Bulletin de sécurité Microsoft MS14-066 - Critique

Une vulnérabilité dans Windows Schannel pourrait permettre l'exécution de code à distance (2992611)

Date de publication : 11 novembre 2014 | Date de mise à jour : 9 décembre 2014

Version : 3.0

Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans le package de sécurité Microsoft Secure Channel (SChannel) dans Windows. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un utilisateur malveillant envoie des paquets spécialement conçus à un serveur Windows.

Cette mise à jour de sécurité est de niveau « critique » pour toutes les versions en cours de support de Microsoft Windows. Pour plus d'informations, consultez la section « Logiciels concernés ».

La mise à jour de sécurité corrige la vulnérabilité en modifiant la façon dont Schannel nettoie les paquets spécialement conçus. Pour obtenir plus d'informations sur cette vulnérabilité, consultez la sous-section « Forum aux questions » spécifique à chaque vulnérabilité.

Pour plus d'informations sur cette mise à jour, consultez l'Article 2992611 de la Base de connaissances Microsoft.

 

Microsoft a testé les logiciels suivants afin de déterminer quelles versions ou éditions sont concernées. Toute autre version ou édition a atteint la fin de son cycle de vie ou n'est pas affectée. Consultez le site web Politique de Support Microsoft afin de connaître la politique de support Microsoft pour votre version ou édition.

Logiciels concernés 

Système d'exploitation

Impact de sécurité maximal

Indice de gravité cumulée

Mises à jour remplacées

Windows Server 2003

Windows Server 2003 Service Pack 2
(2992611)

Exécution de code à distance

Critique

2655992 dans le Bulletin MS12-049

Windows Server 2003 Service Pack 2 Édition x64
(2992611)

Exécution de code à distance

Critique

2655992 dans le Bulletin MS12-049

Windows Server 2003 SP2 pour systèmes Itanium
(2992611)

Exécution de code à distance

Critique

2655992 dans le Bulletin MS12-049

Windows Vista

Windows Vista Service Pack 2
(2992611)

Exécution de code à distance

Critique

2207566 dans le Bulletin MS10-085

Windows Vista Édition x64 Service Pack 2
(2992611)

Exécution de code à distance

Critique

2207566 dans le Bulletin MS10-085

Windows Server 2008

Windows Server 2008 pour systèmes 32 bits Service Pack 2
(2992611)

Exécution de code à distance

Critique

2207566 dans le Bulletin MS10-085

Windows Server 2008 pour systèmes x64 Service Pack 2
(2992611)

Exécution de code à distance

Critique

2207566 dans le Bulletin MS10-085

Windows Server 2008 pour systèmes Itanium Service Pack 2
(2992611)

Exécution de code à distance

Critique

2207566 dans le Bulletin MS10-085

Windows 7

Windows 7 pour systèmes 32 bits Service Pack 1
(2992611)

Exécution de code à distance

Critique

2982378 dans SA2871997

Windows 7 pour systèmes x64 Service Pack 1
(2992611)

Exécution de code à distance

Critique

2982378 dans SA2871997

Windows Server 2008 R2

Windows Server 2008 R2 pour systèmes x64 Service Pack 1
(2992611)

Exécution de code à distance

Critique

2982378 dans SA2871997

Windows Server 2008 R2 pour systèmes Itanium Service Pack 1
(2992611)

Exécution de code à distance

Critique

2982378 dans SA2871997

Windows 8 et Windows 8.1

Windows 8 pour systèmes 32 bits
(2992611)

Exécution de code à distance

Critique

2868725 dans SA2868725

Windows 8 pour systèmes x64
(2992611)

Exécution de code à distance

Critique

2868725 dans SA2868725

Windows 8.1 pour systèmes 32 bits
(2992611)

Exécution de code à distance

Critique

Aucun

Windows 8.1 pour systèmes x64
(2992611)

Exécution de code à distance

Critique

Aucun

Windows Server 2012 et Windows Server 2012 R2

Windows Server 2012
(2992611)

Exécution de code à distance

Critique

2868725 dans SA2868725

Windows Server 2012 R2
(2992611)

Exécution de code à distance

Critique

Aucun

Windows RT et Windows RT 8.1

Windows RT[ 1]
(2992611)

Exécution de code à distance

Critique

2868725 dans SA2868725

Windows RT 8.1[1]
(2992611)

