Bulletin de sécurité Microsoft MS15-035 - Critique
La vulnérabilité dans le composant Microsoft Graphics peut autoriser l’exécution de code à distance (3046306)
Publication : 14 avril 2015 | Mise à jour : 29 avril 2015
Version : 1.1
Résumé
Cette mise à jour de sécurité résout une vulnérabilité dans Microsoft Windows. La vulnérabilité peut autoriser l’exécution de code à distance si un attaquant a réussi à convaincre un utilisateur d’accéder à un site web spécialement conçu, d’ouvrir un fichier spécialement conçu ou d’accéder à un répertoire de travail qui contient un fichier image EMF (Enhanced Metafile) spécialement conçu. Toutefois, dans tous les cas, un attaquant n’aurait aucun moyen de forcer les utilisateurs à effectuer de telles actions ; un attaquant aurait à convaincre les utilisateurs de le faire, généralement par le biais de messages électroniques ou instantanés.
Cette mise à jour de sécurité est évaluée critique pour toutes les éditions prises en charge de Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2. Pour plus d’informations, consultez la section Logiciels affectés.
La mise à jour de sécurité résout la vulnérabilité en corrigeant la façon dont Windows traite les fichiers EMF. Pour plus d’informations sur la vulnérabilité, consultez la section Informations sur les vulnérabilités.
Pour plus d’informations sur cette mise à jour, consultez l’article de la Base de connaissances Microsoft 3046306.
Logiciel affecté
Les versions ou éditions logicielles suivantes sont affectées. Les versions ou éditions qui ne sont pas répertoriées sont passées par leur cycle de vie de support ou ne sont pas affectées. Pour déterminer le cycle de vie de prise en charge de votre version ou édition logicielle, consultez Support Microsoft cycle de vie.
| Système d’exploitation | Impact maximal sur la sécurité | Évaluation de gravité agrégée | Mises à jour remplacé |
|---|---|---|---|
| Windows Server 2003 | |||
| Windows Server 2003 Service Pack 2 (3046306) | Exécution de code à distance | Critique | 2876331 dans MS13-089 |
| Windows Server 2003 édition x64 Service Pack 2 (3046306) | Exécution de code à distance | Critique | 2876331 dans MS13-089 |
| Windows Server 2003 avec SP2 pour les systèmes Itanium (3046306) | Exécution de code à distance | Critique | 2876331 dans MS13-089 |
| Windows Vista | |||
| Windows Vista Service Pack 2 (3046306) | Exécution de code à distance | Critique | 2876331 dans MS13-089 |
| Windows Vista x64 Edition Service Pack 2 (3046306) | Exécution de code à distance | Critique | 2876331 dans MS13-089 |
| Windows Server 2008 | |||
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 (3046306) | Exécution de code à distance | Critique | 2876331 dans MS13-089 |
| Windows Server 2008 pour systèmes x64 Service Pack 2 (3046306) | Exécution de code à distance | Critique | 2876331 dans MS13-089 |
| Windows Server 2008 pour les systèmes Itanium Service Pack 2 (3046306) | Exécution de code à distance | Critique | 2876331 dans MS13-089 |
| Windows 7 | |||
| Windows 7 pour systèmes 32 bits Service Pack 1 (3046306) | Exécution de code à distance | Critique | 2876331 dans MS13-089 |
| Windows 7 pour systèmes x64 Service Pack 1 (3046306) | Exécution de code à distance | Critique | 2876331 dans MS13-089 |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (3046306) | Exécution de code à distance | Critique | 2876331 dans MS13-089 |
| Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1 (3046306) | Exécution de code à distance | Critique | 2876331 dans MS13-089 |
| Option d’installation server Core | |||
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core) (3046306) | Exécution de code à distance | Critique | 2876331 dans MS13-089 |
| Windows Server 2008 pour systèmes x64 Service Pack 2 (installation Server Core) (3046306) | Exécution de code à distance | Critique | 2876331 dans MS13-089 |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation server Core) (3046306) | Exécution de code à distance | Critique | 2876331 dans MS13-089 |
Évaluations de gravité et identificateurs de vulnérabilité
Les évaluations de gravité suivantes supposent l’impact maximal potentiel de la vulnérabilité. Pour plus d’informations sur la probabilité, dans les 30 jours suivant la publication de ce bulletin de sécurité, de l’exploitabilité de la vulnérabilité par rapport à son impact sur la gravité et la sécurité, consultez l’index exploitabilité dans le résumé du bulletin d’avril.
| Évaluation de la gravité des vulnérabilités et impact maximal sur la sécurité par les logiciels affectés | ||
|---|---|---|
| Logiciel affecté | Vulnérabilité d’exécution de code à distance du traitement EMF - CVE-2015-1645 | Évaluation de gravité agrégée |
| Windows Server 2003 | ||
| Windows Server 2003 Service Pack 2 (3046306) | Exécution de code distant critique | Critique |
| Windows Server 2003 x64 Edition Service Pack 2 (3046306) | Exécution de code distant critique | Critique |
| Windows Server 2003 avec SP2 pour les systèmes Itanium (3046306) | Exécution de code distant critique | Critique |
| Windows Vista | ||
| Windows Vista Service Pack 2 (3046306) | Exécution de code distant critique | Critique |
| Windows Vista x64 Edition Service Pack 2 (3046306) | Exécution de code distant critique | Critique |
| Windows Server 2008 | ||
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 (3046306) | Exécution de code distant critique | Critique |
| Windows Server 2008 pour systèmes x64 Service Pack 2 (3046306) | Exécution de code distant critique | Critique |
| Windows Server 2008 pour les systèmes Itanium Service Pack 2 (3046306) | Exécution de code distant critique | Critique |
| Windows 7 | ||
| Windows 7 pour systèmes 32 bits Service Pack 1 (3046306) | Exécution de code distant critique | Critique |
| Windows 7 pour systèmes x64 Service Pack 1 (3046306) | Exécution de code distant critique | Critique |
| Windows Server 2008 R2 | ||
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (3046306) | Exécution de code distant critique | Critique |
| Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1 (3046306) | Exécution de code distant critique | Critique |
| Option d’installation server Core | ||
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core) (3046306) | Exécution de code distant critique | Critique |
| Windows Server 2008 pour systèmes x64 Service Pack 2 (installation Server Core) (3046306) | Exécution de code distant critique | Critique |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation server Core) (3046306) | Exécution de code distant critique | Critique |
Informations sur la vulnérabilité
Vulnérabilité d’exécution de code à distance du traitement EMF - CVE-2015-1645
Une vulnérabilité d’exécution de code à distance existe de la façon dont Microsoft Windows traite incorrectement certains fichiers de format d’image EMF (Enhanced Metafile) spécialement conçus. Un attaquant qui a réussi à exploiter la vulnérabilité peut exécuter du code arbitraire en tant qu’utilisateur connecté. Un attaquant peut alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes avec des droits d’utilisateur complets. Si un utilisateur est connecté avec des droits d’utilisateur administratifs, un attaquant peut prendre le contrôle complet du système concerné. Les utilisateurs dont les comptes sont configurés avec des droits restreints sur le système sont moins vulnérables que les utilisateurs qui ont des droits administratifs.
Dans un scénario d’attaque basé sur le web, un attaquant peut héberger un site web spécialement conçu pour exploiter la vulnérabilité via Internet Explorer, puis convaincre les utilisateurs d’afficher le site web. Cela peut également inclure des sites web ou des sites web compromis qui acceptent ou hébergent du contenu ou des bannières publicitaires fournis par l’utilisateur ; ces sites web peuvent contenir du contenu spécialement conçu pour exploiter la vulnérabilité. Dans tous les cas, cependant, un attaquant n’aurait aucun moyen de forcer les utilisateurs à visiter ces sites web. Au lieu de cela, un attaquant aurait à convaincre les utilisateurs de le faire, généralement en les obtenant pour cliquer sur un lien dans un e-mail ou une demande Instant Messenger.
Dans un scénario d’attaque par e-mail, un attaquant peut exploiter la vulnérabilité en envoyant aux utilisateurs Outlook un e-mail spécialement conçu ou en les envoyant un document Bureau spécialement conçu en tant que pièce jointe, et convaincre l’utilisateur de lire le message ou d’ouvrir le fichier.
Un attaquant peut également exploiter cette vulnérabilité en hébergeant un fichier image malveillant sur un partage réseau et convaincre les utilisateurs d’accéder au dossier dans l’Explorateur Windows.
La mise à jour de sécurité résout la vulnérabilité en corrigeant la façon dont Windows traite les fichiers EMF.
Microsoft a reçu des informations sur cette vulnérabilité par le biais d’une divulgation coordonnée des vulnérabilités. Lorsque ce bulletin de sécurité a été émis, Microsoft n’avait reçu aucune information pour indiquer que cette vulnérabilité avait été utilisée publiquement pour attaquer les clients.
Facteurs d’atténuation
Microsoft n’a pas identifié de facteurs d’atténuation pour cette vulnérabilité.
Solutions de contournement
Les solutions de contournement suivantes peuvent être utiles dans votre situation :
Désactiver le traitement des métafichiers en modifiant le Registre
Les clients Windows Server 2003 qui ont appliqué la mise à jour 925902 ou les clients utilisant Windows Vista, Windows Server 2008, Windows 7 ou Windows Server 2008 R2 peuvent désactiver le traitement des métafichiers en modifiant le Registre. Ce paramètre permet de protéger le système concerné contre les tentatives d’exploitation de cette vulnérabilité.Utilisation de la méthode manuelle :
Avertissement Si vous utilisez l’Éditeur du Registre de manière incorrecte, vous risquez de provoquer de graves problèmes qui peuvent nécessiter la réinstallation de votre système d’exploitation. Microsoft ne peut pas vous garantir que vous pourrez résoudre les problèmes qui résulteront d'une mauvaise utilisation de l'éditeur du registre. Son utilisation est sous votre entière responsabilité.
Cliquez sur Démarrer, cliquez sur Exécuter, tapez Regedit dans la zone Ouvrir , puis cliquez sur OK.
Localisez la sous-clé de Registre suivante, puis cliquez dessus :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_InitializeDans le menu Modifier , pointez sur Nouveau, puis cliquez sur DWORD.
Tapez DisableMetaFiles, puis appuyez sur Entrée.
Dans le menu Modifier , cliquez sur Modifier pour modifier l’entrée de Registre DisableMetaFiles.
Dans la zone de données Valeur, tapez 1, puis cliquez sur OK.
Quittez l’Éditeur du Registre.
Redémarrez l'ordinateur.
Impact de la solution de contournement. La désactivation du traitement des métafichiers peut entraîner une diminution de la qualité des composants logiciels ou système. La désactivation du traitement des métafichiers peut également entraîner l’échec complet des composants logiciels ou système. Elle a été identifiée pour avoir un impact significatif sur les fonctionnalités et doit être évaluée et testée avec soin pour déterminer son applicabilité.
Les exemples incluent ce qui suit :
- Vous ne pouvez pas imprimer sur l’ordinateur.
- Certaines applications sur l’ordinateur peuvent ne pas afficher clipart.
- Certains scénarios impliquant le rendu OLE peuvent s’interrompre. En particulier, il se produit lorsque le serveur d’objets n’est pas actif.
Pour plus d’informations sur ce paramètre, consultez l’article de la Base de connaissances Microsoft 941835.
Utilisation d’un script de déploiement managé :
Enregistrez les éléments suivants dans un fichier avec un fichier . Extension REG (par exemple, Disable_MetaFiles.reg) :
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize] "DisableMetaFiles"=dword:00000001Exécutez le script de Registre ci-dessus sur l’ordinateur cible avec la commande suivante à partir d’une invite de commandes d’administrateur (sur Vista, administrateur avec élévation de privilèges) :
Regedit.exe /s Disable_MetaFiles.regRedémarrez l'ordinateur.
Comment annuler la solution de contournement :
Cliquez sur Démarrer, cliquez sur Exécuter, tapez Regedit dans la zone Ouvrir , puis cliquez sur OK.
Localisez la sous-clé de Registre suivante, puis cliquez dessus :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_InitializeDans le menu Modifier , cliquez sur Modifier dans l’entrée de Registre DisableMetaFiles.
Dans la zone de données Valeur, tapez 0, puis cliquez sur OK.
Quittez l’Éditeur du Registre.
Redémarrez l'ordinateur.
Déploiement des mises à jour de sécurité
Pour plus d’informations sur le déploiement des mises à jour de sécurité, consultez l’article de la Base de connaissances Microsoft référencé dans le résumé exécutif.
Remerciements
Microsoft reconnaît les efforts de ceux de la communauté de sécurité qui nous aident à protéger les clients par le biais d’une divulgation coordonnée des vulnérabilités. Pour plus d’informations, consultez accusés de réception.
Exclusion de responsabilité
Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.
Révisions
- V1.0 (14 avril 2015) : Bulletin publié.
- V1.1 (29 avril 2015) : Bulletin révisé pour corriger les entrées de remplacement des mises à jour pour tous les logiciels affectés. Il s’agit d’une modification d’information uniquement.
Page générée 2015-04-29 10 :40Z-07 :00.