Sécurité publique Canada
Symbole du gouvernement du Canada
Passer au contenu | Passer aux liens institutionnels

Common menu bar links | Liens de navigation communs

Skip Navigation Links Accueil > Programmes > Intervention > CCRIC > Diffusions analytiques 2010 > AV10-017 : Bulletin de sécurité de Microsoft pour le mois de juin 2010

Liens institutionnels

Bulletin de sécurité de Microsoft pour le mois de juin 2010

Numéro : AV10-017
Date : 8 juin 2010

Objet

Le présent avis a pour objet d'attirer votre attention sur le bulletin mensuel de sécurité de Microsoft qui traite de trois (3) vulnérabilités critiques et de sept (7) vulnérabilités importantes.

Évaluation

Microsoft a publié les bulletins de sécurité suivants :

MS10-033 - Des vulnérabilités dans les composants de décompression de fichiers de contenu multimédia permettraient l'exécution de code à distance (979902)
Détails : Cette mise à jour de sécurité corrige deux (2) vulnérabilités dans Microsoft Windows signalées confidentiellement. Ces vulnérabilités permettraient l'exécution de code à distance si un utilisateur ouvre un fichier de contenu multimédia spécialement conçu ou s'il reçoit du contenu multimédia en temps réel spécialement conçu provenant d'un site Web ou de toute application qui offre du contenu Web. Tout attaquant parvenant à exploiter l'une de ces vulnérabilités pourrait obtenir les mêmes droits que l'utilisateur local. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système seraient moins touchés que ceux qui possèdent des privilèges d'administrateur.
Impact de la vulnérabilité : Exécution de code à distance 
Indice de gravité maximale : Critique
Indice d'exploitabilité maximal : 1 - Possibilité de code d'exploitation fonctionnel
Produits touchés : Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2.
Références CVE : CVE-2010-1879 et CVE-2010-1880
http://www.microsoft.com/technet/security/Bulletin/MS10-033.mspx

MS08-034 - Mise à jour de sécurité cumulative pour les " kill bits " ActiveX (980195)
Détails : Cette mise à jour de sécurité corrige deux (2) vulnérabilités dans certains logiciels Microsoft signalées confidentiellement. Cette mise à jour de sécurité est de niveau " Critique " pour toutes les versions prises en charge de Microsoft Windows 2000, de Windows XP, de Windows Vista et de Windows 7 et " Modéré " pour toutes les versions prises en charge de Windows Server 2003, de Windows Server 2008 et de Windows Server 2008 R2.
Ces vulnérabilités permettent l'exécution de code à distance si un utilisateur affiche à l'aide d'Internet Explorer une page Web spécialement conçue qui invoque un contrôle ActiveX. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système seraient moins touchés que ceux qui possèdent des privilèges d'administrateur. Cette mise à jour intègre aussi les " kill bits " pour quatre contrôles ActiveX de tierces parties.
Impact de la vulnérabilité : Exécution de code à distance 
Indice de gravité maximale : Critique
Indice d'exploitabilité maximal : S.O.
Produits touchés : Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2.
Références CVE : CVE-2010-0252 et CVE-2010-0811
http://www.microsoft.com/technet/security/Bulletin/MS10-034.mspx

MS10-035 - Mise à jour de sécurité cumulative pour Internet Explorer (982381)
Détails : Cette mise à jour de sécurité corrige cinq (5) vulnérabilités signalées confidentiellement et une (1) vulnérabilité révélée publiquement dans Internet Explorer. La plus grave de ces vulnérabilités permettrait l'exécution de code à distance si un utilisateur affiche à l'aide d'Internet Explorer une page Web spécialement conçue. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système seraient moins touchés que ceux qui possèdent des privilèges d'administrateur.
Impact de la vulnérabilité : Exécution de code à distance 
Indice de gravité maximale : Critique
Indice d'exploitabilité maximal : 1 - Possibilité de code d'exploitation fonctionnel
Produits touchés : Internet Explorer 5.01 Service Pack 4 et Internet Explorer 6 Service Pack 1, Internet Explorer 6, Internet Explorer 7 et Internet Explorer 8.
Références CVE : CVE-2010-0255, CVE-2010-1257, CVE-2010-1259, CVE-2010-1260, CVE-2010-1261 et CVE-2010-1262
http://www.microsoft.com/technet/security/Bulletin/MS10-035.mspx

MS10-032 - Des vulnérabilités dans les pilotes en mode noyau de Windows permettraient une élévation de privilèges (979559)
Détails : Cette mise à jour de sécurité corrige deux (2) vulnérabilités révélées publiquement et une (1) vulnérabilité signalée confidentiellement  dans les pilotes en mode noyau de Windows. Ces vulnérabilités permettraient une élévation de privilèges si un utilisateur affiche du contenu spécialement conçu dans une police TrueType.
Impact de sécurité maximal : Élévation de privilèges 
Indice de gravité maximal : Important
Indice d'exploitabilité maximal : 1 - Possibilité de code d'exploitation fonctionnel
Produits touchés : Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2.
Références CVE :2010-0484, CVE-2010-0485 et CVE-2010-1255
http://www.microsoft.com/technet/security/Bulletin/MS10-032.mspx

MS10-036 - Une vulnérabilité de validation COM dans Microsoft Office permettrait l'exécution de code à distance (983235)
Détails : Cette mise à jour de sécurité corrige une (1) vulnérabilité de validation COM dans Microsoft Office signalée confidentiellement. La vulnérabilité permettrait l'exécution de code à distance si un fichier Excel, Word, Visio, Publisher ou PowerPoint spécialement conçu est ouvert dans une version de Microsoft Office touchée. La vulnérabilité ne peut pas être exploitée automatiquement par courriel. Pour qu'une telle attaque réussisse, il faut qu'un utilisateur ouvre une pièce jointe à un courriel.
Impact de la vulnérabilité : Exécution de code à distance 
Indice de gravité maximal : Important
Indice d'exploitabilité maximal : 1 - Possibilité de code d'exploitation fonctionnel
Produits touchés : Microsoft Office XP, Microsoft Office 2003 et Microsoft Office System.
Référence CVE : CVE-2010-1263
http://www.microsoft.com/technet/security/Bulletin/MS10-036.mspx

MS10-037 - Une vulnérabilité dans le pilote du format de police OpenType de petite taille permettrait l'élévation de privilèges (980218)
Détails : Cette mise à jour de sécurité corrige une (1) vulnérabilité signalée confidentiellement dans le pilote du format de police OpenType de petite taille de Windows. Cette vulnérabilité permettrait une élévation de privilèges si un utilisateur affiche du contenu conçu spécialement dans le format de police de petite taille. Pour exploiter cette vulnérabilité, l'attaquant doit disposer de justificatifs d'ouverture de session valides et être en mesure d'ouvrir une session locale. Cette vulnérabilité ne peut pas être exploitée à distance ni par un utilisateur anonyme.
Impact de sécurité maximal : Élévation de privilèges 
Indice de gravité maximal : Important
Indice d'exploitabilité maximal : 2 - Possibilité de code d'exploitation peu fonctionnel
Produits touchés : Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2.
Référence CVE : CVE-2010-0819
http://www.microsoft.com/technet/security/Bulletin/MS10-037.mspx

MS10-038 - Des vulnérabilités dans Microsoft Office Excel permettraient l'exécution de code à distance (2027452)
Détails : Cette mise à jour de sécurité corrige quatorze (14) vulnérabilités signalées confidentiellement dans Microsoft Office. La plus grave des vulnérabilités permettrait l'exécution de code à distance si l'utilisateur ouvre un fichier Excel spécialement conçu. Tout attaquant parvenant à exploiter l'une de ces vulnérabilités pourrait obtenir les mêmes droits que l'utilisateur local. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système seraient moins touchés que ceux qui possèdent des privilèges d'administrateur.
Impact de la vulnérabilité : Exécution de code à distance 
Indice de gravité maximal : Important
Indice d'exploitabilité maximal : 1 - Possibilité de code d'exploitation fonctionnel
Produits touchés : les suites Microsoft Office et ses composantes, Microsoft Office pour Mac et autres logiciels Office
Références CVE : CVE-2010-0821, CVE-2010-0822, CVE-2010-0823, CVE-2010-1245, CVE-2010-1246, CVE-2010-1247, CVE-2010-1248, CVE-2010-1249, CVE-2010-1250, CVE-2010-1251, CVE-2010-1252, CVE-2010-1253 et CVE-2010-1254.
http://www.microsoft.com/technet/security/Bulletin/MS10-038.mspx

MS10-039 - Des vulnérabilités dans Microsoft SharePoint permettraient l'exécution de code à distance (2028554)
Détails : Cette mise à jour de sécurité corrige une (1) vulnérabilité révélée publiquement et deux (2) vulnérabilités signalées confidentiellement dans Microsoft SharePoint. La plus grave des vulnérabilités permettrait l'exécution de code à distance si un attaquant réussit à convaincre un utilisateur d'un site SharePoint ciblé de cliquer sur un lien spécialement conçu.
Impact de sécurité maximal : Élévation de privilèges
Indice de gravité maximal : Important
Indice d'exploitabilité maximal : 1 - Possibilité de code d'exploitation fonctionnel
Produits touchés : Microsoft Office Software, Windows SharePoint Services.
Références CVE :2010-0817, CVE-2010-1257 et CVE-2010-1264
http://www.microsoft.com/technet/security/Bulletin/MS10-039.mspx

MS10-040 - Une vulnérabilité dans Services Internet (IIS) permettrait l'exécution de code à distance (982666)
Détails : Cette mise à jour de sécurité corrige une (1) vulnérabilité signalée confidentiellement dans Services Internet (IIS). Cette vulnérabilité permettrait l'exécution de code à distance si un utilisateur recevait une requête HTTP spécialement conçue. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système touché.
Impact de la vulnérabilité : Exécution de code à distance
Indice de gravité maximal : Important
Indice d'exploitabilité maximal : 2 - Possibilité de code d'exploitation peu fonctionnel
Produits touchés : Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2.
Référence CVE : CVE-2010-1256
http://www.microsoft.com/technet/security/Bulletin/MS10-040.mspx

MS10-041 - Une vulnérabilité dans Microsoft .NET Framework permettrait le sabotage (981343)
Détails : Cette mise à jour de sécurité corrige une (1) vulnérabilité révélée publiquement dans Microsoft .NET Framework. La vulnérabilité permettrait le sabotage de données non détecté dans du contenu XML signé. Dans les applications personnalisées, l'incidence sur la sécurité dépend de l'utilisation faite du contenu signé dans chaque application. Les utilisateurs qui transmettent leurs messages XML signés par l'entremise d'un canal sécurisé (comme SSL) ne sont pas touchés par cette vulnérabilité.
Impact de la vulnérabilité : Sabotage
Indice de gravité maximal : Important
Indice d'exploitabilité maximal : 3 - Faible possibilité de code d'exploitation fonctionnel
Produits touchés : Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2.
Référence CVE : CVE-2009-0217
http://www.microsoft.com/technet/security/Bulletin/MS10-041.mspx

Mesure suggérée

Le CCRIC recommande aux administrateurs de tester et de déployer les mises à jour à la première occasion. Microsoft a publié une matrice de risque pour aider les organisations à évaluer le déploiement de ces mises à jour de sécurité et à les classer par ordre de priorité. Cette matrice est accessible à l'adresse URL suivante :
http://blogs.technet.com/b/srd/archive/2010/06/08/assessing-the-risk-of-the-june-security-bulletins.aspx

Références :
http://www.microsoft.com/technet/security/bulletin/ms10-Jun.mspx

Note aux lecteurs

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) constitue le point de convergence au Canada pour les avertissements et l'analyse concernant les menaces et les vulnérabilités cybernétiques, ainsi que pour la coordination de la réponse aux incidents. Le CCRIC est chargé d'assurer la résilience de l'infrastructure essentielle nationale en surveillant les menaces et en coordonnant la réponse du gouvernement fédéral aux incidents de cybersécurité d'intérêt national. Le CCRIC, qui travaille conjointement avec le Centre des opérations du gouvernement (COG) de Sécurité publique Canada, constitue un élément clé de l'approche « tous risques » du gouvernement en regard de la gestion des urgences et de la sécurité nationale.

Pour obtenir des renseignements généraux, veuillez communiquer avec la division des Affaires publiques de Sécurité publique Canada:

Téléphone: 613-944-4875 ou 1-800-830-3118
Télécopieur: 613-998-9589
Courriel: communications@ps-sp.gc.ca

Date de modification : 2010-06-08
Haut de la page
Haut de la page
Avis importants