Bulletin de sécurité Microsoft MS17-023 - Critique

Mise à jour de sécurité pour Adobe Flash Player (4014329)

Date de publication : 14 mars 2017

Version : 1.0

Cette mise à jour de sécurité corrige des vulnérabilités dans Adobe Flash Player sur toutes les éditions prises en charge de Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, Windows 10 et Windows Server 2016.

Cette mise à jour de sécurité est de niveau « Critique ». Cette mise à jour corrige les vulnérabilités dans Adobe Flash Player en mettant à jour les bibliothèques Adobe Flash concernées contenues dans Internet Explorer 10, Internet Explorer 11 et Microsoft Edge. Pour plus d'informations, consultez la section Logiciels concernés.

Pour plus d'informations sur cette mise à jour, consultez l'article 4014329 de la Base de connaissances Microsoft.

Cette mise à jour de sécurité corrige les vulnérabilités suivantes décrites dans le Bulletin de sécurité Adobe APSB17-07 :

CVE-2017-2997, CVE-2017-2998, CVE-2017-2999, CVE-2017-3000, CVE-2017-3001, CVE-2017-3002, CVE-2017-3003.

Les versions ou éditions répertoriées ci-dessous sont concernées. Les versions ou éditions non répertoriées ont atteint la fin de leur cycle de vie ou ne sont pas concernées. Consultez le site web Politique de Support Microsoft afin de connaître la politique de support Microsoft pour votre version ou édition.

Système d'exploitation

Composant

Impact et gravité cumulée

Mises à jour remplacées*           

Windows 8.1

Windows 8.1 pour systèmes 32 bits

Adobe Flash Player
(4014329)

Critique
Exécution de code à distance

4010250 dans le Bulletin MS17-005

Windows 8.1 pour systèmes x64

Adobe Flash Player
(4014329)

Critique
Exécution de code à distance

4010250 dans le Bulletin MS17-005

Windows Server 2012 et Windows Server 2012 R2

Windows Server 2012

Adobe Flash Player
(4014329)

Modéré
Exécution de code à distance

4010250 dans le Bulletin MS17-005

Windows Server 2012 R2

Adobe Flash Player
(4014329)

Modéré
Exécution de code à distance

4010250 dans le Bulletin MS17-005

Windows RT 8.1

Windows RT 8.1

Adobe Flash Player
(4014329)[1]

Critique
Exécution de code à distance

4010250 dans le Bulletin MS17-005

Windows 10

Windows 10 pour systèmes 32 bits

Adobe Flash Player
(4014329)[2]

Critique
Exécution de code à distance

4010250 dans le Bulletin MS17-005

Windows 10 pour systèmes x64

Adobe Flash Player
(4014329)[2]

Critique
Exécution de code à distance

4010250 dans le Bulletin MS17-005

Windows 10 version 1511 pour systèmes 32 bits

Adobe Flash Player
(4014329)[2]

Critique
Exécution de code à distance

4010250 dans le Bulletin MS17-005

Windows 10 version 1511 pour systèmes x64

Adobe Flash Player
(4014329)[2]

Critique
Exécution de code à distance

4010250 dans le Bulletin MS17-005

Windows 10 version 1607 pour systèmes 32 bits

Adobe Flash Player
(4014329)[2]

Critique
Exécution de code à distance

4010250 dans le Bulletin MS17-005

Windows 10 version 1607 pour systèmes x64

Adobe Flash Player
(4014329)[2]

Critique
Exécution de code à distance

4010250 dans le Bulletin MS17-005

Windows Server 2016

Windows Server 2016 pour systèmes 64 bits

Adobe Flash Player
(4014329)[2]

Critique
Exécution de code à distance

4010250 dans le Bulletin MS17-005

[1]Cette mise à jour est disponible via Windows Update.

[2]Les mises à jour d'Adobe Flash Player pour les mises à jour de Windows 10 sont disponibles via Windows Update ou via le Catalogue Microsoft Update.

*La colonne Mises à jour remplacées n'affiche que la dernière mise à jour d'une série de mises à jour remplacées. Pour obtenir la liste complète des mises à jour remplacées, accédez au Catalogue Microsoft Update, recherchez le numéro d'article de la Base de connaissances, puis consultez les détails de la mise à jour (les informations sur les mises à jour remplacées figurent sous l'onglet Détails du package).

Comment un attaquant pourrait-il exploiter ces vulnérabilités ? 
Dans le cas d'une attaque web où l'utilisateur se sert d'Internet Explorer pour le Bureau, un attaquant pourrait héberger un site web spécialement conçu destiné à exploiter l'une de ces vulnérabilités via Internet Explorer, puis inciter un utilisateur à afficher ce site web. Un attaquant pourrait également intégrer un contrôle ActiveX marqué « sûr pour l'initialisation » à une application ou à un document Microsoft Office qui héberge le moteur de rendu d'IE. L'attaquant pourrait également exploiter des sites web compromis et des sites web qui acceptent ou hébergent du contenu ou des annonces fournis par les utilisateurs. Ces sites web pourraient contenir du code spécialement conçu capable d'exploiter l'une de ces vulnérabilités. Toutefois, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à afficher le contenu contrôlé par l'attaquant. Il devrait l'inciter à exécuter une action, généralement en cliquant sur un lien menant à son site dans un message électronique ou dans un message instantané, ou en ouvrant une pièce jointe à un message électronique.

Dans le cas d'une attaque web où l'utilisateur se sert d'Internet Explorer dans l'interface utilisateur de style Windows 8, un attaquant devrait d'abord compromettre un site web déjà répertorié dans la liste Affichage de compatibilité. Il pourrait alors héberger un site web avec du contenu Flash spécialement conçu destiné à exploiter l'une de ces vulnérabilités via Internet Explorer, puis inciter un utilisateur à afficher ce site web. Un attaquant n’aurait aucun moyen de forcer les utilisateurs à afficher le contenu qu’ils contrôlent. Il doit les inciter à exécuter une action, généralement en cliquant sur un lien menant à son site dans un message électronique ou dans un message instantané, ou en ouvrant une pièce jointe à un message électronique. Pour plus d'informations sur Internet Explorer et la liste Affichage de compatibilité, consultez l'article MSDN Conseils de développement des sites web au contenu Adobe Flash Player dans Windows 8.

Une atténuation fait référence à un paramètre, une configuration générale ou à des préférences existant dans un état par défaut qui pourraient diminuer l'impact de l'exploitation d'une vulnérabilité. Les facteurs atténuants suivants peuvent être utiles, selon votre situation :

  • Dans le cas d'une attaque web où l'utilisateur se sert d'Internet Explorer pour le Bureau, l'attaquant pourrait héberger un site web contenant une page web conçue pour exploiter l'une de ces vulnérabilités. En outre, les sites web compromis et les sites web qui acceptent ou hébergent du contenu ou des annonces provenant d'utilisateurs pourraient contenir du code spécialement conçu susceptible d'exploiter l'une de ces vulnérabilités. Toutefois, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites web. Il devrait convaincre l'utilisateur de le faire, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané.
  • Internet Explorer dans l'interface utilisateur de style Windows 8 lira uniquement le contenu Flash des sites répertoriés dans la liste Affichage de compatibilité. Cette restriction nécessite qu'un attaquant compromette d'abord un site web déjà répertorié dans la liste Affichage de compatibilité. Il pourrait alors héberger du contenu Flash spécialement conçu destiné à exploiter l'une de ces vulnérabilités via Internet Explorer, puis inciter un utilisateur à afficher ce site web. Un attaquant n’aurait aucun moyen de forcer les utilisateurs à afficher le contenu qu’ils contrôlent. Il doit les inciter à exécuter une action, généralement en cliquant sur un lien menant à son site dans un message électronique ou dans un message instantané, ou en ouvrant une pièce jointe à un message électronique.
  • Par défaut, toutes les versions prises en charge de Microsoft Outlook et Windows Live Mail ouvrent les messages au format HTML dans la zone Sites sensibles. La zone Sites sensibles, qui désactive les scripts et les contrôles ActiveX, contribue à réduire le risque qu'un attaquant puisse utiliser l'une de ces vulnérabilités pour exécuter du code malveillant. En cliquant sur un lien figurant dans un message électronique, l'utilisateur s'exposerait toujours à une attaque web exploitant l'une de ces vulnérabilités.
  • Par défaut, Internet Explorer sur Windows Server 2012 et Windows Server 2012 R2 s'exécute selon un mode restreint appelé Configuration de sécurité renforcée. Ce mode peut contribuer à réduire le risque d'exploitation de ces vulnérabilités d'Adobe Flash Player dans Internet Explorer.

Une solution de contournement fait référence à une modification de paramètre ou de configuration qui pourrait contribuer au blocage des vecteurs d'attaque connus avant l'application de la mise à jour.

  • Empêcher Adobe Flash Player de s'exécuter

    Vous pouvez empêcher les tentatives d'exécution d'Adobe Flash Player dans Internet Explorer et d'autres applications qui respectent le dispositif de bit d'arrêt, telles qu'Office 2007 et Office 2010, en définissant le bit d'arrêt relatif à ce contrôle dans le Registre.

    Avertissement Toute utilisation incorrecte de l'Éditeur du Registre peut générer des problèmes graves, pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut garantir que les problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre puissent être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil.

    Pour définir le bit d'arrêt pour le contrôle dans le Registre, procédez comme suit :

    1. Collez le texte suivant dans un fichier texte et enregistrez-le avec l'extension de fichier .reg.
      Windows Registry Editor Version 5.00
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
      "Compatibility Flags"=dword:00000400
      
      [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
      "Compatibility Flags"=dword:00000400
      
      
    2. Double-cliquez sur le fichier .reg pour l'appliquer à un système individuel.

      Vous pouvez également appliquer cette solution de contournement à des domaines à l'aide de la stratégie de groupe. Pour plus d'informations sur la stratégie de groupe, consultez l'article TechNet Collection Stratégie de groupe.

    Remarque Vous devez redémarrer Internet Explorer pour que les modifications soient prises en compte.

    Impact de cette solution de contournement. Aucun impact, tant que l'objet n'a pas été conçu pour être utilisé dans Internet Explorer.

    Procédure d'annulation de cette solution de contournement. Supprimez les clés de Registre ajoutées pour l'implémentation de cette solution de contournement.

 

  • Empêcher Adobe Flash Player de s'exécuter sur Internet Explorer via la stratégie de groupe

    Remarque Le composant logiciel enfichable de la stratégie de groupe MMC peut être utilisé pour définir la stratégie pour un ordinateur, une unité organisationnelle ou un domaine entier. Pour plus d'informations sur la stratégie de groupe, consultez les sites web de Microsoft aux adresses suivantes :

    Vue d'ensemble de la stratégie de groupe

    Qu'est-ce que l'Éditeur d'objets de stratégie de groupe ?

    Outils et paramètres principaux de la stratégie de groupe

    Pour désactiver Adobe Flash Player dans Internet Explorer via la stratégie de groupe, procédez comme suit :

    Remarque Cette solution de contournement n'empêche pas Flash d'être appelé par d'autres applications, telles que Microsoft Office 2007 ou Microsoft Office 2010.

    1. Ouvrez la console de gestion des stratégies de groupe et configurez-la pour fonctionner avec l'objet de stratégie de groupe approprié, tel que l'objet de stratégie de groupe de l'ordinateur local, de l'unité organisationnelle ou du domaine.
    2. Accédez au nœud suivant :

      Modèles d'administration -> Composants Windows -> Internet Explorer -> Fonctionnalités de sécurité -> Gestion des modules complémentaires
    3. Double-cliquez sur Désactiver Adobe Flash dans Internet Explorer et empêcher les applications d'utiliser la technologie Internet Explorer pour exécuter des objets Flash.
    4. Définissez le paramètre sur Activé.
    5. Cliquez sur Appliquer, puis sur OK pour retourner à la console de gestion des stratégies de groupe.
    6. Actualisez la stratégie de groupe sur tous les systèmes ou attendez le prochain intervalle planifié d'actualisation de la stratégie de groupe pour que les paramètres entrent en vigueur.

 

  • Empêcher Adobe Flash Player de s'exécuter dans Office 2010 sur les systèmes concernés

    Remarque Cette solution de contournement n'empêche pas Adobe Flash Player de s'exécuter dans Internet Explorer.

    Avertissement Toute utilisation incorrecte de l'Éditeur du Registre peut générer des problèmes graves, pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut garantir que les problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre puissent être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil.

    Pour plus de détails sur la manière d'empêcher l'exécution d'un contrôle dans Internet Explorer, consultez l'article 240797 de la Base de connaissances Microsoft. Suivez les étapes de cet article et créez une valeur pour les indicateurs de compatibilité (Compatibility Flags) dans le Registre afin d'empêcher l'instanciation d'un objet COM dans Internet Explorer.

    Pour désactiver Adobe Flash Player dans Office 2010 uniquement, définissez le bit d'arrêt relatif au contrôle ActiveX pour Adobe Flash Player dans le Registre en procédant comme suit :

    1. Créez un fichier texte nommé Disable_Flash.reg avec le contenu suivant :
      Windows Registry Editor Version 5.00
      
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM\Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
      "Compatibility Flags"=dword:00000400
      
      
    2. Double-cliquez sur le fichier .reg pour l'appliquer à un système individuel.
    3. Remarque Vous devez redémarrer Internet Explorer pour que les modifications soient prises en compte.

