Sécurité publique Canada
Symbole du gouvernement du Canada
Passer au contenu | Passer aux liens institutionnels

Common menu bar links | Liens de navigation communs

Skip Navigation Links Accueil > Programmes > Intervention > CCRIC > Diffusions analytiques 2010 > AV10-014 : Bulletin de sécurité de Microsoft pour le mois de mai

Liens institutionnels

Bulletin de sécurité de Microsoft pour le mois de mai

Numéro : AV10-014
Date : 11 mai 2010

Objet

Le présent avis a pour objet d’attirer l’attention sur le bulletin mensuel de Microsoft dans lequel sont énoncées deux vulnérabilités critiques.

Évaluation

Microsoft a publié les bulletins de sécurité suivants :

MS10-030 – Une vulnérabilité dans Outlook Express et Windows Mail permettrait l’exécution de code à distance (978542) Détails : Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Outlook Express, Windows Mail et Windows Live Mail. La vulnérabilité permettrait l’exécution de code à distance lorsqu’un utilisateur visite un serveur de courrier électronique malveillant. Un attaquant qui exploite avec succès cette vulnérabilité pourrait obtenir les mêmes droits d'accès que l'utilisateur local. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient alors moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Impact de la vulnérabilité : Exécution de code à distance Indice de gravité maximal : Critique Indice d’exploitabilité maximal : 2 – Possibilité de code d’exploitation peu fonctionnel Produits touchés : Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2.
Référence CVE : CVE-2010-0816
http://www.microsoft.com/technet/security/Bulletin/MS10-030.mspx

MS10-031 – Une vulnérabilité dans Microsoft Visual Basic pour Applications permettrait l’exécution de code à distance (978213) Détails : cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft Visual Basic pour Applications. La vulnérabilité permettrait l’exécution de code à distance si une application hôte ouvre un fichier spécialement conçu et le transmet au composant d’exécution de Visual Basic pour Applications. Si un utilisateur a ouvert une session avec des privilèges d'administrateur, un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral d'un système touché. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient alors moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Impact de la vulnérabilité : Exécution de code à distance Indice de gravité maximal : Critique Indice d’exploitabilité maximal : 2 – Possibilité de code d’exploitation peu fonctionnel Produits touchés : Microsoft Office XP, Office 2003, Office System 2007 et le kit de développement SDK de Visual Basic pour Applications.
Référence CVE : CVE-2010-0815
http://www.microsoft.com/technet/security/bulletin/ms10-031.mspx (en anglais seulement)

Mesure suggérée

Le CCRIC recommande aux administrateurs de tester et de déployer les mises à jour à la première occasion. Microsoft a publié une matrice de risque pour aider les organisations à évaluer le déploiement de ces mises à jour de sécurité et à les classer par ordre de priorité. Cette matrice est accessible à l’adresse URL suivante :
http://blogs.technet.com/msrc/archive/2010/05/11/may-2010-security-bulletin-release.aspx (en anglais seulement)

Références
http://www.microsoft.com/technet/security/bulletin/ms10-may.mspx (en anglais seulement)

Note aux lecteurs

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) constitue le point de convergence au Canada pour les avertissements et l'analyse concernant les menaces et les vulnérabilités cybernétiques, ainsi que pour la coordination de la réponse aux incidents. Le CCRIC est chargé d'assurer la résilience de l'infrastructure essentielle nationale en surveillant les menaces et en coordonnant la réponse du gouvernement fédéral aux incidents de cybersécurité d'intérêt national. Le CCRIC, qui travaille conjointement avec le Centre des opérations du gouvernement (COG) de Sécurité publique Canada, constitue un élément clé de l'approche « tous risques » du gouvernement en regard de la gestion des urgences et de la sécurité nationale.

Pour obtenir des renseignements généraux, veuillez communiquer avec la division des Affaires publiques de Sécurité publique Canada:

Téléphone: 613-944-4875 ou 1-800-830-3118
Télécopieur: 613-998-9589
Courriel: communications@ps-sp.gc.ca

Date de modification : 2010-05-11
Haut de la page
Haut de la page
Avis importants