Skip to main content
MSRC ppDocument Template
Bulletin de sécurité Microsoft MS15-129 - Critique

Mise à jour de sécurité pour Silverlight afin de résoudre les problèmes d'exécution de code à distance (3106614)

Date de publication : 8 décembre 2015

Version : 1.0

Cette mise à jour de sécurité corrige des vulnérabilités dans Microsoft Silverlight. La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance si Microsoft Silverlight ne traite pas correctement certaines requêtes d'ouverture et de fermeture, ce qui est susceptible d'entraîner des violations d'accès en lecture et en écriture. Pour exploiter cette vulnérabilité, un attaquant pourrait héberger un site web contenant une application Silverlight spécialement conçue, puis inciter un utilisateur à consulter ce site web compromis. L'attaquant pourrait également exploiter des sites web comportant du contenu spécialement conçu, y compris ceux qui acceptent ou hébergent du contenu ou des annonces fournis par les utilisateurs.

L'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter un site web compromis. Il devrait le convaincre d'exécuter une action, généralement en l'incitant à cliquer sur un lien qui mène à son site.

Cette mise à jour de sécurité est de niveau « critique » pour Microsoft Silverlight 5 et Microsoft Silverlight 5 Developer Runtime installés sur Mac et sur toutes les versions prises en charge de Microsoft Windows. Pour plus d'informations, consultez la section Logiciels concernés.

Cette mise à jour corrige les vulnérabilités en modifiant la manière dont Microsoft Silverlight traite certaines requêtes web d'ouverture et de fermeture, et en corrigeant la gestion de la mémoire afin de conserver l'intégrité de la randomisation du format d'espace d'adresse (ASLR) dans Silverlight. Pour plus d'informations sur les vulnérabilités, consultez la section Informations par vulnérabilité.

Pour plus d'informations sur cette mise à jour, voir l' Article 3106614 de la Base de connaissances Microsoft.

Les versions ou éditions répertoriées ci-dessous sont concernées. Les versions ou éditions non répertoriées ont atteint la fin de leur cycle de vie ou ne sont pas concernées. Consultez le site web Politique de Support Microsoft afin de connaître la politique de support Microsoft pour votre version ou édition.

Système d'exploitation

Impact de sécurité maximal

Indice de gravité cumulée

Mises à jour remplacées

Logiciels

Microsoft Silverlight 5 installé sur Mac
(3106614)

Critique

Exécution de code à distance

3080333 dans le Bulletin MS15-080

Microsoft Silverlight 5 Developer Runtime installé sur Mac
(3106614)

Critique

Exécution de code à distance

3080333 dans le Bulletin MS15-080

Microsoft Silverlight 5 installé sur toutes les versions prises en charge des clients Microsoft Windows
(3106614)

Critique

Exécution de code à distance

3080333 dans le Bulletin MS15-080

Microsoft Silverlight 5 Developer Runtime installé sur toutes les versions prises en charge des clients Microsoft Windows
(3106614)

Critique

Exécution de code à distance

3080333 dans le Bulletin MS15-080

Microsoft Silverlight 5 installé sur toutes les versions prises en charge des serveurs Microsoft Windows
(3106614)

Critique

Exécution de code à distance

3080333 dans le Bulletin MS15-080

Microsoft Silverlight 5 Developer Runtime installé sur toutes les versions prises en charge des serveurs Microsoft Windows
(3106614)

Critique

Exécution de code à distance

3080333 dans le Bulletin MS15-080

Les indices de gravité suivants considèrent l'impact potentiel maximal de la vulnérabilité. Pour plus d'informations sur les risques dans les 30 jours suivant la publication d'un Bulletin concernant l'exploitabilité de la vulnérabilité par rapport à son indice de gravité et à son impact, consultez l'Indice d'exploitabilité dans la synthèse des Bulletins de sécurité de décembre.

Indice de gravité par vulnérabilité et Impact de sécurité maximal par logiciel concerné

Logiciels concernés

Vulnérabilité de divulgation d'informations dans Microsoft Silverlight - CVE-2015-6114

Vulnérabilité de divulgation d'informations dans Microsoft Silverlight - CVE-2015-6165

Vulnérabilité de type exécution de code à distance dans Microsoft Silverlight - CVE-2015-6166

Indice de gravité cumulée

Microsoft Silverlight 5 installé sur Mac
(3106614)

Important 
Divulgation d'informations

Important 
Divulgation d'informations

Critique 
Exécution de code à distance

Critique

Microsoft Silverlight 5 Developer Runtime installé sur Mac
(3106614)

Important 
Divulgation d'informations

Important 
Divulgation d'informations

Critique 
Exécution de code à distance

Critique

Microsoft Silverlight 5 installé sur toutes les versions prises en charge des clients Microsoft Windows
(3106614)

Important 
Divulgation d'informations

Important 
Divulgation d'informations

Critique 
Exécution de code à distance

Critique

Microsoft Silverlight 5 Developer Runtime installé sur toutes les versions prises en charge des clients Microsoft Windows
(3106614)

Important 
Divulgation d'informations

Important 
Divulgation d'informations

Critique 
Exécution de code à distance

Critique

Microsoft Silverlight 5 installé sur toutes les versions prises en charge des serveurs Microsoft Windows
(3106614)

Important 
Divulgation d'informations

Important 
Divulgation d'informations

Critique 
Exécution de code à distance

Critique

Microsoft Silverlight 5 Developer Runtime installé sur toutes les versions prises en charge des serveurs Microsoft Windows
(3106614)

Important 
Divulgation d'informations

Important 
Divulgation d'informations

Critique 
Exécution de code à distance

Critique

Pourquoi la mise à jour répertoriée dans ce Bulletin est-elle également mentionnée dans d'autres Bulletins publiés ce mois-ci ?
Étant donné que les Bulletins décrivent les vulnérabilités de sécurité qu'ils corrigent, et non les packages de mise à jour publiés, il est possible que différents Bulletins fassent référence à la même mise à jour si les correctifs résolvant leurs vulnérabilités respectives ont été regroupés en un seul package. Il est alors également probable que l'indice de gravité et l'impact des vulnérabilités décrites dans un Bulletin soient différents d'un autre Bulletin. C'est souvent le cas pour les mises à jour cumulatives de produits, tels qu'Internet Explorer ou Silverlight, où les mises à jour distinctes contiennent des correctifs résolvant diverses vulnérabilités de sécurité évoquées dans des Bulletins différents.

Notez que des fichiers de mise à jour identiques fournis avec plusieurs Bulletins ne doivent pas être installés plusieurs fois.

Quels navigateurs web prennent en charge les applications Microsoft Silverlight ?
Pour exécuter les applications Microsoft Silverlight, la plupart des navigateurs web, notamment Microsoft Internet Explorer, nécessitent l'installation de Microsoft Silverlight et l'activation du plug-in correspondant. Pour plus d'informations sur Microsoft Silverlight, consultez le site officiel de Microsoft Silverlight. Consultez la documentation de votre navigateur pour en savoir plus sur la désactivation et la suppression des plug-ins.

Quelles versions de Microsoft Silverlight 5 sont affectées par ces vulnérabilités ?
La version 5.1.41105.00 de Microsoft Silverlight, qui était la version actuelle de Microsoft Silverlight au moment de la première publication de ce Bulletin, corrige les vulnérabilités et n'est pas affectée. Les versions de Microsoft Silverlight antérieures à la version 5.1.41105.00 sont affectées.

Comment puis-je savoir quelle version exacte de Microsoft Silverlight est actuellement installée sur mon système ?
Si Microsoft Silverlight est déjà installé sur votre ordinateur, vous pouvez visiter la page Installer Silverlight, qui indiquera la version exacte de Microsoft Silverlight actuellement installée sur votre système. Vous pouvez également utiliser la fonction de gestion des modules complémentaires des versions actuelles de Microsoft Internet Explorer pour déterminer la version exacte actuellement installée sur votre système.

Vous pouvez également vérifier manuellement le numéro de version du fichier sllauncher.exe situé dans le répertoire « %ProgramFiles%\Microsoft Silverlight » (sur les systèmes Microsoft Windows x86) ou dans le répertoire « %ProgramFiles(x86)%\Microsoft Silverlight » (sur les systèmes Microsoft Windows x64).

En outre, sous Microsoft Windows, les informations de la version exacte actuellement installée de Microsoft Silverlight se trouvent dans le Registre au niveau de la clé [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Silverlight]:Version sur les systèmes Microsoft Windows x86 ou [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Silverlight]:Version sur les systèmes Microsoft Windows x64.

Sous Apple Mac OS, les informations de la version exacte actuellement installée de Microsoft Silverlight se trouvent à l'emplacement suivant :

  1. Ouvrez l'outil Finder.
  2. Sélectionnez le lecteur système et accédez au dossier Internet Plug-ins - Library.
  3. Cliquez avec le bouton droit sur le fichier Silverlight.Plugin (si votre souris a un seul bouton, appuyez sur la touche Ctrl en même temps que vous cliquez sur le fichier) pour ouvrir le menu contextuel, puis cliquez sur Show Package Contents (Afficher le contenu du package).
  4. Dans le dossier de contenu, localisez le fichier info.plist et ouvrez-le avec un éditeur. Il contiendra une entrée comme celle-ci, qui affiche le numéro de version :

    SilverlightVersion
    5.1.41105.00

La version installée avec cette mise à jour de sécurité pour Microsoft Silverlight 5 est la version 5.1.41105.00. Si votre numéro de version Microsoft Silverlight 5 est supérieur ou égal à ce numéro de version, votre système n'est pas vulnérable.

Comment mettre à niveau ma version de Microsoft Silverlight ?
La fonction de mise à jour automatique de Microsoft Silverlight permet de s'assurer que votre installation de Microsoft Silverlight est maintenue à jour avec la version la plus récente de Microsoft Silverlight, des fonctionnalités de Microsoft Silverlight et des fonctionnalités de sécurité. Pour plus d'informations sur la fonction de mise à jour automatique de Microsoft Silverlight, consultez la page Programme de mise à jour de Microsoft Silverlight. Les utilisateurs de Windows ayant désactivé la fonction de mise à jour automatique de Microsoft Silverlight peuvent s'inscrire à Microsoft Update pour obtenir la dernière version de Microsoft Silverlight ou peuvent télécharger la dernière version de Microsoft Silverlight manuellement en utilisant le lien de téléchargement du tableau « Logiciels concernés » de la section précédente « Logiciels concernés ». Pour plus d'informations sur le déploiement de Microsoft Silverlight dans un environnement d'entreprise, consultez le Guide de déploiement de Silverlight en entreprise (en anglais).

Cette mise à jour va-t-elle mettre à niveau ma version de Silverlight ?
La mise à jour 3106614 met à niveau les versions précédentes de Silverlight vers Silverlight version 5.1.41105.00. Microsoft recommande cette mise à niveau afin d'assurer la protection contre la vulnérabilité décrite dans ce Bulletin.

Où puis-je trouver des informations supplémentaires à propos du cycle de vie du produit Silverlight ?
Pour obtenir des informations sur le cycle de vie spécifiques à Silverlight, consultez la page Politique de support pour Microsoft Silverlight.

Vulnérabilité de type exécution de code à distance dans Microsoft Silverlight - CVE-2015-6166

Il existe une vulnérabilité de type exécution de code à distance si Microsoft Silverlight ne traite pas correctement certaines requêtes d'ouverture et de fermeture, ce qui est susceptible d'entraîner des violations d'accès en lecture et en écriture.

Pour exploiter cette vulnérabilité, un attaquant pourrait héberger un site web contenant une application Silverlight spécialement conçue, puis inciter un utilisateur à consulter ce site web compromis. L'attaquant pourrait également exploiter des sites web comportant du contenu spécialement conçu, y compris ceux qui acceptent ou hébergent du contenu ou des annonces fournis par les utilisateurs. Il pourrait, par exemple, afficher du contenu web spécialement conçu en utilisant des bannières publicitaires ou d'autres moyens afin d'envoyer du contenu web aux systèmes affectés. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à consulter ce site web compromis. Il devrait l'y attirer, généralement en l'incitant à cliquer sur un lien dans un message instantané ou un message électronique.

Dans un scénario de navigation web, un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les mêmes autorisations que l'utilisateur actuellement connecté. Si un utilisateur est connecté avec des privilèges d'administrateur, un attaquant pourrait prendre le contrôle total du système affecté. L'attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec moins de droits sur le système pourraient être moins touchés que ceux qui disposent de privilèges d'administrateur. La mise à jour corrige la vulnérabilité en modifiant la manière dont Microsoft Silverlight traite certaines requêtes web d'ouverture et de fermeture.

Microsoft a été informée de cette vulnérabilité par une divulgation de vulnérabilité coordonnée. Au moment de la publication initiale de ce bulletin de sécurité, Microsoft n'était au courant d'aucune attaque visant à exploiter cette vulnérabilité.

Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité.

Solutions de contournement

Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité.

Plusieurs vulnérabilités de divulgation d'informations dans Microsoft Silverlight

Il existe plusieurs vulnérabilités de divulgation d'informations lorsque Silverlight ne parvient pas à traiter correctement des objets en mémoire, ce qui pourrait permettre à un attaquant de prévoir de manière plus fiable les valeurs de pointeur et d'altérer l'efficacité de la fonctionnalité de sécurité de randomisation du format d'espace d'adresse (ASLR).

Pour exploiter ces vulnérabilités, dans le cas d'une attaque via le navigateur web, un attaquant pourrait contourner la fonctionnalité de sécurité ASLR, qui protège les utilisateurs d'un grand nombre de vulnérabilités. Le contournement d'ASLR ne suffit pas pour exécuter du code arbitraire. Toutefois, un attaquant pourrait utiliser ces vulnérabilités conjointement avec un contournement d'ASLR pour compromettre un système ciblé.

Dans le cas d'une attaque web, l'attaquant pourrait héberger un site web intégrant du contenu Silverlight spécialement conçu pour tenter d'exploiter ces vulnérabilités. En outre, les sites web compromis et les sites web qui acceptent ou hébergent du contenu provenant d'utilisateurs et qui comportent du contenu spécialement conçu pourraient également permettre d'exploiter ces vulnérabilités. Un attaquant n'aurait aucun moyen de forcer un utilisateur à accéder au site web spécialement conçu. L'attaquant devrait convaincre l'utilisateur d'exécuter une action. Par exemple, l'attaquant pourrait inciter un utilisateur à cliquer sur un lien qui le mènerait sur le site web compromis. Cette mise à jour corrige les vulnérabilités en modifiant la gestion de la mémoire afin de conserver l'intégrité d'ASLR dans Silverlight.

Microsoft a été informé de ces vulnérabilités par une divulgation de vulnérabilité coordonnée. Au moment de la publication initiale de ce bulletin de sécurité, Microsoft n'était au courant d'aucune attaque visant à exploiter ces vulnérabilités.

Le tableau suivant contient des liens vers l'entrée standard correspondant à chaque vulnérabilité dans la liste Common Vulnerabilities and Exposures (CVE) :

Titre de la vulnérabilité

Numéro CVE

Révélée publiquement

Exploitée

Vulnérabilité de divulgation d'informations dans Microsoft Silverlight

CVE-2015-6114

Non

Non

Vulnérabilité de divulgation d'informations dans Microsoft Silverlight

CVE-2015-6165

Non

Non


Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité.

Solutions de contournement

Les solutions de contournement suivantes peuvent être utiles, selon votre situation :

  • Bloquer temporairement l'exécution de Microsoft Silverlight dans Internet Explorer
    1. Dans Internet Explorer, accédez au menu Outils, puis cliquez sur Options Internet.
    2. Dans la fenêtre Options Internet, cliquez sur l'onglet Programmes, puis sur Gérer les modules complémentaires.
    3. Dans la liste Barres d'outils et extensions, cherchez Microsoft Silverlight, puis cliquez sur Désactiver.

     

  • Bloquer temporairement l'exécution de Microsoft Silverlight dans Mozilla Firefox
    1. Dans Mozilla Firefox, accédez au menu Outils, puis cliquez sur Modules complémentaires.
    2. Dans la fenêtre Modules complémentaires, cliquez sur l'onglet Plugins.
    3. Recherchez le plugin Silverlight, puis cliquez sur Désactiver.

     

  • Supprimer Silverlight.Configuration.exe de la stratégie d'élévation d'Internet Explorer

    Avertissement Toute utilisation incorrecte de l'Éditeur du Registre peut générer des problèmes graves, pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir qu'il soit possible de résoudre des problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil.

    1. Ouvrez l'Éditeur du Registre.
    2. Développez HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Internet Explorer > Droits restreints > Stratégie d'élévation
    3. Sélectionnez {003B91A6-61E3-4591-891D-01E94C8CB11E}
    4. Cliquez sur le menu Fichier, puis cliquez sur Exporter.
    5. Dans la fenêtre Exporter un fichier du Registre, tapez silverlight.configuration.exe_backup.reg, puis cliquez sur Enregistrer.
    6. Dans le menu Fichier, cliquez sur Supprimer, puis sur Oui.
    7. Fermez l'Éditeur du Registre.
    8. Fermez votre session avant de l'ouvrir à nouveau ou redémarrez l'ordinateur.

     

    Procédure d'annulation de cette solution de contournement.

    1. Ouvrez l'Éditeur du Registre.
    2. Cliquez sur le menu Fichier, puis cliquez sur Importer.
    3. Dans la boîte de dialogue Importer un fichier du Registre, cliquez sur silverlight.configuration.exe_backup.reg, puis sur Ouvrir.
    4. Fermez l'Éditeur du Registre.
    5. Fermez votre session avant de l'ouvrir à nouveau ou redémarrez l'ordinateur.

Pour plus d'informations sur le déploiement des mises à jour de sécurité, consultez l'article de la Base de connaissances Microsoft référencé ici dans la synthèse.

Microsoft reconnaît les efforts des professionnels de la sécurité qui contribuent à protéger les clients par une divulgation coordonnée des vulnérabilités. Reportez-vous à la page Remerciements pour plus d'informations.

Les informations contenues dans la Base de connaissances Microsoft sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas, la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.

  • V1.0 (8 décembre 2015) : Bulletin publié.

Page générée le 02/12/2015 11:30-08:00.