      Vous pouvez également appliquer cette solution de contournement à des domaines à l'aide de la stratégie de groupe. Pour plus d'informations sur la stratégie de groupe, consultez l'article TechNet Collection Stratégie de groupe.

 

  • Empêcher les contrôles ActiveX de s'exécuter dans Office 2007 et Office 2010

    Pour désactiver tous les contrôles ActiveX dans Microsoft Office 2007 et Microsoft Office 2010, y compris Adobe Flash Player dans Internet Explorer, procédez comme suit :

    1. Cliquez sur Fichier, puis sur Options, sur Centre de gestion de la confidentialité, puis sur Paramètres du Centre de gestion de la confidentialité.
    2. Cliquez sur Paramètres ActiveX dans le volet gauche, puis sélectionnez Désactiver tous les contrôles sans notification.
    3. Cliquez sur OK pour enregistrer les paramètres.

    Impact de cette solution de contournement. Les documents Office qui utilisent des contrôles ActiveX intégrés risquent de ne pas s'afficher comme prévu.

    Procédure d'annulation de cette solution de contournement.

    Pour réactiver les contrôles ActiveX dans Microsoft Office 2007 et Microsoft Office 2010, procédez comme suit :

    1. Cliquez sur Fichier, puis sur Options, sur Centre de gestion de la confidentialité, puis sur Paramètres du Centre de gestion de la confidentialité.
    2. Cliquez sur Paramètres ActiveX dans le volet gauche, puis désélectionnez Désactiver tous les contrôles sans notification.
    3. Cliquez sur OK pour enregistrer les paramètres.

 

  • Définir les paramètres des zones Intranet local et Internet sur la valeur « Haute » afin de bloquer les contrôles ActiveX et Active Scripting dans ces zones

    Vous pouvez vous protéger contre l'exploitation de ces vulnérabilités en modifiant les paramètres de la zone de sécurité Internet afin de bloquer les contrôles ActiveX et Active Scripting. Réglez la sécurité de votre navigateur sur la valeur Haute.

    Pour augmenter le niveau de sécurité de navigation dans Internet Explorer, procédez comme suit :

    1. Dans le menu Outils d'Internet Explorer, cliquez sur Options Internet.
    2. Dans la boîte de dialogue Options Internet, cliquez sur l'onglet Sécurité, puis sur Internet.
    3. Sous Niveau de sécurité pour cette zone, positionnez le curseur sur Haute. Cela définit le niveau de sécurité sur Haute pour tous les sites web que vous visitez.
    4. Cliquez sur Intranet local.
    5. Sous Niveau de sécurité pour cette zone, positionnez le curseur sur Haute. Cela définit le niveau de sécurité sur Haute pour tous les sites web que vous visitez.
    6. Cliquez sur OK pour accepter les modifications et retourner dans Internet Explorer.

    Remarque Si aucun curseur n'est visible, cliquez sur Niveau par défaut, puis déplacez le curseur sur Haute.

    Remarque La définition du niveau de sécurité sur Haute risque de perturber le fonctionnement de certains sites web. Si vous rencontrez des difficultés lors de la visite d'un site web après avoir modifié ce paramètre et que vous êtes certain de la fiabilité de ce site, vous pouvez ajouter ce dernier à votre liste de sites de confiance. Cela permettra à ce site de s'afficher correctement, même si le niveau de sécurité est défini sur Haute.

    Impact de cette solution de contournement. Le blocage des contrôles ActiveX et d'Active Scripting comporte des effets secondaires. De nombreux sites web situés sur Internet ou sur un intranet utilisent ActiveX ou Active Scripting pour offrir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peut utiliser des contrôles ActiveX pour proposer des menus, des bons de commande ou même des relevés de compte. Le blocage des contrôles ActiveX ou d'Active Scripting est un paramètre global qui affecte tous les sites Internet et intranet. Si vous ne voulez pas bloquer les contrôles ActiveX ou Active Scripting pour ces sites, suivez les étapes décrites dans la section « Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer ».

     

  • Configurer Internet Explorer de manière à ce qu'il désactive Active Scripting ou à ce qu'il vous avertisse avant de l'exécuter dans la zone de sécurité Intranet local et Internet.

    Vous pouvez vous protéger contre l'exploitation de ces vulnérabilités en modifiant vos paramètres afin d'être averti avant l'exécution d'Active Scripting ou afin de désactiver Active Scripting dans les zones de sécurité Intranet local et Internet. Pour ce faire, procédez comme suit :

    1. Dans Internet Explorer, cliquez sur Options Internet dans le menu Outils.
    2. Cliquez sur l'onglet Sécurité.
    3. Cliquez sur Internet, puis sur Personnaliser le niveau.
    4. Sous Paramètres, dans la section Script, sous Active Scripting, cliquez sur Demander ou Désactiver, puis sur OK.
    5. Cliquez sur Intranet local, puis sur Personnaliser le niveau.
    6. Sous Paramètres, dans la section Script, sous Active Scripting, cliquez sur Demander ou Désactiver, puis sur OK.
    7. Cliquez sur OK pour revenir dans Internet Explorer, puis de nouveau sur OK.

    Remarque La désactivation d'Active Scripting dans les zones de sécurité Intranet local et Internet risque de perturber le fonctionnement de certains sites web. Si vous rencontrez des difficultés lors de la visite d'un site web après avoir modifié ce paramètre et que vous êtes certain de la fiabilité de ce site, vous pouvez ajouter ce dernier à votre liste de sites de confiance. Il pourra ainsi s'afficher correctement.

    Impact de cette solution de contournement. L'affichage d'un message de confirmation avant l'exécution d'Active Scripting comporte des effets secondaires. De nombreux sites web situés sur Internet ou sur un intranet utilisent Active Scripting pour offrir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peuvent utiliser Active Scripting pour proposer des menus, des bons de commande ou même des relevés de compte. L'affichage d'un message de confirmation avant l'exécution d'Active Scripting est un paramètre global qui affecte tous les sites Internet et intranet. De nombreux messages s'affichent lorsque vous mettez en œuvre cette solution de contournement. Pour chacun d'eux, si vous pensez que le site que vous visitez est un site de confiance, cliquez sur Oui afin d'exécuter Active Scripting. Si vous ne voulez pas recevoir d'invite pour tous ces sites, suivez les étapes décrites dans la section « Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer ».

     

  • Ajouter des sites de confiance à la zone Sites de confiance d'Internet Explorer

    Après avoir configuré Internet Explorer de manière à ce que des messages de confirmation s'affichent avant l'exécution des contrôles ActiveX et d'Active Scripting dans les zones Internet et Intranet local, vous pouvez ajouter des sites de confiance dans la zone Sites de confiance d'Internet Explorer. Cette opération vous permettra de continuer à utiliser vos sites de confiance exactement comme vous le faites aujourd'hui, tout en vous protégeant contre cette attaque sur les autres sites. Nous vous recommandons d'ajouter uniquement des sites de confiance à la zone Sites de confiance.

    Pour ce faire, procédez comme suit :

    1. Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l'onglet Sécurité.
    2. Dans la zone Sélectionnez une zone de contenu web pour spécifier ses paramètres de sécurité, cliquez sur Sites de confiance, puis sur Sites.
    3. Si vous souhaitez ajouter des sites qui ne nécessitent pas de canal chiffré, désactivez la case à cocher Exiger un serveur sécurisé (https:) pour tous les sites de cette zone.
    4. Dans la zone Ajouter ce site web à la zone, tapez l'URL d'un site de confiance, puis cliquez sur Ajouter.
    5. Répétez ces étapes pour chaque site que vous souhaitez ajouter à cette zone.
    6. Cliquez sur OK à deux reprises pour accepter les modifications et retourner dans Internet Explorer.

    Remarque Ajoutez les sites dont vous savez qu'ils n'effectueront pas d'action malveillante sur votre système. Vous pouvez notamment ajouter les sites *.windowsupdate.microsoft.com et *.update.microsoft.com. Il s'agit des sites qui hébergent la mise à jour et qui ont besoin d'un contrôle ActiveX pour l'installer.

Pour plus d'informations sur le déploiement des mises à jour de sécurité, consultez l'article de la Base de connaissances Microsoft référencé ici dans la synthèse.

Microsoft reconnaît les efforts des professionnels de la sécurité qui contribuent à protéger les clients par une divulgation coordonnée des vulnérabilités. Reportez-vous à la page Remerciements pour plus d'informations.

Les informations contenues dans la Base de connaissances Microsoft sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas, la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation des responsabilités pour les dommages indirects ou accessoires, de sorte que la limitation ci-dessus peut ne pas être applicable.

  • V1.0 (14 mars 2017) : Bulletin publié.

Page générée le 07/03/2017 11:41-08:00.
Afficher: