Avis de sécurité Microsoft 2749655

Problèmes de compatibilité affectant des fichiers binaires Microsoft signés

Paru le: mardi 9 octobre 2012 | Mis(e) à jour: mardi 11 décembre 2012

Version: 2.0

Informations générales

Synthèse

Microsoft a connaissance d'un problème concernant des certificats numériques spécifiques générés par Microsoft sans attributs d'horodatage corrects. Ces certificats numériques ont ensuite été utilisés pour signer certains composants essentiels de Microsoft et des fichiers logiciels binaires. Cela pouvait générer des problèmes de compatibilité entre les fichiers binaires concernés et Microsoft Windows. Bien qu'il ne s'agisse pas d'un problème de sécurité, étant donné que la signature numérique sur les fichiers générés et signés par Microsoft expirera prématurément, ce problème pourrait avoir un effet négatif sur la capacité à installer et à désinstaller correctement les composants Microsoft concernés et les mises à jour de sécurité.

Dans le cadre d'une action préventive ayant pour but d'aider ses clients, Microsoft fournit une mise à jour non relative à la sécurité pour les versions en cours de support de Microsoft Windows. Cette mise à jour permet d'assurer la compatibilité entre Microsoft Windows et les fichiers logiciels binaires concernés. Pour plus d'informations sur cette mise à jour, consultez l'Article 2749655 de la Base de connaissances Microsoft.

De plus, Microsoft fournit des mises à jour dès qu'elles sont disponibles pour les produits concernés par ce problème. Ces mises à jour peuvent être fournies dans le cadre de mises à jour rééditées ou incluses dans d'autres mises à jour logicielles, selon les besoins des clients.

Recommandation. Microsoft recommande aux clients d'appliquer immédiatement la mise à jour KB2749655 et toute mise à jour rééditée corrigeant ce problème, à l'aide d'un logiciel de gestion des mises à jour ou en recherchant les mises à jour disponibles à l'aide du service Microsoft Update. Veuillez consulter les sections « Liste des rééditions disponibles » et « Actions suggérées » de cet Avis pour plus d'informations.

Liste des rééditions disponibles

Dans certains cas, pour répondre au mieux aux besoins de ses clients, Microsoft corrige ce problème en rééditant les mises à jour concernées.

  • Le 9 octobre 2012, Microsoft a réédité la mise à jour KB723135 pour Windows XP. Pour plus d'informations à ce sujet, consultez le Bulletin MS12-053.
  • Le 9 octobre 2012, Microsoft a réédité la mise à jour KB2705219 pour Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2. Pour plus d'informations à ce sujet, consultez le Bulletin MS12-054.
  • Le 9 octobre 2012, Microsoft a réédité la mise à jour KB2731847 pour Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2. Pour plus d'informations à ce sujet, consultez le Bulletin MS12-055.
  • Le 9 octobre 2012, Microsoft a réédité les mises à jour pour Microsoft Exchange Server 2007 Service Pack 3 (KB2756496), Microsoft Exchange Server 2010 Service Pack 1 (KB2756497) et Microsoft Exchange Server 2010 Service Pack 2 (KB2756485). Pour plus d'informations à ce sujet, consultez le Bulletin MS12-058.
  • Le 9 octobre 2012, Microsoft a réédité la mise à jour KB2661254 pour Windows XP. Pour plus d'informations à ce sujet, consultez l'Avis de sécurité Microsoft 2661254.
  • Le 13 novembre 2012, Microsoft a remplacé la mise à jour KB2598361 par la mise à jour KB2687626 pour Microsoft Office 2003 Service Pack 3. Pour plus d'informations à ce sujet, consultez le Bulletin MS12-046.
  • Le 11 décembre 2012, Microsoft a remplacé la mise à jour KB2687324 par la mise à jour KB2687627 pour Microsoft XML Core Services 5.0 installé sur Microsoft Office 2003 Service Pack 3 et la mise à jour KB2596679 par la mise à jour KB2687497 pour Microsoft XML Core Services 5.0 installé avec toutes les éditions concernées de Microsoft Groove 2007, Microsoft Groove Server 2007 et Microsoft Office SharePoint Server 2007. Pour plus d'informations à ce sujet, consultez le Bulletin MS12-043.
  • Le 11 décembre 2012, Microsoft a remplacé les mises à jour KB2553260 et KB2589322 par les mises à jour KB2687501 et KB2687510 respectivement pour toutes les éditions concernées de Microsoft Office 2010. Pour plus d'informations à ce sujet, consultez le Bulletin MS12-057.
  • Le 11 décembre 2012, Microsoft a remplacé la mise à jour KB2597171 par la mise à jour KB2687508 pour toutes les éditions concernées de Microsoft Visio 2010. Pour plus d'informations à ce sujet, consultez le Bulletin MS12-059.
  • Le 11 décembre 2012, Microsoft a remplacé la mise à jour KB2687323 par la mise à jour KB2726929 pour les contrôles communs de Windows sur toutes les variantes concernées de Microsoft Office 2003, Microsoft Office 2003 Web Components et Microsoft SQL Server 2005. Pour plus d'informations à ce sujet, consultez le Bulletin MS12-060.

Remarque concernant l'impact en cas de non-installation d'une mise à jour rééditée
Les clients ayant installé les mises à jour d'origine sont protégés des vulnérabilités corrigées par ces mises à jour. Toutefois, étant donné que des fichiers signés de façon incorrecte, tels que des images exécutables, ne seraient pas considérés comme signés correctement après l'expiration du certificat CodeSign utilisé dans le processus de signature des mises à jour d'origine, Microsoft Update risque de ne pas installer certaines mises à jour de sécurité après la date d'expiration. Une autre conséquence de cela pourrait être l'affichage d'un message d'erreur par le programme d'installation d'une application. Les solutions fonctionnant selon un principe de liste blanche d'applications tierces pourraient également être concernées. L'installation des mises à jour rééditées corrige le problème pour les mises à jour concernées.

Détails de l'Avis

Références sur le problème

Pour plus d'informations sur ce problème, consultez les références suivantes :

Références Identification
Articles de la Base de connaissances Microsoft 2749655
2756872

Logiciels concernés

La mise à jour associée à cet Avis s'applique aux logiciels suivants.

Logiciels concernés
Système d'exploitation
Windows XP Service Pack 3
(KB2749655)
Windows XP Professionnel Édition x64 Service Pack 2
(KB2749655)
Windows Server 2003 Service Pack 2
(KB2749655)
Windows Server 2003 Édition x64 Service Pack 2
(KB2749655)
Windows Server 2003 avec SP2 pour systèmes Itanium
(KB2749655)
Windows Vista Service Pack 2
(KB2749655)
Windows Vista Édition x64 Service Pack 2
(KB2749655)
Windows Server 2008 pour systèmes 32 bits Service Pack 2
(KB2749655)
Windows Server 2008 pour systèmes x64 Service Pack 2
(KB2749655)
Windows Server 2008 pour systèmes Itanium Service Pack 2
(KB2749655)
Windows 7 pour systèmes 32 bits
(KB2749655)
Windows 7 pour systèmes 32 bits Service Pack 1
(KB2749655)
Windows 7 pour systèmes x64
(KB2749655)
Windows 7 pour systèmes x64 Service Pack 1
(KB2749655)
Windows Server 2008 R2 pour systèmes x64
(KB2749655)
Windows Server 2008 R2 pour systèmes x64 Service Pack 1
(KB2749655)
Windows Server 2008 R2 pour systèmes Itanium
(KB2749655)
Windows Server 2008 R2 pour systèmes Itanium Service Pack 1
(KB2749655)
Windows 8 pour systèmes 32 bits
(KB2756872)
Windows 8 pour systèmes 64 bits
(KB2756872)
Windows Server 2012
(KB2756872)
Option d'installation Server Core
Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core)
(KB2749655)
Windows Server 2008 pour systèmes x64 Service Pack 2 (installation Server Core)
(KB2749655)
Windows Server 2008 R2 pour systèmes x64 (installation Server Core)
(KB2749655)
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core)
(KB2749655)
Windows Server 2012 (installation Server Core)
(KB2756872)

Forum aux questions

trouver les mises à jour pour Windows 8 et Windows Server 2012 ?
Les mises à jour pour Windows8 et Windows Server 2012 sont incluses dans la « Mise à jour cumulative à disponibilité générale pour Windows 8 Client et Windows Server 2012 » (KB2756872). Pour plus d'informations et les liens de téléchargement, consultez l'Article 2756872 de la Base de connaissances Microsoft. Ces mises à jour sont également disponibles sur Microsoft Update et Windows Update.

Quelle est la portée de cet Avis?
Le but de cet Avis est d'avertir les clients d'un problème impliquant des fichiers binaires ayant été signés avec des certificats numériques spécifiques générés par Microsoft sans attributs d'horodatage corrects.

Dans le cadre d'une action préventive ayant pour but d'aider ses clients, Microsoft fournit une mise à jour non relative à la sécurité pour les versions en cours de support de Microsoft Windows. Cette mise à jour permet d'assurer la compatibilité entre Microsoft Windows et les fichiers logiciels binaires concernés.

Cette vulnérabilité nécessite-t-elle la publication par Microsoft d'une mise à jour de sécurité?
Non. Cette mise à jour améliore un composant de défense en profondeur existant pour permettre aux clients de Microsoft d'améliorer les fonctionnalités liées à la sécurité dans Windows.

Il s'agit d'un Avis de sécurité décrivant une mise à jour non relative à la sécurité. N'est-ce pas une contradiction?
Les Avis de sécurité Microsoft abordent les modifications de sécurité qui ne requièrent pas obligatoirement la publication d'un Bulletin, mais qui peuvent tout de même avoir des conséquences sur la sécurité générale. Les Avis de sécurité permettent à Microsoft de communiquer à ses clients des informations relatives à la sécurité concernant des problèmes n'étant pas nécessairement des vulnérabilités et pouvant ne pas nécessiter de Bulletin de sécurité ou concernant des problèmes pour lesquels aucun Bulletin de sécurité n'a été publié. Dans ce cas, nous communiquons la disponibilité d'une mise à jour qui détermine votre capacité à effectuer des mises à jour subséquentes, notamment des mises à jour de sécurité. De ce fait, cet avis ne concerne pas une vulnérabilité de sécurité spécifique ; il concerne votre sécurité générale.

Microsoft publie une mise à jour pour ce composant afin d'améliorer la stabilité à long terme et la compatibilité du logiciel et des composants qui utilisent la fonction de vérification de signature Authenticode de Windows.

Quelle est l'origine de ce problème?
Ce problème est généré par l'absence d'une extension d'utilisation avancée de la clé (EKU) d'horodatage pendant la génération de certificat et la signature de composants essentiels et de logiciels Microsoft. Certains certificats utilisés pendant deux mois en 2012 ne contenaient pas d'extension d'utilisation avancée de la clé (EKU) d'horodatage X.509.

Que fait cette mise à jour?
Cette mise à jour permet de garantir la continuité du fonctionnement de tous les logiciels signés à l'aide d'un certificat spécifique qui n'utilisait pas d'extension d'utilisation avancée de la clé (EKU) d'horodatage. Pour prolonger leur fonctionnement, WinVerifyTrust ignorera l'absence d'EKU d'horodatage pour ces signatures X.509 spécifiques.

Si Microsoft publie une mise à jour non relative à la sécurité qui corrige ce problème, pourquoi Microsoft réédite-t-il également ces Bulletins?
La mise à jour corrige la majorité des cas dans lesquels les certificats utilisent la vérification de signature Authenticode de Windows, comme lorsqu'un fichier est affiché ou exécuté dans Windows ou Internet Explorer. Toutefois, pour veiller à ce que toutes les fonctions d'utilisation et de validation de certificat soient corrigées, les packages et logiciels affectés seront mis à jour ou réédités pour garantir que la vérification CodeSign tierce fonctionne correctement.

Quel est l'impact d'une non-installation de cette mise à jour?
Sans cette mise à jour, des fichiers signés de façon incorrecte, tels que des images exécutables, ne seraient pas considérés comme signés correctement après l'expiration du certificat CodeSign utilisé dans le processus de signature. Par exemple, Windows Update n'installera pas certaines mises à jour de sécurité après la date d'expiration si cette mise à jour n'est pas installée. Une autre conséquence de cela pourrait être l'affichage d'un message d'erreur par le programme d'installation d'une application. Les solutions fonctionnant selon un principe de liste blanche d'applications tierces pourraient également être concernées.

Quand les certificats de signature de code affectés expireront-ils?
Les certificats CodeSign présentent différentes dates d'expiration. La première date d'expiration est en novembre 2012.

Comment les extensions d'utilisation avancée de la clé (EKU) d'horodatage sont-elles utilisées?
Conformément à la norme RFC3280, les extensions d'utilisation avancée de la clé (EKU) d'horodatage sont utilisées pour lier la version hachée d'un objet à une heure. Ces instructions signées indiquent qu'une signature a existé à un moment donné. Elles sont utilisées dans les situations d'intégrité de code lorsque le certificat de signature de code a expiré, afin de vérifier que la signature a été effectuée avant l'expiration du certificat. Pour plus d'informations sur les horodatages de certificat, reportez-vous aux articles consacrés au fonctionnement des certificats (en anglais) et au format de signature d'exécutable portable Authenticode de Windows (en anglais).

Qu'est-ce qu'un certificat numérique?
Dans le cas du chiffrement à clé publique, l'une des clés, appelée clé privée, doit être gardée secrète. L'autre clé, ou clé publique, est destinée à être partagée. Toutefois, le propriétaire de la clé doit être en mesure d'indiquer à qui la clé appartient. Les certificats numériques permettent de le faire. Un certificat numérique est un ensemble d'informations d'identification électroniques utilisées pour identifier les identités en ligne des individus, des organisations et des ordinateurs. Les certificats numériques contiennent une clé publique ainsi que des informations la concernant (qui en est le propriétaire, à quoi elle peut servir, quand elle expire, etc.).

Ce problème signifie-t-il que les certificats concernés sont compromis?
Non. Les certificats concernés ne sont en aucune manière compromis et nous n'avons connaissance d'aucun impact sur les clients à l'heure actuelle.

Qu'est-ce que la fonction de vérification de signature Authenticode de Windows?
La fonction de vérification de signature Authenticode de Windows ou WinVerifyTrust exécute une action de vérification de la confiance sur un objet donné. Cette fonction transmet la demande à un fournisseur de confiance qui prend en charge l'identificateur d'action, le cas échéant. La fonction WinVerifyTrust exécute deux actions : la vérification de la signature sur un objet donné et la vérification de la confiance. Pour plus d'informations à ce sujet, reportez-vous à l'article consacré à la fonction WinVerifyTrust (en anglais).

Quel impact ce problème a-t-il sur les développeurs?
Les développeurs peuvent être affectés par ce problème lorsque leurs applications utilisent un composant redistribuable concerné. L'application de cette mise à jour sur des systèmes qui utilisent l'application du développeur corrigera le problème. De plus, Microsoft publiera des versions mises à jour des composants redistribuables concernés. Les développeurs doivent les intégrer dans les futures mises à jour de leurs applications.

Actions suggérées

Appliquer la mise à jour pour les versions en cours de support de Microsoft Windows

La majorité de nos clients chez lesquels les mises à jour automatiques sont activées n'auront pas besoin d'entreprendre de nouvelle action car la mise à jour KB2749655 sera téléchargée et installée automatiquement. Nos clients chez lesquels les mises à jour automatiques ne sont pas activées doivent rechercher les mises à jour et les installer manuellement. Pour plus d'informations sur les options de configuration spécifiques des mises à jour automatiques, consultez l'Article 294871 de la Base de connaissances Microsoft.

Pour les administrateurs et les installations d'entreprise, ou pour les utilisateurs souhaitant installer ces mises à jour manuellement, Microsoft recommande d'appliquer immédiatement la mise à jour KB2749655 ainsi que toute mise à jour rééditée corrigeant ce problème à l'aide d'un logiciel de gestion des mises à jour ou en recherchant les mises à jour à l'aide du service Microsoft Update. Pour plus d'informations sur la façon d'appliquer manuellement la mise à jour, consultez l'Article 2749655 de la Base de connaissances Microsoft.

Actions supplémentaires suggérées

  • Protégez votre PC

    Nous encourageons nos clients à suivre les conseils de la section Protégez votre ordinateur concernant l'activation d'un pare-feu, l'obtention de mises à jour logicielles et l'installation de logiciels antivirus. Pour plus d'informations, consultez le Centre de sécurité Microsoft.

  • Veillez à mettre à jour régulièrement vos logiciels Microsoft

    Nous recommandons aux utilisateurs de logiciels Microsoft d'installer les dernières mises à jour de sécurité Microsoft pour protéger au maximum leur ordinateur. Pour ce faire, rendez-vous sur Microsoft Update, effectuez la vérification des mises à jour requises pour votre ordinateur et installez toutes les mises à jour prioritaires qui vous sont proposées. Si vous avez activé et configuré les mises à jour automatiques de façon à recevoir les mises à jour pour les produits Microsoft, les mises à jour vous sont fournies à leur publication, mais nous vous conseillons de vérifier qu'elles sont installées.

Autres informations

Commentaires

  • Vous pouvez nous envoyer des commentaires par l'intermédiaire du formulaire figurant sur le site Web Aide et Support Microsoft : Customer Service Contact Us (en anglais).

Support technique

Dédit de responsabilité

Les informations contenues dans cet Avis sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie, expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.

Révisions

  • V1.0 (9 octobre 2012) : Avis publié.
  • V1.1 (9 octobre 2012) : Clarification afin de préciser que les mises à jour pour Windows 8 et Windows Server 2012 associées à cet Avis sont incluses dans la « Mise à jour cumulative à disponibilité générale pour Windows 8 Client et Windows Server 2012 » (KB2756872). Il s'agit d'une modification purement informative. Pour plus d'informations, consultez le Forum aux questions de l'Avis.
  • V1.2 (13 novembre 2012) : Ajout de la mise à jour KB2687626, décrite dans le Bulletin MS12-046, à la section « Liste des rééditions disponibles ».
  • V2.0 (11 décembre 2012) : Ajout des mises à jour KB2687627 et KB2687497 décrites dans le Bulletin MS12-043, des mises à jour KB2687501 et KB2687510 décrites dans le Bulletin MS12-057, de la mise à jour KB2687508 décrite dans le Bulletin MS12-059 et de la mise à jour KB2726929 décrite dans le Bulletin MS12-060 à la section « Liste des rééditions disponibles ».

Built at 2014-04-18T13:49:36Z-07:00