Bulletin de sécurité Microsoft MS17-014 - Important

Mise à jour de sécurité pour Microsoft Office (4013241)

Date de publication : 14 mars 2017 | Date de mise à jour : 11 avril 2017

Version : 2.0

Cette mise à jour de sécurité corrige des vulnérabilités dans Microsoft Office. La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance si un utilisateur ouvrait un fichier Microsoft Office spécialement conçu. Un attaquant qui parviendrait à exploiter ces vulnérabilités pourrait exécuter du script arbitraire dans le contexte de l'utilisateur actuel. Les clients dont les comptes sont configurés avec des privilèges moins élevés sur le système peuvent subir un impact inférieur à ceux possédant des privilèges d'administrateur.

Pour plus d'informations sur les vulnérabilités, consultez la section Logiciels concernés et indices de gravité de la vulnérabilité.

La mise à jour de sécurité corrige les vulnérabilités en :

  • modifiant la façon dont Office traite les objets en mémoire ;
  • modifiant la manière dont certaines fonctions traitent les objets en mémoire ;
  • initialisant correctement la variable concernée ;
  • garantissant que SharePoint Server nettoie correctement les requêtes web ;
  • modifiant la façon dont le client Lync pour Mac 2011 valide les certificats.

Pour plus d'informations sur les vulnérabilités, consultez la section Informations par vulnérabilité.

Pour plus d'informations sur cette mise à jour, consultez l'article 4013241 de la Base de connaissances Microsoft

Les versions ou éditions répertoriées ci-dessous sont concernées. Les versions ou éditions non répertoriées ont atteint la fin de leur cycle de vie ou ne sont pas concernées. Consultez le site web Politique de Support Microsoft afin de connaître la politique de support Microsoft pour votre version ou édition.

Les indices de gravité suivants considèrent l'impact potentiel maximal de la vulnérabilité. Pour plus d'informations sur les risques dans les 30 jours suivant la publication d'un Bulletin concernant l'exploitabilité de la vulnérabilité par rapport à son indice de gravité et à son impact, consultez l'Indice d'exploitabilité dans la synthèse des Bulletins de sécurité de mars

Remarque Consultez le guide des mises à jour de sécurité pour découvrir la nouvelle approche concernant l'utilisation des informations sur les mises à jour de sécurité. Vous pouvez personnaliser les vues et créer des feuilles de calcul sur les logiciels concernés, ainsi que télécharger des données via une API RESTful. Pour plus d'informations, consultez le Forum aux questions concernant le guide des mises à jour de sécurité. Pour rappel, le guide des mises à jour de sécurité remplacera les Bulletins de sécurité. Pour plus d'informations, consultez notre billet de blog Furthering our commitment to security updates (en anglais uniquement).


Logiciels Microsoft Office (tableau 1 sur 2)

Logiciels concernés

Vulnérabilité d'altération de mémoire dans Microsoft Office - CVE-2017-0006

Vulnérabilité d'altération de mémoire dans Microsoft Office - CVE-2017-0019

Vulnérabilité d'altération de mémoire dans Microsoft Office - CVE-2017-0020

Vulnérabilité de divulgation d'informations dans Microsoft Office - CVE-2017-0027

Vulnérabilité de déni de service dans Microsoft Office - CVE-2017-0029

Mises à jour remplacées*

Microsoft Office 2007

Microsoft Excel 2007 Service Pack 3
(3178676)

Important
Exécution de code à distance

Non applicable

Non applicable

Important
Divulgation d'informations

Non applicable

3128019 dans le Bulletin MS16-148

Microsoft Word 2007 Service Pack 3
(3178683)

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

3128025 dans le Bulletin MS16-148

Microsoft Office 2010

Microsoft Office 2010 Service Pack 2 (éditions 32 bits)
(3178686)

Non applicable

Non applicable

Non applicable

Non applicable

Important
Déni de service

3128032 dans le Bulletin MS16-148

Microsoft Office 2010 Service Pack 2 (éditions 64 bits)
(3178686)

Non applicable

Non applicable

Non applicable

Non applicable

Important
Déni de service

3128032 dans le Bulletin MS16-148

Microsoft Excel 2010 Service Pack 2 (éditions 32 bits)
(3178690)

Non applicable

Non applicable

Important
Exécution de code à distance

Important
Divulgation d'informations

Non applicable

3128037 dans le Bulletin MS16-148

Microsoft Excel 2010 Service Pack 2 (éditions 64 bits)
(3178690)

Non applicable

Non applicable

Important
Exécution de code à distance

Important
Divulgation d'informations

Non applicable

3128037 dans le Bulletin MS16-148

Microsoft Word 2010 Service Pack 2 (éditions 32 bits)
(3178687)

Non applicable

Non applicable

Non applicable

Non applicable

Important
Déni de service

3128034 dans le Bulletin MS16-148

Microsoft Word 2010 Service Pack 2 (éditions 64 bits)
(3178687)

Non applicable

Non applicable

Non applicable

Non applicable

Important
Déni de service

3128034 dans le Bulletin MS16-148

Microsoft Office 2013

Microsoft Excel 2013 Service Pack 1 (éditions 32 bits)
(3172542)

Non applicable

Non applicable

Important
Exécution de code à distance

Important
Divulgation d'informations

Non applicable

3128008 dans le Bulletin MS16-148

Microsoft Excel 2013 Service Pack 1 (éditions 64 bits)
(3172542)

Non applicable

Non applicable

Important
Exécution de code à distance

Important
Divulgation d'informations

Non applicable

3128008 dans le Bulletin MS16-148

Microsoft Word 2013 Service Pack 1 (éditions 32 bits)
(3172464)

Non applicable

Non applicable

Non applicable

Non applicable

Important
Déni de service

3127932 dans le Bulletin MS16-133

Microsoft Word 2013 Service Pack 1 (éditions 64 bits)
(3172464)

Non applicable

Non applicable

Non applicable

Non applicable

Important
Déni de service

3127932 dans le Bulletin MS16-133

Microsoft Office 2013 RT

Microsoft Excel 2013 RT Service Pack 1[1]
(3172542)

Non applicable

Non applicable

Important
Exécution de code à distance

Important
Divulgation d'informations

Non applicable

3128008 dans le Bulletin MS16-148

Microsoft Word 2013 RT Service Pack 1[1](3172464)

Non applicable

Non applicable

Non applicable

Non applicable

Important
Déni de service

3127932 dans le Bulletin MS16-133

Microsoft Office 2016

Microsoft Excel 2016 (édition 32 bits)
(3178673)

Non applicable

Non applicable

Important
Exécution de code à distance

Important
Divulgation d'informations

Non applicable

3128016 dans le Bulletin MS16-148

Microsoft Excel 2016 (édition 64 bits)
(3178673)

Non applicable

Non applicable

Important
Exécution de code à distance

Important
Divulgation d'informations

Non applicable

3128016 dans le Bulletin MS16-148

Microsoft Word 2016 (édition 32 bits)
(3178674)

Non applicable

Important
Exécution de code à distance

Non applicable

Non applicable

Important
Déni de service

3128057 dans le Bulletin MS17-002

Microsoft Word 2016 (édition 64 bits)
(3178674)

Non applicable

Important
Exécution de code à distance

Non applicable

Non applicable

Important
Déni de service

3128057 dans le Bulletin MS17-002

Microsoft Office pour Mac 2011

Microsoft Excel pour Mac 2011
(3198809)

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

3198808 dans le Bulletin MS16-015

Microsoft Excel pour Mac 2011
(3212218)

Non applicable

Non applicable

Non applicable

Important
Divulgation d'informations

Non applicable

3198809 dans le Bulletin MS17-014

Microsoft Word pour Mac 2011
(3198809)

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

3198808 dans le Bulletin MS16-015

Microsoft Word pour Mac 2011
(3212218)

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

3198808 dans le Bulletin MS16-015

Microsoft Office 2016 pour Mac

Microsoft Office 2016 pour Mac

Non applicable

Non applicable

Non applicable

Non applicable

Important
Déni de service

Aucune

Microsoft Excel 2016 pour Mac

Non applicable

Non applicable

Important
Exécution de code à distance

Important
Divulgation d'informations

Non applicable

Aucune

Autres logiciels Office

Module de compatibilité Microsoft Office Service Pack 3
(3178677)

Important
Exécution de code à distance

Non applicable

Non applicable

Important
Divulgation d'informations

Non applicable

3128022 dans le Bulletin MS16-148

Module de compatibilité Microsoft Office Service Pack 3
(3178682)

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

3128024 dans le Bulletin MS16-148

Microsoft Excel Viewer
(3178680)

Important
Exécution de code à distance

Non applicable

Non applicable

Non applicable

Non applicable

3128023 dans le Bulletin MS16-148

Microsoft Word Viewer
(3178694)

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

3128044 dans le Bulletin MS16-148

[1] Cette mise à jour est disponible via Windows Update.

* La colonne Mises à jour remplacées n'affiche que la dernière mise à jour d'une série de mises à jour remplacées. Pour obtenir la liste complète des mises à jour remplacées, accédez au Catalogue Microsoft Update, recherchez le numéro d'article de la Base de connaissances, puis consultez les détails de la mise à jour (les informations sur les mises à jour remplacées figurent sous l'onglet Détails du package).

Logiciels Microsoft Office (tableau 2 sur 2)


Logiciels concernés

Vulnérabilité d'altération de mémoire dans Microsoft Office - CVE-2017-0030

Vulnérabilité d'altération de mémoire dans Microsoft Office - CVE-2017-0031

Vulnérabilité d'altération de mémoire dans Microsoft Office - CVE-2017-0052

Vulnérabilité d'altération de mémoire dans Microsoft Office - CVE-2017-0053

Vulnérabilité de divulgation d'informations dans Microsoft Office - CVE-2017-0105

Mises à jour remplacées*

Microsoft Office 2007

Microsoft Excel 2007 Service Pack 3
(3178676)

Non applicable

Non applicable

Important
Exécution de code à distance

Non applicable

Non applicable

3128019 dans le Bulletin MS16-148

Microsoft Word 2007 Service Pack 3
(3178683)

Important
Exécution de code à distance

Important
Exécution de code à distance

Non applicable

Important
Exécution de code à distance

Important
Divulgation d'informations

3128025 dans le Bulletin MS16-148

Microsoft Office 2010

Microsoft Office 2010 Service Pack 2 (éditions 32 bits)
(3178686)

Important
Exécution de code à distance

Important
Exécution de code à distance

Non applicable

Important
Exécution de code à distance

Important
Divulgation d'informations

3128032 dans le Bulletin MS16-148

Microsoft Office 2010 Service Pack 2 (éditions 64 bits)
(3178686)

Important
Exécution de code à distance

Important
Exécution de code à distance

Non applicable

Important
Exécution de code à distance

Important
Divulgation d'informations

3128032 dans le Bulletin MS16-148

Microsoft Excel 2010 Service Pack 2 (éditions 32 bits)
(3178690)

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

3128037 dans le Bulletin MS16-148

Microsoft Excel 2010 Service Pack 2 (éditions 64 bits)
(3178690)

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

3128037 dans le Bulletin MS16-148

Microsoft Word 2010 Service Pack 2 (éditions 32 bits)
(3178687)

Important
Exécution de code à distance

Important
Exécution de code à distance

Non applicable

Important
Exécution de code à distance

Important
Divulgation d'informations

3141542 dans le Bulletin MS16-148

Microsoft Word 2010 Service Pack 2 (éditions 64 bits)
(3178687)

Important
Exécution de code à distance

Important
Exécution de code à distance

Non applicable

Important
Exécution de code à distance

Important
Divulgation d'informations

3141542 dans le Bulletin MS16-148

Microsoft Office 2013

Microsoft Excel 2013 Service Pack 1 (éditions 32 bits)
(3172542)

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

3128008 dans le Bulletin MS16-148

Microsoft Excel 2013 Service Pack 1 (éditions 64 bits)
(3172542)

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

3128008 dans le Bulletin MS16-148

Microsoft Word 2013 Service Pack 1 (éditions 32 bits)
(3172464)

Non applicable

Non applicable

Non applicable

Important
Exécution de code à distance

Non applicable

3127932 dans le Bulletin MS16-133

Microsoft Word 2013 Service Pack 1 (éditions 64 bits)
(3172464)

Non applicable

Non applicable

Non applicable

Important
Exécution de code à distance

Non applicable

3127932 dans le Bulletin MS16-133

Microsoft Office 2013 RT

Microsoft Excel 2013 RT Service Pack 1[1]
(3172542)

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

3128008 dans le Bulletin MS16-148

Microsoft Word 2013 RT Service Pack 1[1](3172464)

Non applicable

Non applicable

Non applicable

Important
Exécution de code à distance

Non applicable

3127932 dans le Bulletin MS16-133

Microsoft Office 2016

Microsoft Excel 2016 (édition 32 bits)
(3178673)

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

3128016 dans le Bulletin MS16-148

Microsoft Excel 2016 (édition 64 bits)
(3178673)

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

3128016 dans le Bulletin MS16-148

Microsoft Word 2016 (édition 32 bits)
(3178674)

Non applicable

Non applicable

Non applicable

Important
Exécution de code à distance

Non applicable

3128057 dans le Bulletin MS17-002

Microsoft Word 2016 (édition 64 bits)
(3178674)

Non applicable

Non applicable

Non applicable

Important
Exécution de code à distance

Non applicable

3128057 dans le Bulletin MS17-002

Microsoft Office pour Mac 2011

Microsoft Excel pour Mac 2011
(3198809)

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

3198808 dans le Bulletin MS16-015

Microsoft Excel pour Mac 2011
(3212218)

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

3198809 dans le Bulletin MS17-014

Microsoft Word pour Mac 2011
(3198809)

Important
Exécution de code à distance

Important
Exécution de code à distance

Non applicable

Non applicable

Important
Divulgation d'informations

3198808 dans le Bulletin MS16-015

Microsoft Word pour Mac 2011
(3212218)

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

3198809 dans le Bulletin MS17-014

Microsoft Office 2016 pour Mac

Microsoft Office 2016 pour Mac

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Aucune

Microsoft Excel 2016 pour Mac

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Aucune

Autres logiciels Office

Module de compatibilité Microsoft Office Service Pack 3
(3178677)

Non applicable

Non applicable

Important
Exécution de code à distance

Non applicable

Non applicable

3128022 dans le Bulletin MS16-148

Module de compatibilité Microsoft Office Service Pack 3
(3178682)

Important
Exécution de code à distance

Important
Exécution de code à distance

Non applicable

Important
Exécution de code à distance

Important
Divulgation d'informations

3128024 dans le Bulletin MS16-148

Microsoft Excel Viewer
(3178680)

Non applicable

Non applicable

Important
Exécution de code à distance

Non applicable

Non applicable

3128023 dans le Bulletin MS16-148

Microsoft Word Viewer
(3178694)

Non applicable

Non applicable

Non applicable

Important
Exécution de code à distance

Non applicable

3128044 dans le Bulletin MS16-148

[1] Cette mise à jour est disponible via Windows Update.

* La colonne Mises à jour remplacées n'affiche que la dernière mise à jour d'une série de mises à jour remplacées. Pour obtenir la liste complète des mises à jour remplacées, accédez au Catalogue Microsoft Update, recherchez le numéro d'article de la Base de connaissances, puis consultez les détails de la mise à jour (les informations sur les mises à jour remplacées figurent sous l'onglet Détails du package).

 

Services Microsoft Office et Microsoft Office Web Apps

Logiciels concernés

Vulnérabilité d'altération de mémoire dans Microsoft Office - CVE-2017-0006

Vulnérabilité d'altération de mémoire dans Microsoft Office - CVE-2017-0020

Vulnérabilité de divulgation d'informations dans Microsoft Office - CVE-2017-0027

Vulnérabilité d'altération de mémoire dans Microsoft Office - CVE-2017-0030

Vulnérabilité d'altération de mémoire dans Microsoft Office - CVE-2017-0052

Vulnérabilité de divulgation d'informations dans Microsoft Office - CVE-2017-0105

Mises à jour remplacées*

Microsoft SharePoint Server 2007

Excel Services sur Microsoft SharePoint Server 2007 Service Pack 3 (édition 32 bits)
(3178678)

Important
Exécution de code à distance

Non applicable

Non applicable

Non applicable

Important
Exécution de code à distance

Non applicable

3127892 dans le Bulletin MS16-148

Excel Services sur Microsoft SharePoint Server 2007 Service Pack 3 (édition 64 bits)
(3178678)

Important
Exécution de code à distance

Non applicable

Non applicable

Non applicable

Important
Exécution de code à distance

Non applicable

3127892 dans le Bulletin MS16-148

Microsoft SharePoint Server 2010

Excel Services sur Microsoft SharePoint Server 2010 Service Pack 2
(3178685)

Non applicable

Non applicable

Important
Divulgation d'informations

Non applicable

Non applicable

Non applicable

3128029 dans le Bulletin MS16-148

Word Automation Services sur Microsoft SharePoint Server 2010 Service Pack 2
(3178684)

Non applicable

Non applicable

Non applicable

Important
Exécution de code à distance

Non applicable

Important
Divulgation d'informations

3128026 dans le Bulletin MS16-070

Microsoft SharePoint Server 2013

Excel Services sur Microsoft SharePoint Server 2013 Service Pack 1
(3172431)

Non applicable

Non applicable

Important
Divulgation d'informations

Non applicable

Non applicable

Non applicable

3115169 dans le Bulletin MS16-107

Microsoft Office Web Apps 2010

Microsoft Office Web Apps 2010 Service Pack 2
(3178689)

Non applicable

Non applicable

Non applicable

Important
Divulgation d'informations

Non applicable

Important
Divulgation d'informations

3128035 dans le Bulletin MS16-148

Microsoft Office Web Apps 2013

Microsoft Office Web Apps Server 2013 Service Pack 1
(3172457)

Non applicable

Important
Exécution de code à distance

Non applicable

Non applicable

Non applicable

Non applicable

3127929 dans le Bulletin MS16-133

* La colonne Mises à jour remplacées n'affiche que la dernière mise à jour d'une série de mises à jour remplacées. Pour obtenir la liste complète des mises à jour remplacées, accédez au Catalogue Microsoft Update, recherchez le numéro d'article de la Base de connaissances, puis consultez les détails de la mise à jour (les informations sur les mises à jour remplacées figurent sous l'onglet Détails du package).

 

Logiciels serveurs Microsoft

Logiciels concernés

Vulnérabilité de script de site à site (XSS) sur Microsoft SharePoint - CVE-2017-0107

Mises à jour remplacées*

Microsoft SharePoint Server 2013

Microsoft SharePoint Foundation 2013 Service Pack 1
(3172540)

Important
Élévation de privilèges

3115294 dans le Bulletin MS16-088

* La colonne Mises à jour remplacées n'affiche que la dernière mise à jour d'une série de mises à jour remplacées. Pour obtenir la liste complète des mises à jour remplacées, accédez au Catalogue Microsoft Update, recherchez le numéro d'article de la Base de connaissances, puis consultez les détails de la mise à jour (les informations sur les mises à jour remplacées figurent sous l'onglet Détails du package).

 

Plateformes et logiciels Microsoft Communications

Logiciels concernés

Vulnérabilité de validation de certificats dans Microsoft Lync pour Mac - CVE-2017-0129

Mises à jour remplacées*

Microsoft Lync pour Mac

Microsoft Lync pour Mac 2011
(4012487)

Important
Contournement de la fonctionnalité de sécurité

Aucune

* La colonne Mises à jour remplacées n'affiche que la dernière mise à jour d'une série de mises à jour remplacées. Pour obtenir la liste complète des mises à jour remplacées, accédez au Catalogue Microsoft Update, recherchez le numéro d'article de la Base de connaissances, puis consultez les détails de la mise à jour (les informations sur les mises à jour remplacées figurent sous l'onglet Détails du package).

 

Ces mises à jour comportent-t-elles d'autres modifications liées à la sécurité ? 
Oui. Outre les changements répertoriés relatifs aux vulnérabilités décrites dans ce Bulletin, cette mise à jour inclut des mises à jour de défense en profondeur afin de contribuer à l'amélioration des fonctionnalités liées à la sécurité.

Microsoft Word 2010 est installé sur mon système. Pourquoi la mise à jour 3178686 ne m'est-elle pas proposée ?
La mise à jour 3178686 s'applique uniquement aux systèmes exécutant des configurations spécifiques de Microsoft Office 2010. La mise à jour ne sera pas proposée à certaines configurations.

On me propose cette mise à jour pour un logiciel qui n'est pas répertorié spécifiquement dans le tableau « Logiciels concernés et indices de gravité de la vulnérabilité ». Pourquoi me propose-t-on de procéder à cette mise à jour ? 
Lorsqu'une mise à jour corrige du code vulnérable qui existe dans un composant partagé entre plusieurs produits Microsoft Office ou entre plusieurs versions du même produit Microsoft Office, cette mise à jour est considérée comme applicable à tous les produits et toutes les versions prises en charge qui contiennent ce composant vulnérable.

Par exemple, lorsqu'une mise à jour s'applique aux produits Microsoft Office 2007, il se peut que seul Microsoft Office 2007 soit répertorié spécifiquement dans le tableau « Logiciels concernés ». Toutefois, la mise à jour peut s'appliquer à Microsoft Word 2007, Microsoft Excel 2007, Microsoft Visio 2007, au Module de compatibilité Microsoft, à Microsoft Excel Viewer ou à tout autre produit Microsoft Office 2007 pourtant non répertorié spécifiquement dans le tableau « Logiciels concernés ». De plus, lorsqu'une mise à jour s'applique à des produits Microsoft Office 2010, il se peut que seul Microsoft Office 2010 soit répertorié spécifiquement dans le tableau « Logiciels concernés ». Toutefois, la mise à jour peut s'appliquer à Microsoft Word 2010, Microsoft Excel 2010, Microsoft Visio 2010, Microsoft Visio Viewer ou à tout autre produit Microsoft Office 2010 pourtant non répertorié spécifiquement dans le tableau « Logiciels concernés ».

Pour plus d'informations sur ce comportement et sur les actions recommandées, consultez l'article 830335 de la Base de connaissances Microsoft. Pour obtenir la liste des produits Microsoft Office auxquels une mise à jour peut s'appliquer, consultez l'article de la Base de connaissances Microsoft correspondant à la mise à jour spécifique.

Vulnérabilités d'altération de mémoire dans Microsoft Office

Il existe plusieurs vulnérabilités d'exécution de code à distance dans un logiciel Microsoft Office lorsque celui-ci ne parvient pas à traiter correctement des objets en mémoire. Un attaquant qui parviendrait à exploiter ces vulnérabilités pourrait exécuter du script arbitraire dans le contexte de l'utilisateur actuel. Si l'utilisateur actuel est connecté avec des privilèges d'administrateur, un attaquant pourrait prendre le contrôle du système affecté. L'attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec moins de droits sur le système pourraient être moins touchés que ceux qui disposent de privilèges d'administrateur.

L'exploitation de ces vulnérabilités nécessite qu'un utilisateur ouvre un fichier spécialement conçu avec une version concernée d'un logiciel Microsoft Office. Dans le cas d'une attaque par courrier électronique, un attaquant pourrait exploiter ces vulnérabilités en envoyant un fichier spécialement conçu à l'utilisateur et en persuadant celui-ci d'ouvrir le fichier. Dans le cas d’une attaque web, l’attaquant pourrait héberger un site web (ou exploiter un site web compromis qui accepte ou héberge du contenu provenant d’utilisateurs) contenant un fichier spécialement conçu pour exploiter ces vulnérabilités. Un attaquant n'aurait aucun moyen de forcer un utilisateur à visiter le site web. Il devrait le convaincre, généralement par le biais d'une sollicitation envoyée par message électronique ou message instantané, puis l'amener à ouvrir le fichier spécialement conçu.

Notez que le volet de visualisation n'est pas un vecteur d'attaque pour ces vulnérabilités. Cette mise à jour de sécurité corrige les vulnérabilités en modifiant la manière dont Office traite les objets en mémoire.

Le tableau suivant contient des liens vers l'entrée standard correspondant à chaque vulnérabilité dans la liste de CVE (Common Vulnerabilities and Exposures) :

Titre de la vulnérabilité

Numéro CVE

Révélée publiquement

Exploitée

Vulnérabilité d'altération de mémoire dans Microsoft Office

CVE-2017-0006

Non

Non

Vulnérabilité d'altération de mémoire dans Microsoft Office

CVE-2017-0019

Non

Non

Vulnérabilité d'altération de mémoire dans Microsoft Office

CVE-2017-0020

Non

Non

Vulnérabilité d'altération de mémoire dans Microsoft Office

CVE-2017-0030

Non

Non

Vulnérabilité d'altération de mémoire dans Microsoft Office

CVE-2017-0031

Non

Non

Vulnérabilité d'altération de mémoire dans Microsoft Office

CVE-2017-0052

Non

Non

Vulnérabilité d'altération de mémoire dans Microsoft Office

CVE-2017-0053

Non

Non

Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour ces vulnérabilités.

Solutions de contournement

La solution de contournement suivante peut être utile, selon votre situation :

Solution de contournement pour CVE-2017-0019

  • Utiliser une stratégie de blocage des fichiers Microsoft Office pour empêcher qu'Office ouvre des documents RTF issus de sources inconnues ou non fiables

    Avertissement Toute utilisation incorrecte de l'Éditeur du Registre peut générer des problèmes graves, pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut garantir que les problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre puissent être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil.

    Pour Office 2016

    1. Exécutez regedit.exe en tant qu'administrateur et accédez à la sous-clé suivante :
      [HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\FileBlock] 
      
    2. Définissez la valeur DWORD de RtfFiles sur 2.
    3. Définissez la valeur DWORD de OpenInProtectedView sur 0.

     

    Impact de cette solution de contournement. Les utilisateurs ayant configuré la stratégie de blocage des fichiers sans avoir configuré un « répertoire exempté », selon les informations mentionnées dans l'article 922849 de la Base de connaissances Microsoft, ne pourront pas ouvrir de documents enregistrés au format RTF.

    Procédure d'annulation de la solution de contournement

    Pour Office 2016

    1. Exécutez regedit.exe en tant qu'administrateur et accédez à la sous-clé suivante :
      [HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\FileBlock] 
      
    2. Définissez la valeur DWORD de RtfFiles sur 0.
    3. Définissez la valeur DWORD de OpenInProtectedView sur 0.

Vulnérabilité de divulgation d'informations dans Microsoft Office - CVE-2017-0027

Il existe une vulnérabilité de divulgation d'informations lorsque Microsoft Office ne divulgue pas correctement le contenu de sa mémoire. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait utiliser les informations pour compromettre les données ou l'ordinateur de l'utilisateur.

Pour exploiter la vulnérabilité, un attaquant pourrait créer un fichier spécial, puis convaincre l'utilisateur de l'ouvrir. Un attaquant doit connaître l'emplacement adresse mémoire où l'objet a été créé.

Cette mise à jour corrige la vulnérabilité en modifiant la façon dont certaines fonctions traitent les objets en mémoire.

Le tableau suivant contient des liens vers l'entrée standard correspondant à chaque vulnérabilité dans la liste de CVE (Common Vulnerabilities and Exposures) :

Titre de la vulnérabilité

Numéro CVE

Révélée publiquement

Exploitée

Vulnérabilité liée à la divulgation d'informations dans Microsoft Office

CVE-2017-0027

Non

Non

Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité.

Solutions de contournement

Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité.

 

Vulnérabilité de déni de service dans Microsoft Office - CVE-2017-0029

Il existe une vulnérabilité de déni de service lorsqu'un fichier spécialement conçu est ouvert dans Microsoft Office. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait empêcher Office de répondre. Notez que ce déni de service ne permettrait pas à un attaquant d'exécuter du code ou d'élever ses privilèges.

Pour qu'une attaque réussisse, cette vulnérabilité nécessite qu'un utilisateur ouvre un fichier spécialement conçu à l'aide d'une version concernée de Microsoft Office. Dans le cas d'une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant un fichier spécialement conçu à l'utilisateur et en le persuadant d'ouvrir ce fichier.

La mise à jour corrige la vulnérabilité en modifiant la façon dont Microsoft Office traite les objets en mémoire.

Le tableau suivant contient des liens vers l'entrée standard correspondant à chaque vulnérabilité dans la liste de CVE (Common Vulnerabilities and Exposures) :

Titre de la vulnérabilité

Numéro CVE

Révélée publiquement

Exploitée

Vulnérabilité de déni de service dans Microsoft Office

CVE-2017-0029

Oui

Non

Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité.

Solutions de contournement

Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité.

 

Vulnérabilité de divulgation d'informations dans Microsoft Office - CVE-2017-0105

Il existe une vulnérabilité de divulgation d'informations lorsqu'un logiciel Microsoft Office lit la mémoire hors limites en raison d'une variable non initialisée qui pourrait divulguer le contenu de la mémoire. Un attaquant qui parviendrait à exploiter la vulnérabilité pourrait consulter la mémoire hors limites.

L'exploitation de cette vulnérabilité nécessite qu'un utilisateur ouvre un fichier spécialement conçu avec une version concernée d'un logiciel Microsoft Office.

Cette mise à jour de sécurité corrige la vulnérabilité en initialisant correctement la variable concernée.

Le tableau suivant contient des liens vers l'entrée standard correspondant à chaque vulnérabilité dans la liste de CVE (Common Vulnerabilities and Exposures) :

Titre de la vulnérabilité

Numéro CVE

Révélée publiquement

Exploitée

Vulnérabilité liée à la divulgation d'informations dans Microsoft Office

CVE-2017-0105

Non

Non

Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité.

Solutions de contournement

Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité.

 

Vulnérabilité de script de site à site (XSS) sur Microsoft SharePoint - CVE-2017-0107

Il existe une vulnérabilité d'élévation de privilèges lorsque Microsoft SharePoint Server ne nettoie pas correctement une requête web spécialement conçue envoyée à un serveur SharePoint affecté. Un attaquant authentifié pourrait exploiter cette vulnérabilité en envoyant une requête spécialement conçue à un serveur SharePoint affecté.

Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter des attaques de script de site à site (cross-site scripting) sur des systèmes affectés et exécuter du script dans le contexte de sécurité de l'utilisateur actuel. Ces attaques pourraient permettre à l'attaquant de lire du contenu qu'il n'est pas autorisé à lire, d'utiliser l'identité de la victime pour effectuer des opérations sur le site SharePoint en son nom, comme modifier les autorisations et supprimer du contenu, et d'injecter du contenu malveillant dans le navigateur de la victime.

Cette mise à jour de sécurité corrige la vulnérabilité en veillant à ce que SharePoint Server nettoie correctement les requêtes web.

Le tableau suivant contient des liens vers l'entrée standard correspondant à chaque vulnérabilité dans la liste de CVE (Common Vulnerabilities and Exposures) :

Titre de la vulnérabilité

Numéro CVE

Révélée publiquement

Exploitée

Vulnérabilité de script de site à site (XSS) sur Microsoft SharePoint

CVE-2017-0107

Non

Non

Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité.

Solutions de contournement

Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité.


Vulnérabilité de validation de certificats dans Microsoft Lync pour Mac - CVE-2017-0129

Il existe une vulnérabilité de contournement de la fonctionnalité de sécurité lorsque le client Lync pour Mac 2011 ne parvient pas à valider correctement les certificats. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait falsifier les communications de confiance entre le serveur et le client cible.

Pour exploiter cette vulnérabilité, un attaquant devrait intercepter et falsifier le trafic réseau.

La mise à jour de sécurité corrige la vulnérabilité en modifiant la manière dont le client Lync pour Mac 2011 valide les certificats.

Le tableau suivant contient des liens vers l'entrée standard correspondant à chaque vulnérabilité dans la liste de CVE (Common Vulnerabilities and Exposures) :

Titre de la vulnérabilité

Numéro CVE

Révélée publiquement

Exploitée

Vulnérabilité de validation de certificats dans Microsoft Lync pour Mac

CVE-2017-0129

Non

Non

Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité.

Solutions de contournement

Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité.

Pour plus d'informations sur le déploiement des mises à jour de sécurité, consultez l'article de la Base de connaissances Microsoft référencé ici dans la synthèse.

Microsoft reconnaît les efforts des professionnels de la sécurité qui contribuent à protéger les clients par une divulgation coordonnée des vulnérabilités. Reportez-vous à la page Remerciements pour plus d'informations. 

Les informations contenues dans la Base de connaissances Microsoft sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas, la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la limitation ci-dessus peut ne pas être applicable.

  • V1.0 (14 mars 2017) : Bulletin publié.
  • V2.0 (11 avril 2017) : Afin de corriger entièrement la vulnérabilité CVE-2017-0027 pour Office pour Mac 2011 uniquement, Microsoft publie la mise à jour de sécurité 3212218. Microsoft recommande aux clients qui utilisent Office pour Mac 2011 d'installer la mise à jour 3212218 afin de bénéficier d'une protection complète contre cette vulnérabilité. Pour plus d'informations, consultez l'article 3212218 de la Base de connaissances Microsoft.
Page générée le 10/04/2017 14:50-07:00.
Afficher: