

Microsoft Lync 2013

Microsoft Lync 2013 Service Pack 1 (32 bits)[1]
(Skype Entreprise)
(3172539)

Important
Divulgation d'informations

Important
Divulgation d'informations

Critique
Exécution de code à distance

3118348 dans le Bulletin MS16-120

Microsoft Lync Basic 2013 Service Pack 1 (32 bits)[1]
(Skype Entreprise)
(3172539)

Important
Divulgation d'informations

Important
Divulgation d'informations

Critique
Exécution de code à distance

3118348 dans le Bulletin MS16-120

Microsoft Lync 2013 Service Pack 1 (64 bits)[1]
(Skype Entreprise)
(3172539)

Important
Divulgation d'informations

Important
Divulgation d'informations

Critique
Exécution de code à distance

3118348 dans le Bulletin MS16-120

Microsoft Lync Basic 2013 Service Pack 1 (64 bits)[1]
(Skype Entreprise)
(3172539)

Important
Divulgation d'informations

Important
Divulgation d'informations

Critique
Exécution de code à distance

3118348 dans le Bulletin MS16-120

Microsoft Lync 2010

Microsoft Lync 2010 (32 bits)
(4010299)

Important
Divulgation d'informations

Important
Divulgation d'informations

Critique
Exécution de code à distance

3188397 dans le Bulletin MS16-120

Microsoft Lync 2010 (64 bits)
(4010299)

Important
Divulgation d'informations

Important
Divulgation d'informations

Critique
Exécution de code à distance

3188397 dans le Bulletin MS16-120

Microsoft Lync 2010 Attendee [2]
(installation au niveau utilisateur)
(4010300)

Important
Divulgation d'informations

Important
Divulgation d'informations

Critique
Exécution de code à distance

3188399 dans le Bulletin MS16-120

Microsoft Lync 2010 Attendee
(installation au niveau administrateur)
(4010301)

Important
Divulgation d'informations

Important
Divulgation d'informations

Critique
Exécution de code à distance

3188400 dans le Bulletin MS16-120

Console Microsoft Live Meeting 2007

Client Microsoft Live Meeting 2007 [3]
(4010303)

Important
Divulgation d'informations

Important
Divulgation d'informations

Critique
Exécution de code à distance

3189647 dans le Bulletin MS16-120

Complément Microsoft Live Meeting 2007 [3]
(4010304)

Important
Divulgation d'informations

Important
Divulgation d'informations

Critique
Exécution de code à distance

Aucune

[1] Avant d'installer cette mise à jour, vous devez avoir installé la mise à jour 2965218 et la mise à jour de sécurité 3039779. Pour plus d'informations, consultez la section Forum aux questions concernant les mises à jour.

[2]Cette mise à jour est uniquement disponible à partir du Centre de téléchargement Microsoft.

[3]Une mise à jour pour le Complément de conférence pour Microsoft Office Outlook est également disponible. Pour obtenir plus d'informations ainsi que des liens de téléchargement, consultez l'article Télécharger le Complément de conférence pour Microsoft Office Outlook.

* La colonne Mises à jour remplacées n'affiche que la dernière mise à jour d'une série de mises à jour remplacées. Pour obtenir la liste complète des mises à jour remplacées, accédez au Catalogue Microsoft Update, recherchez le numéro d'article de la Base de connaissances, puis consultez les détails de la mise à jour (les informations sur les mises à jour remplacées figurent sous l'onglet Détails du package).

Logiciels et outils Microsoft pour développeurs

Logiciels

Vulnérabilité d'exécution de code à distance dans le composant Graphics de Windows - CVE-2017-0108

Mises à jour remplacées*         

Microsoft Silverlight 5 installé sur toutes les versions prises en charge des clients Microsoft Windows
(4013867)

Critique
Exécution de code à distance

3193713 dans le Bulletin MS16-120

Microsoft Silverlight 5 Developer Runtime installé sur toutes les versions prises en charge des clients Microsoft Windows
(4013867)

Critique
Exécution de code à distance

3193713 dans le Bulletin MS16-120

Microsoft Silverlight 5 installé sur toutes les versions prises en charge des serveurs Microsoft Windows
(4013867)

Critique
Exécution de code à distance

3193713 dans le Bulletin MS16-120

Microsoft Silverlight 5 Developer Runtime installé sur toutes les versions prises en charge des serveurs Microsoft Windows
(4013867)

Critique
Exécution de code à distance

3193713 dans le Bulletin MS16-120

* La colonne Mises à jour remplacées n'affiche que la dernière mise à jour d'une série de mises à jour remplacées. Pour obtenir la liste complète des mises à jour remplacées, accédez au Catalogue Microsoft Update, recherchez le numéro d'article de la Base de connaissances, puis consultez les détails de la mise à jour (les informations sur les mises à jour remplacées figurent sous l'onglet Détails du package).

Pourquoi la mise à jour de sécurité 4012583 mentionnée dans ce Bulletin est-elle également reprise dans le Bulletin MS17-011 ? 
Pourquoi la mise à jour de sécurité 4012497 mentionnée dans ce Bulletin est-elle également reprise dans le Bulletin MS17-018 ? 
La mise à jour de sécurité 4012583 est également mentionnée dans le Bulletin MS17-011 et la mise à jour 4012497 est également mentionnée dans le Bulletin MS17-018 pour les versions prises en charge de Windows Vista et Windows Server 2008 en raison de la manière dont les correctifs pour des vulnérabilités affectant des produits spécifiques sont regroupés. Étant donné que les Bulletins décrivent les vulnérabilités de sécurité qu'ils corrigent et non les packages de mise à jour publiés, il est possible que différents Bulletins qui font respectivement référence à des vulnérabilités différentes répertorient le même package de mise à jour afin de proposer leurs correctifs respectifs. C'est souvent le cas pour les mises à jour cumulatives de produits, tels qu'Internet Explorer ou Silverlight, où les mises à jour de sécurité distinctes corrigent diverses vulnérabilités de sécurité évoquées dans des Bulletins différents.

Remarque Les utilisateurs ne doivent pas installer plus d'une fois des mises à jour de sécurité mentionnées dans plusieurs Bulletins.

Plusieurs packages de mise à jour sont disponibles pour certains des logiciels concernés. Dois-je installer toutes les mises à jour répertoriées dans le tableau « Logiciels concernés » pour les logiciels ? 
Oui. Les clients doivent appliquer toutes les mises à jour proposées pour les logiciels installés sur leur système. Si plusieurs mises à jour s'appliquent, elles peuvent être installées dans n'importe quel ordre.

Dois-je installer ces mises à jour de sécurité dans un ordre particulier ? 
Non. Lorsqu'il existe plusieurs mises à jour pour un système donné, elles peuvent être appliquées dans n'importe quel ordre.

J'utilise Office 2010, qui est répertorié dans la liste des logiciels concernés. Pourquoi ne suis-je pas invité à procéder à cette mise à jour ? 
La mise à jour KB3127958 (Ogl.dll) ne s'applique pas à Office 2010 sous Windows Vista ni aux versions ultérieures de Windows, car le code vulnérable n'y est pas présent.

On me propose cette mise à jour pour un logiciel qui n'est pas répertorié spécifiquement dans le tableau « Logiciels concernés et indices de gravité de la vulnérabilité ». Pourquoi me propose-t-on de procéder à cette mise à jour ? 
Lorsqu'une mise à jour corrige du code vulnérable qui existe dans un composant partagé entre plusieurs produits Microsoft Office ou entre plusieurs versions du même produit Microsoft Office, cette mise à jour est considérée comme applicable à tous les produits et toutes les versions prises en charge qui contiennent ce composant vulnérable.

Par exemple, lorsqu'une mise à jour s'applique aux produits Microsoft Office 2007, il se peut que seul Microsoft Office 2007 soit répertorié spécifiquement dans le tableau « Logiciels concernés ». Toutefois, la mise à jour peut s'appliquer à Microsoft Word 2007, Microsoft Excel 2007, Microsoft Visio 2007, au Module de compatibilité Microsoft, à Microsoft Excel Viewer ou à tout autre produit Microsoft Office 2007 pourtant non répertorié spécifiquement dans le tableau « Logiciels concernés ». De plus, lorsqu'une mise à jour s'applique à des produits Microsoft Office 2010, il se peut que seul Microsoft Office 2010 soit répertorié spécifiquement dans le tableau « Logiciels concernés ». Toutefois, la mise à jour peut s'appliquer à Microsoft Word 2010, Microsoft Excel 2010, Microsoft Visio 2010, Microsoft Visio Viewer ou à tout autre produit Microsoft Office 2010 pourtant non répertorié spécifiquement dans le tableau « Logiciels concernés ».

Pour plus d'informations sur ce comportement et sur les actions recommandées, consultez l'article 830335 de la Base de connaissances Microsoft. Pour obtenir une liste des produits Microsoft Office auxquels une mise à jour peut s'appliquer, consultez l'Article de la Base de connaissances Microsoft associé à la mise à jour spécifique.

Y a-t-il des conditions préalables pour l'une des mises à jour proposées dans ce Bulletin pour les éditions concernées de Microsoft Lync 2013 (Skype Entreprise) ? 
Oui. Les clients utilisant des éditions affectées de Microsoft Lync 2013 (Skype Entreprise) doivent d'abord installer la mise à jour 2965218 pour Office 2013 publiée en avril 2015, puis la mise à jour de sécurité 3039779 publiée en mai 2015. Pour plus d'informations sur ces deux mises à jour prérequises, voir :

Pourquoi la mise à jour de Lync 2010 Attendee (installation au niveau utilisateur) est-elle disponible uniquement à partir du Centre de téléchargement Microsoft ? 
Microsoft publie la mise à jour pour Lync 2010 Attendee (installation au niveau utilisateur) dans le Centre de téléchargement Microsoft uniquement. Étant donné que l'installation au niveau utilisateur de Lync 2010 Attendee est gérée via une session Lync, les méthodes de distribution, telles que les mises à jour automatiques, ne sont pas appropriées à ce type de scénario d'installation.

Cette publication comporte-t-elle d'autres modifications de sécurité affectant les fonctionnalités ? 
Oui. Outre les mises à jour de sécurité qui corrigent les vulnérabilités décrites dans ce Bulletin, Microsoft publie une mise à jour qui remplace certaines bibliothèques tierces utilisées par Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 et toutes les versions de Windows 10. Cette mise à jour fournit les mêmes fonctionnalités de manière plus sécurisée et fiable.

Vulnérabilités d'élévation de privilèges dans Windows GDI

Il existe des vulnérabilités d'élévation de privilèges quant à la manière dont l'interface Windows GDI (Graphics Device Interface) traite les objets en mémoire. Un attaquant qui parviendrait à exploiter ces vulnérabilités pourrait exécuter du code arbitraire en mode noyau. L'attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges.

Pour exploiter ces vulnérabilités, un attaquant devrait d'abord ouvrir une session sur le système. Il pourrait alors exécuter une application spécialement conçue pour exploiter ces vulnérabilités et prendre le contrôle d'un système concerné.

La mise à jour corrige ces vulnérabilités en modifiant la façon dont GDI traite les objets en mémoire et en empêchant les instances d'élévation de privilèges en mode utilisateur non sollicitée.

Le tableau suivant contient un lien vers l'entrée standard correspondant à la vulnérabilité dans la liste de CVE (Common Vulnerabilities and Exposures) :

Titre de la vulnérabilité

Numéro CVE

Révélée publiquement

Exploitée

Vulnérabilité d'élévation de privilèges dans Windows GDI

CVE-2017-0001

Non

Non

Vulnérabilité d'élévation de privilèges dans Windows GDI

CVE-2017-0005

Non

Oui

Vulnérabilité d'élévation de privilèges dans Windows GDI

CVE-2017-0025

Non

Non

Vulnérabilité d'élévation de privilèges dans Windows GDI

CVE-2017-0047

Non

Non

Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour ces vulnérabilités.

Solutions de contournement

Microsoft n'a identifié aucune solution de contournement pour ces vulnérabilités.

Vulnérabilité de divulgation d'informations dans le composant Graphics de Windows - CVE-2017-0038

Il existe une vulnérabilité de divulgation d'informations lorsque le composant GDI de Windows divulgue de manière incorrecte le contenu de sa mémoire. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir des informations permettant de compromettre davantage le système de l'utilisateur.

Il existe plusieurs façons d'exploiter la vulnérabilité, par exemple en incitant un utilisateur à ouvrir un document spécialement conçu ou à visiter une page web non fiable.

La mise à jour corrige la vulnérabilité en modifiant la façon dont le composant GDI de Windows traite les objets en mémoire.

Le tableau suivant contient un lien vers l'entrée standard correspondant à la vulnérabilité dans la liste de CVE (Common Vulnerabilities and Exposures) :

Titre de la vulnérabilité

Numéro CVE

Révélée publiquement

Exploitée

Vulnérabilité de divulgation d'informations dans le composant Graphics de Windows

CVE-2017-0038

Non

Non

Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité.

Solutions de contournement

Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité.

Vulnérabilités de divulgation d'informations dans GDI+

Il existe plusieurs vulnérabilités de divulgation d'informations quant à la manière dont l'interface Windows GDI (Graphics Device Interface) traite les objets en mémoire, permettant à un attaquant de récupérer des informations d'un système ciblé. La divulgation d'informations seule n'autorise pas l'exécution de code arbitraire. Toutefois, elle pourrait permettre l'exécution de code arbitraire si l'attaquant l'utilisait avec une autre vulnérabilité.

Pour exploiter ces vulnérabilités, un attaquant devrait ouvrir une session sur un système affecté et exécuter une application spécialement conçue.

Cette mise à jour de sécurité corrige les vulnérabilités en modifiant la manière dont GDI traite les adresses mémoire.

Le tableau suivant contient un lien vers l'entrée standard correspondant à la vulnérabilité dans la liste de CVE (Common Vulnerabilities and Exposures) :

Titre de la vulnérabilité

Numéro CVE

Révélée publiquement

Exploitée

Vulnérabilité de divulgation d'informations dans GDI+

CVE-2017-0060

Non

Non

Vulnérabilité de divulgation d'informations dans GDI+

CVE-2017-0062

Non

Non

Vulnérabilité de divulgation d'informations dans GDI+

CVE-2017-0073

Non

Non

Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour ces vulnérabilités.

Solutions de contournement

Microsoft n'a identifié aucune solution de contournement pour ces vulnérabilités.

Vulnérabilités de divulgation d'informations dans le module de gestion de couleurs Microsoft

Il existe plusieurs vulnérabilités de divulgation d'informations quant à la manière dont le module de gestion de couleurs (ICM32.dll) traite les objets en mémoire. Ces vulnérabilités permettent à un attaquant de récupérer des informations afin de contourner la fonctionnalité ASLR (randomisation du format d'espace d'adresse) en mode utilisateur sur un système cible. La divulgation d'informations seule n'autorise pas l'exécution de code arbitraire. Toutefois, elle pourrait permettre l'exécution de code arbitraire si l'attaquant l'utilisait avec une autre vulnérabilité.

Dans le cas d'une attaque web, un attaquant pourrait héberger un site web spécialement conçu pour exploiter la vulnérabilité, puis inciter un utilisateur à consulter ce site web. Un attaquant n’aurait aucun moyen de forcer l’utilisateur à afficher le contenu qu’il contrôle. Il devrait l'inciter à prendre des mesures, généralement en cliquant sur un lien dans un message électronique ou dans un message instantané qui mène à son site ou en ouvrant une pièce jointe à un message électronique.

Cette mise à jour de sécurité corrige les vulnérabilités en modifiant la manière dont le module de gestion de couleurs traite les objets en mémoire.

Le tableau suivant contient un lien vers l'entrée standard correspondant à la vulnérabilité dans la liste de CVE (Common Vulnerabilities and Exposures) :

Titre de la vulnérabilité

Numéro CVE

Révélée publiquement

Exploitée

Vulnérabilité de divulgation d'informations dans le module de gestion de couleurs Microsoft

CVE-2017-0061

Non

Non

Vulnérabilité de divulgation d'informations dans le module de gestion de couleurs Microsoft

CVE-2017-0063

Non

Non

Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour ces vulnérabilités.

Solutions de contournement

Microsoft n'a identifié aucune solution de contournement pour ces vulnérabilités.

Vulnérabilités d'exécution de code à distance dans le composant Graphics de Windows

Il existe des vulnérabilités d'exécution de code à distance quant à la manière dont le composant Graphics de Windows traite les objets en mémoire. Un attaquant qui parviendrait à exploiter ces vulnérabilités pourrait prendre le contrôle du système affecté. L'attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec moins de droits sur le système pourraient être moins touchés que ceux qui disposent de privilèges d'administrateur.

Il existe plusieurs façons d'exploiter ces vulnérabilités.

  • Dans le cas d'une attaque web, un attaquant pourrait héberger un site web spécialement conçu pour exploiter cette vulnérabilité, puis inciter un utilisateur à consulter ce site web. Un attaquant n’aurait aucun moyen de forcer l’utilisateur à afficher le contenu qu’il contrôle. Il devrait convaincre l'utilisateur de le faire, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène au site web de l'attaquant, ou en l'incitant à ouvrir une pièce jointe envoyée par message électronique.
  • Dans le cas d'une attaque par partage de fichiers, un attaquant pourrait fournir un fichier de document spécialement conçu pour exploiter ces vulnérabilités, puis inciter un utilisateur à ouvrir ce fichier.

Notez que le volet de visualisation est un vecteur d'attaque pour les produits Microsoft Office concernés.

La mise à jour de sécurité corrige les vulnérabilités en modifiant la manière dont le composant Graphics de Windows traite les objets en mémoire.

Le tableau suivant contient des liens vers l'entrée standard correspondant à la vulnérabilité dans la liste de CVE (Common Vulnerabilities and Exposures) :

Titre de la vulnérabilité

Numéro CVE

Révélée publiquement

Exploitée

Vulnérabilité d'exécution de code à distance dans le composant Graphics de Windows

CVE-2017-0108

Non

Non

Vulnérabilité d'exécution de code à distance dans le composant Graphics de Windows

CVE-2017-0014

Oui

Non

Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour ces vulnérabilités.

Solutions de contournement

Microsoft n'a identifié aucune solution de contournement pour ces vulnérabilités.

Pour plus d'informations sur le déploiement des mises à jour de sécurité, consultez l'article de la Base de connaissances Microsoft référencé ici dans la synthèse.

Microsoft reconnaît les efforts des professionnels de la sécurité qui contribuent à protéger les clients par une divulgation coordonnée des vulnérabilités. Reportez-vous à la page Remerciements pour plus d'informations.

Les informations contenues dans la Base de connaissances Microsoft sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas, la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la limitation ci-dessus peut ne pas être applicable.

  • V1.0 (14 mars 2017) : Bulletin publié.
  • V1.1 (14 mars 2017) : Modification du remplacement pour le package 3178688 concernant Microsoft Office 2010 Service Pack 2 (éditions 32 et 64 bits) de 3115131 dans MS16-097 en 2889841 dans MS16-148.
  • V2.0 (11 avril 2017) : Bulletin modifié pour annoncer la publication de la mise à jour 4017018 pour Windows Vista et Windows Server 2008. La mise à jour remplace la mise à jour 4012583 pour la vulnérabilité CVE-2017-0038 uniquement afin de corriger entièrement la vulnérabilité. Microsoft recommande aux clients qui utilisent les logiciels concernés d'installer la mise à jour de sécurité afin de bénéficier d'une protection complète contre la vulnérabilité décrite dans ce Bulletin. Pour plus d'informations, consultez l'article 4017018 de la Base de connaissances Microsoft.
  • V3.0 (9 mai 2017) : Microsoft a republié la mise à jour de sécurité 4017018 pour les éditions concernées de Windows Server 2008. Cette nouvelle publication fait l’objet d'une nouvelle classification en tant que mise à jour de sécurité. Microsoft recommande aux clients d’installer la mise à jour 4017018 afin de bénéficier d’une protection complète contre la vulnérabilité CVE-2017-0038. Nos clients ayant déjà installé cette mise à jour ne doivent pas entreprendre de nouvelle action.

    En outre, la correction de cette mise à jour de sécurité s’applique également à Windows Server 2008 pour systèmes Itanium.

Page générée le 09/05/2017 09:49-07:00.
Afficher: