Sécurité publique Canada
Symbole du gouvernement du Canada
Passer au contenu | Passer aux liens institutionnels

Common menu bar links | Liens de navigation communs

Skip Navigation Links Accueil > Programmes > Intervention > CCRIC > Diffusions analytiques 2010 > AV10-009 : Bulletin de sécurité spécial de Microsoft - Une vulnérabilité non corrigée dans Internet Explorer pourrait permettre l'exécution de code à distance

Liens institutionnels

Bulletin de sécurité spécial de Microsoft - Une vulnérabilité non corrigée dans Internet Explorer pourrait permettre l'exécution de code à distance

Numéro : AV10-009
Date : 30 mars 2010

Objet

Cet avis a pour objet d'attirer votre attention sur un bulletin de sécurité spécial de Microsoft pour corriger une vulnérabilité signalée confidentiellement et publiquement dans Internet Explorer.

Évaluation

Microsoft a publié les bulletins de sécurité suivants :

MS10-018 - Critique - Mise à jour de sécurité cumulative pour Internet Explorer (980182) Détails : Cette mise à jour de sécurité corrige neuf vulnérabilités signalées confidentiellement et une vulnérabilité révélée publiquement dans Internet Explorer. La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance si un utilisateur affiche une page Web spécialement conçue à l'aide d'Internet Explorer. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système seraient moins touchés que ceux qui possèdent des privilèges d'administrateur.

Cette mise à jour de sécurité est de niveau « Critique » pour toutes les versions d'Internet Explorer prises en charge : Internet Explorer 5.01, Internet Explorer 6 Service Pack 1, et Internet Explorer 6 sur clients Windows, Internet Explorer 7, et Internet Explorer 8 sur clients Windows. Pour Internet Explorer 6 sur serveurs Windows, cette mise à jour est de niveau « Important ». Et pour Internet Explorer 8 sur serveurs Windows, cette mise à jour de sécurité est de niveau « Modéré ». Pour obtenir plus d'information, reportez-vous à la sous-section Logiciels touchés de la présente section.

La mise à jour de sécurité corrige ces vulnérabilités en modifiant la façon dont Internet Explorer vérifie l'origine des scripts et la façon dont il gère, en mémoire, les objets, le contenu utilisant des chaînes de chiffrement et les URL longs.

Cette mise à jour de sécurité corrige aussi une vulnérabilité décrite précédemment dans l'avis de sécurité 981374 de Microsoft. La vulnérabilité, CVE-2010-0806, n'affecte pas Windows 7, Windows Server 2008 R2, ou Internet Explorer 8.

Impact de la Vulnérabilité : Exécution de code à distance Indice de gravité maximal : Critique Indice d'exploitabilité : 1 - Possibilité de code d'exploitation fonctionnel Produits touchés : Toutes les versions d'Internet Explorer prises en charge par Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, et Windows Server 2008 R2.
Références CVE : CVE-2010-0267, CVE-2010-0488, CVE-2010-0489, CVE-2010-0490, CVE-2010-0491, CVE-2010-0492, CVE-2010-0494, CVE-2010-0805, CVE-2010-0806, et CVE-2010-0807.

Mesure suggérée

Le CCRIC recommande aux administrateurs de tester et de déployer ces mises à jour le plus tôt possible.

Recommandation de Microsoft : Pour la majorité des clients, la fonction de mise à jour automatique est activée. Ceux-ci n'auront pas à prendre de mesure particulière puisque cette mise à jour de sécurité sera téléchargée et installée de façon automatique. Les clients qui n'ont pas activé la fonction de mise à jour automatique devront télécharger la mise à jour et l'installer de façon manuelle.

Références :
http://www.microsoft.com/technet/security/bulletin/ms10-018.mspx
http://www.microsoft.com/technet/security/bulletin/MS10-mar.mspx

Note aux lecteurs

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) constitue le point de convergence au Canada pour les avertissements et l'analyse concernant les menaces et les vulnérabilités cybernétiques, ainsi que pour la coordination de la réponse aux incidents. Le CCRIC est chargé d'assurer la résilience de l'infrastructure essentielle nationale en surveillant les menaces et en coordonnant la réponse du gouvernement fédéral aux incidents de cybersécurité d'intérêt national. Le CCRIC, qui travaille conjointement avec le Centre des opérations du gouvernement (COG) de Sécurité publique Canada, constitue un élément clé de l'approche « tous risques » du gouvernement en regard de la gestion des urgences et de la sécurité nationale.

Pour obtenir des renseignements généraux, veuillez communiquer avec la division des Affaires publiques de Sécurité publique Canada:

Téléphone: 613-944-4875 ou 1-800-830-3118
Télécopieur: 613-998-9589
Courriel: communications@ps-sp.gc.ca

Date de modification : 2010-03-30
Haut de la page
Haut de la page
Avis importants