Exécution de code à distance

Critique

Aucun

Option d'installation Server Core

Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core)
(2992611)

Exécution de code à distance

Critique

2207566 dans le Bulletin MS10-085

Windows Server 2008 pour systèmes x64 Service Pack 2 (installation Server Core)
(2992611)

Exécution de code à distance

Critique

2207566 dans le Bulletin MS10-085

Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core)
(2992611)

Exécution de code à distance

Critique

2982378 dans SA2871997

Windows Server 2012 (installation Server Core)
(2992611)

Exécution de code à distance

Critique

2868725 dans SA2868725

Windows Server 2012 R2 (installation Server Core)
(2992611)

Exécution de code à distance

Critique

Aucun

[1]Cette mise à jour est disponible via Windows Update uniquement.

 

Cette mise à jour comporte-t-elle d'autres modifications de sécurité affectant les fonctionnalités ? 
Oui. Outre les modifications indiquées dans la section « Informations par vulnérabilité » de ce Bulletin, cette mise à jour inclut des modifications aux suites de chiffrement TLS disponibles pour les systèmes Windows 7, Windows Server 2008 R2, Windows 8 et Windows Server 2012. Pour plus d'informations, consultez l'article 2992611 de la Base de connaissances Microsoft.

Les indices de gravité suivants considèrent l'impact potentiel maximal de la vulnérabilité. Pour plus d'informations sur les risques dans les 30 jours suivant la publication d'un Bulletin concernant l'exploitabilité de la vulnérabilité par rapport à son indice de gravité et à son impact, consultez l'Indice d'exploitabilité dans la synthèse des Bulletins de sécurité de novembre.

Indice de gravité par vulnérabilité et Impact de sécurité maximal par logiciel concerné

Logiciels concernés

Vulnérabilité d'exécution de code à distance dans Microsoft Schannel - CVE-2014-6321

Indice de gravité cumulée

Windows Server 2003

Windows Server 2003 Service Pack 2
(2992611)

Critique 
Exécution de code à distance

Critique

Windows Server 2003 Service Pack 2 Édition x64
(2992611)

Critique 
Exécution de code à distance

Critique

Windows Server 2003 SP2 pour systèmes Itanium
(2992611)

Critique 
Exécution de code à distance

Critique

Windows Vista

Windows Vista Service Pack 2
(2992611)

Critique 
Exécution de code à distance

Critique

Windows Vista Édition x64 Service Pack 2
(2992611)

Critique 
Exécution de code à distance

Critique

Windows Server 2008

Windows Server 2008 pour systèmes 32 bits Service Pack 2
(2992611)

Critique 
Exécution de code à distance

Critique

Windows Server 2008 pour systèmes x64 Service Pack 2
(2992611)

Critique 
Exécution de code à distance

Critique

Windows Server 2008 pour systèmes Itanium Service Pack 2
(2992611)

Critique 
Exécution de code à distance

Critique

Windows 7

Windows 7 pour systèmes 32 bits Service Pack 1
(2992611)

Critique 
Exécution de code à distance

Critique

Windows 7 pour systèmes x64 Service Pack 1
(2992611)

Critique 
Exécution de code à distance

Critique

Windows Server 2008 R2

Windows Server 2008 R2 pour systèmes x64 Service Pack 1
(2992611)

Critique 
Exécution de code à distance

Critique

Windows Server 2008 R2 pour systèmes Itanium Service Pack 1
(2992611)

Critique 
Exécution de code à distance

Critique

Windows 8 et Windows 8.1

Windows 8 pour systèmes 32 bits
(2992611)

Critique 
Exécution de code à distance

Critique

Windows 8 pour systèmes x64
(2992611)

Critique 
Exécution de code à distance

Critique

Windows 8.1 pour systèmes 32 bits
(2992611)

Critique 
Exécution de code à distance

Critique

Windows 8.1 pour systèmes x64
(2992611)

Critique 
Exécution de code à distance

Critique

Windows Server 2012 et Windows Server 2012 R2

Windows Server 2012
(2992611)

Critique 
Exécution de code à distance

Critique

Windows Server 2012 R2
(2992611)

Critique 
Exécution de code à distance

Critique

Windows RT et Windows RT 8.1

Windows RT
(2992611)

Critique 
Exécution de code à distance

Critique

Windows RT 8.1
(2992611)

Critique 
Exécution de code à distance

Critique

Option d'installation Server Core

Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core)
(2992611)

Critique 
Exécution de code à distance

Critique

Windows Server 2008 pour systèmes x64 Service Pack 2 (installation Server Core)
(2992611)

Critique 
Exécution de code à distance

Critique

Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core)
(2992611)

Critique 
Exécution de code à distance

Critique

Windows Server 2012 (installation Server Core)
(2992611)

Critique 
Exécution de code à distance

Critique

Windows Server 2012 R2 (installation Server Core)
(2992611)

Critique 
Exécution de code à distance

Critique

 

Il existe une vulnérabilité d'exécution de code à distance dans le package de sécurité Secure Channel (Schannel) en raison du traitement incorrect de paquets spécialement conçus. Microsoft a été informé de cette vulnérabilité par une divulgation de vulnérabilité coordonnée. Lors de la publication de ce Bulletin,Microsoft n'avait reçu aucune information faisant état d'une utilisation de cette vulnérabilité dans le but d'attaquer des clients. La mise à jour corrige la vulnérabilité en modifiant la façon dont Schannel nettoie les paquets spécialement conçus.

Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité.

Solutions

Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité.

Forum aux questions

Que pourrait faire un attaquant en exploitant cette vulnérabilité ? 
Un attaquant réussissant à exploiter cette vulnérabilité pourrait exécuter du code arbitraire sur un serveur cible.

Comment un attaquant pourrait-il exploiter cette vulnérabilité ? 
Un attaquant pourrait tenter d'exploiter cette vulnérabilité en envoyant des paquets spécialement conçus à un serveur Windows.

Quels sont les systèmes les plus exposés à cette vulnérabilité ?
Les systèmes de serveur et de poste de travail exécutant une version affectée de Schannel sont les plus exposés.

Pour plus d'informations sur le déploiement des mises à jour de sécurité, consultez l'article de la Base de connaissances Microsoft référencé ici dans la synthèse.

Microsoft exprime sa reconnaissance à ceux qui dans la communauté « Sécurité » contribuent à protéger les clients par le biais de la divulgation responsable des vulnérabilités. Pour plus d'informations, consultez la section Remerciements.

Les informations fournies dans la Base de connaissances Microsoft sont fournies «en l'état » sans garantie d'aucune sorte. Microsoft exclut toute garantie expresse ou implicite, y compris toute garantie de qualité et d'adéquation à un usage particulier. Microsoft Corporation ou ses fournisseurs ne pourront en aucun cas être tenus pour responsables de tout dommage de quelque nature que ce soit, y compris les dommages directs, indirects, accessoires, consécutifs, pertes de bénéfice ou dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été prévenus de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation des responsabilités pour les dommages indirects ou accessoires, de sorte que la limitation ci-dessus peut ne pas être applicable.

  • V1.0 (11 novembre 2014) : Bulletin publié.
  • V2.0 (18 novembre 2014) : Bulletin mis à jour afin d'annoncer la disponibilité de la nouvelle version de la mise à jour 2992611 pour les systèmes exécutant Windows Server 2008 R2 et Windows Server 2012. Cette nouvelle version résout des problèmes connus rencontrés par quelques clients dans les nouvelles suites de chiffrement TLS incluses dans la version d'origine. Les clients utilisant Windows Server 2008 R2 ou Windows Server 2012 qui ont installé la mise à jour 2992611 avant la nouvelle version du 18 novembre doivent réappliquer la mise à jour. Consultez Article 2992611 de la Base de connaissances Microsoft pour plus d'informations.
  • V3.0 (9 décembre 2014) : Bulletin mis à jour pour annoncer la disponibilité de la nouvelle version de la mise à jour 2992611 pour les systèmes exécutant Windows Vista et Windows Server 2008. Cette nouvelle version résout un problème dans la version d'origine. Les clients utilisant Windows Vista ou Windows Server 2008 qui ont installé la mise à jour 2992611 avant la nouvelle version du 9 décembre doivent réappliquer la mise à jour. Pour plus d'informations, consultez l'article 2992611 de la Base de connaissances Microsoft.

Page générée le 04/12/2014 16:03Z-08:00.
Afficher: