Bulletin de sécurité
Bulletin de sécurité Microsoft MS13-068 - Critique
Une vulnérabilité dans Microsoft Outlook peut permettre l’exécution de code à distance (2756473)
Date de publication : 10 septembre 2013 | Mise à jour : 10 septembre 2013
Version : 1.0
Informations générales
Résumé
Cette mise à jour de sécurité résout une vulnérabilité signalée en privé dans Microsoft Outlook. La vulnérabilité peut permettre l’exécution de code à distance si un utilisateur ouvre ou affiche un aperçu d’un message électronique spécialement conçu à l’aide d’une édition affectée de Microsoft Outlook. Un attaquant qui parvient à exploiter cette vulnérabilité peut obtenir les mêmes droits d’utilisateur que l’utilisateur local. Les utilisateurs dont les comptes sont configurés avec des droits restreints sur le système sont moins vulnérables que les utilisateurs qui ont des droits administratifs.
Cette mise à jour de sécurité est considérée comme critique pour toutes les éditions prises en charge de Microsoft Outlook 2007 et Microsoft Outlook 2010. Pour plus d’informations, consultez la sous-section Logiciels affectés et non affectés dans cette section.
La mise à jour de sécurité corrige la vulnérabilité en corrigeant la façon dont Microsoft Outlook analyse les messages électroniques S/MIME spécialement conçus. Pour plus d’informations sur les vulnérabilités, consultez la sous-section Forum aux questions (FAQ) pour l’entrée de vulnérabilité spécifique dans la section suivante, Informations sur les vulnérabilités.
Recommandation. Les clients peuvent configurer la mise à jour automatique pour case activée en ligne pour les mises à jour de Microsoft Update à l’aide du service Microsoft Update. Les clients dont la mise à jour automatique est activée et configurée pour case activée en ligne pour les mises à jour de Microsoft Update n’ont généralement pas besoin d’effectuer d’action, car cette mise à jour de sécurité sera téléchargée et installée automatiquement. Les clients qui n’ont pas activé la mise à jour automatique doivent case activée pour les mises à jour de Microsoft Update et installer cette mise à jour manuellement. Pour plus d’informations sur les options de configuration spécifiques de la mise à jour automatique, consultez l’article 294871 de la Base de connaissances Microsoft.
Pour les administrateurs et les installations d’entreprise, ou les utilisateurs finaux qui souhaitent installer cette mise à jour de sécurité manuellement, Microsoft recommande aux clients d’appliquer la mise à jour immédiatement à l’aide du logiciel de gestion des mises à jour ou en recherchant les mises à jour à l’aide du service Microsoft Update .
Consultez également la section Outils et conseils de détection et de déploiement, plus loin dans ce bulletin.
Article de la Base de connaissances
| Article de la Base de connaissances | 2756473 |
|---|---|
| informations relatives aux fichiers | Oui |
| Hachages SHA1/SHA2 | Oui |
| Problèmes connus | None |
Logiciels affectés et non affectés
Les logiciels suivants ont été testés pour déterminer quelles versions ou éditions sont affectées. Les autres versions ou éditions ont dépassé leur cycle de vie de support ou ne sont pas affectées. Pour déterminer le cycle de vie de prise en charge de votre version ou édition de logiciel, consultez Support Microsoft Cycle de vie.
Logiciel affecté
Microsoft Office :
| Suite Microsoft Office et autres logiciels | Composant | Impact maximal sur la sécurité | Agrégation de l’indice de gravité | Mises à jour remplacé |
|---|---|---|---|---|
| Microsoft Office 2007 Service Pack 3 | Microsoft Outlook 2007 Service Pack 3\ (2825999) | Exécution de code à distance | Critique | 2288953 dans MS10-064 |
| Microsoft Office 2010 Service Pack 1 (éditions 32 bits) | Microsoft Outlook 2010 Service Pack 1 (éditions 32 bits)\ (2794707) | Exécution de code à distance | Critique | None |
| Microsoft Office 2010 Service Pack 2 (éditions 32 bits) | Microsoft Outlook 2010 Service Pack 2 (éditions 32 bits)\ (2794707) | Exécution de code à distance | Critique | None |
| Microsoft Office 2010 Service Pack 1 (éditions 64 bits) | Microsoft Outlook 2010 Service Pack 1 (éditions 64 bits)\ (2794707) | Exécution de code à distance | Critique | None |
| Microsoft Office 2010 Service Pack 2 (éditions 64 bits) | Microsoft Outlook 2010 Service Pack 2 (éditions 64 bits)\ (2794707) | Exécution de code à distance | Critique | None |
Logiciels non affectés
| Office et autres logiciels |
|---|
| Microsoft Outlook 2003 Service Pack 3 |
| Microsoft Outlook 2013 (éditions 32 bits) |
| Microsoft Outlook 2013 (éditions 64 bits) |
| Microsoft Outlook 2013 RT |
FAQ sur la mise à jour
Lecomposant Microsoft Office décrit dans cet article fait partie de la suite Microsoft Office que j’ai installée sur mon système. Toutefois, je n’ai pas choisi d’installer ce composant spécifique. Cette mise à jour me sera-t-elle proposée ?
Oui, si le composant décrit dans ce bulletin a été fourni avec la version de la suite Microsoft Office installée sur votre système, des mises à jour sont proposées au système, que le composant soit installé ou non. La logique de détection utilisée pour analyser les systèmes affectés est conçue pour case activée les mises à jour de tous les composants fournis avec la suite Microsoft Office particulière et pour offrir les mises à jour à un système. Les utilisateurs qui choisissent de ne pas appliquer de mise à jour pour un composant qui n’est pas installé, mais qui est fourni avec leur version de la suite Microsoft Office, n’augmenteront pas le risque de sécurité de ce système. En revanche, les utilisateurs qui choisissent d’installer la mise à jour n’auront pas d’impact négatif sur la sécurité ou les performances d’un système.
L’offre de mise à jour d’une version non vulnérable de Microsoft Office constitue-t-elle un problème dans le mécanisme de mise à jour Microsoft ?
Non. Le mécanisme de mise à jour fonctionne correctement en ce qu’il détecte une version de produit pour le logiciel applicable sur le système qui se trouve dans la plage de versions de produit auxquelles la mise à jour s’applique et offre ainsi la mise à jour.
J’utilise une version antérieure du logiciel décrit dans ce bulletin de sécurité. Que dois-je faire ?
Les logiciels concernés répertoriés dans ce bulletin ont été testés pour déterminer quelles versions sont affectées. D’autres versions ont dépassé leur cycle de vie de support. Pour plus d’informations sur le cycle de vie du produit, consultez le site web Support Microsoft Lifecycle.
Il doit être prioritaire pour les clients qui ont des versions antérieures du logiciel de migrer vers les versions prises en charge afin d’éviter toute exposition potentielle aux vulnérabilités. Pour déterminer le cycle de vie de la prise en charge de votre version logicielle, consultez Sélectionner un produit pour les informations de cycle de vie. Pour plus d’informations sur les Service Packs pour ces versions logicielles, consultez Politique de support du cycle de vie des Service Pack.
Les clients qui ont besoin d’un support personnalisé pour les logiciels plus anciens doivent contacter leur représentant de l’équipe de compte Microsoft, leur responsable technique de compte ou le représentant partenaire Microsoft approprié pour obtenir des options de support personnalisé. Les clients sans Alliance, Premier ou Contrat autorisé peuvent contacter leur bureau de vente Microsoft local. Pour obtenir des informations de contact, consultez le site web Microsoft Worldwide Information , sélectionnez le pays dans la liste Informations de contact, puis cliquez sur Accéder pour afficher la liste des numéros de téléphone. Lorsque vous appelez, demandez à parler au responsable commercial premier support local. Pour plus d’informations, consultez la FAQ sur la politique de cycle de vie Support Microsoft.
Informations sur la vulnérabilité
Niveaux de gravité et identificateurs de vulnérabilité
Les évaluations de gravité suivantes supposent l’impact maximal potentiel de la vulnérabilité. Pour plus d’informations sur la probabilité, dans les 30 jours suivant la publication de ce bulletin de sécurité, de l’exploitabilité de la vulnérabilité par rapport à son niveau de gravité et à son impact sur la sécurité, consultez l’index d’exploitabilité dans le résumé du bulletin de septembre. Pour plus d’informations, consultez Microsoft Exploitability Index.
| Logiciels affectés | Vulnérabilité de certificat de message - CVE-2013-3870 | Indice de gravité agrégé |
|---|---|---|
| Microsoft Outlook 2007 Service Pack 3 | Critique \ Exécution de code à distance | Critical |
| Microsoft Outlook 2010 Service Pack 1 (éditions 32 bits) | Critique \ Exécution de code à distance | Critical |
| Microsoft Outlook 2010 Service Pack 2 (éditions 32 bits) | Critique \ Exécution de code à distance | Critical |
| Microsoft Outlook 2010 Service Pack 1 (éditions 64 bits) | Critique \ Exécution de code à distance | Critical |
| Microsoft Outlook 2010 Service Pack 2 (éditions 64 bits) | Critique \ Exécution de code à distance | Critical |
Vulnérabilité de certificat de message - CVE-2013-3870
Il existe une vulnérabilité d’exécution de code à distance dans la façon dont Microsoft Outlook analyse les messages électroniques S/MIME spécialement conçus. Un attaquant qui a réussi à exploiter cette vulnérabilité pourrait prendre le contrôle total d’un système affecté. Un attaquant peut alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes avec des droits d’utilisateur complets.
Pour afficher cette vulnérabilité en tant qu’entrée standard dans la liste « Common Vulnerabilities and Exposures », consultez CVE-2013-3870.
Facteurs atténuants
L’atténuation fait référence à un paramètre, à une configuration courante ou à une bonne pratique générale, existant dans un état par défaut, qui pourrait réduire la gravité de l’exploitation d’une vulnérabilité. Les facteurs atténuants suivants peuvent être utiles dans votre situation :
- Un attaquant qui a réussi à exploiter cette vulnérabilité pourrait obtenir les mêmes droits d’utilisateur que l’utilisateur actuel. Les utilisateurs dont les comptes sont configurés avec des droits restreints sur le système sont moins vulnérables que les utilisateurs qui ont des droits administratifs.
Solutions de contournement
La solution de contournement fait référence à un paramètre ou à une modification de configuration qui ne corrige pas la vulnérabilité sous-jacente, mais qui aiderait à bloquer les vecteurs d’attaque connus avant d’appliquer la mise à jour. Microsoft a testé les solutions de contournement et les états suivants dans la discussion sur la réduction des fonctionnalités :
Désactiver levolet lecture dans Outlook 2007
La désactivation du volet de lecture empêche le traitement des certificats S/MIME malveillants dans Outlook 2007. Bien que cela empêche le traitement des certificats malveillants dans Outlook, cela n’empêche pas un utilisateur local authentifié d’exécuter un programme spécialement conçu pour exploiter cette vulnérabilité. L’ouverture d’un message électronique affecté peut toujours entraîner le chargement et le traitement du certificat malveillant.
Pour désactiver le volet de lecture dans Outlook 2007, consultez Activer ou désactiver le volet de lecture.
Désactiver levolet lecture dans Outlook 2010
La désactivation du volet de lecture empêche le traitement des certificats S/MIME malveillants dans Outlook 2010. Bien que cela empêche le traitement des certificats malveillants dans Outlook, cela n’empêche pas un utilisateur local authentifié d’exécuter un programme spécialement conçu pour exploiter cette vulnérabilité. L’ouverture d’un message électronique affecté peut toujours entraîner le chargement et le traitement du certificat malveillant.
Pour désactiver le volet de lecture dans Outlook 2010, consultez Activer ou désactiver le volet de lecture.
Forum aux questions
Quelle est l’étendue de la vulnérabilité ?
Il s’agit d’une vulnérabilité d’exécution de code à distance.
Quelles sont les causes de la vulnérabilité ?
La vulnérabilité se produit lorsque Microsoft Outlook ne parvient pas à analyser correctement le contenu d’un message S/MIME.
Qu’est-ce que S/MIME ?
S/MIME signifie Secure/Multipurpose Internet Mail Extensions. S/MIME fournit un moyen cohérent d’envoyer et de recevoir des données encodées MIME en toute sécurité. Basé sur la norme INTERNET MIME, S/MIME fournit les services de sécurité de chiffrement suivants pour les applications de messagerie électronique : authentification, intégrité des messages et non-répudiation de l’origine (à l’aide de signatures numériques), confidentialité et sécurité des données (à l’aide du chiffrement). Pour plus d'informations, consultez Présentation de S/MIME.
Qu’est-ce qu’un attaquant peut utiliser la vulnérabilité pour faire ?
Un attaquant qui a réussi à exploiter cette vulnérabilité peut exécuter du code arbitraire en tant qu’utilisateur connecté. Si un utilisateur est connecté avec des droits d’utilisateur administratifs, un attaquant peut prendre le contrôle total du système affecté. Un attaquant peut alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes avec des droits d’utilisateur complets. Les utilisateurs dont les comptes sont configurés avec des droits restreints sur le système sont moins vulnérables que les utilisateurs qui ont des droits administratifs.
Comment un attaquant peut-il exploiter la vulnérabilité ?
Dans un scénario d’attaque par e-mail, un attaquant peut exploiter la vulnérabilité en envoyant un message électronique spécialement conçu à l’utilisateur, puis en convainquant l’utilisateur d’afficher un aperçu ou d’ouvrir l’e-mail.
L’exploitation de cette vulnérabilité nécessite qu’un utilisateur ouvre ou affiche un aperçu d’un message électronique spécialement conçu avec une version affectée de Microsoft Outlook
Quels sont les systèmes qui sont les plus exposés à la vulnérabilité ?
Systèmes tels que les stations de travail et les serveurs terminal server où Microsoft Outlook est utilisé à risque. Les serveurs peuvent être plus à risque si les administrateurs autorisent les utilisateurs à se connecter aux serveurs et à exécuter des programmes. Toutefois, les bonnes pratiques déconseillent fortement d’autoriser cela.
Que fait la mise à jour ?
La mise à jour corrige la vulnérabilité en corrigeant la façon dont Microsoft Outlook analyse les messages électroniques S/MIME spécialement conçus.
Lors de la publication de ce bulletin de sécurité, cette vulnérabilité avait-elle été rendue publique ?
Non. Microsoft a reçu des informations sur cette vulnérabilité via la divulgation coordonnée des vulnérabilités.
Lors de la publication de ce bulletin de sécurité, Microsoft a-t-il reçu des rapports indiquant que cette vulnérabilité étaitexploitée ?
Non. Microsoft n’avait reçu aucune information indiquant que cette vulnérabilité avait été utilisée publiquement pour attaquer les clients lors de l’émission initiale de ce bulletin de sécurité.
Mettre à jour les informations
Outils et conseils pour la détection et le déploiement
Plusieurs ressources sont disponibles pour aider les administrateurs à déployer des mises à jour de sécurité.
- Microsoft Baseline Security Analyzer (MBSA) permet aux administrateurs d’analyser les systèmes locaux et distants pour détecter les mises à jour de sécurité manquantes et les erreurs de configuration de sécurité courantes.
- Windows Server Update Services (WSUS), Systems Management Server (SMS) et System Center Configuration Manager aider les administrateurs à distribuer les mises à jour de sécurité.
- Les composants de l’évaluateur de compatibilité des mises à jour inclus dans application Compatibility Toolkit aident à simplifier le test et la validation des mises à jour Windows par rapport aux applications installées.
Pour plus d’informations sur ces outils et pour obtenir des conseils sur le déploiement de mises à jour de sécurité sur des réseaux, consultez Outils de sécurité pour les professionnels de l’informatique.
Déploiement des mises à jour de sécurité
Logiciels affectés
Pour plus d’informations sur la mise à jour de sécurité spécifique pour votre logiciel affecté, cliquez sur le lien approprié :
Microsoft Outlook 2007 (toutes les éditions)
Table de référence
Le tableau suivant contient les informations de mise à jour de sécurité pour ce logiciel.
| Nom du fichier de mise à jour de sécurité | Pour Microsoft Outlook 2007 :\ outlook2007-kb2825999-fullfile-x86-glb.exe |
|---|---|
| Commutateurs d’installation | Consultez l’article de la Base de connaissances Microsoft 912203 |
| Configuration requisepour le redémarrage | Dans certains cas, cette mise à jour ne nécessite pas de redémarrage. Si les fichiers requis sont utilisés, cette mise à jour nécessite un redémarrage. Si ce comportement se produit, un message s’affiche et vous conseille de redémarrer.\ \ Pour réduire le risque qu’un redémarrage soit nécessaire, arrêtez tous les services affectés et fermez toutes les applications qui peuvent utiliser les fichiers concernés avant d’installer la mise à jour de sécurité. Pour plus d’informations sur les raisons pour lesquelles vous pouvez être invité à redémarrer, consultez l’article de la Base de connaissances Microsoft 887012. |
| Informations de suppression | Utilisez l’élément Ajouter ou supprimer des programmes dans Panneau de configuration. |
| Informations sur le fichier | Consultez l’article de la Base de connaissances Microsoft 2825999 |
| Vérification de la clé de Registre | Non applicable |
Microsoft Outlook 2010 (toutes les éditions)
Table de référence
Le tableau suivant contient les informations de mise à jour de sécurité pour ce logiciel.
| Nom du fichier de mise à jour de sécurité | Pour Microsoft Outlook 2010 (éditions 32 bits) :\ outlook2010-kb2794707-fullfile-x86-glb.exe |
|---|---|
| Pour Microsoft Outlook 2010 (éditions 64 bits) :\ outlook2010-kb2794707-fullfile-x64-glb.exe | |
| Commutateurs d’installation | Consultez l’article de la Base de connaissances Microsoft 912203 |
| Configuration requisepour le redémarrage | Dans certains cas, cette mise à jour ne nécessite pas de redémarrage. Si les fichiers requis sont utilisés, cette mise à jour nécessite un redémarrage. Si ce comportement se produit, un message s’affiche et vous conseille de redémarrer.\ \ Pour réduire le risque qu’un redémarrage soit nécessaire, arrêtez tous les services affectés et fermez toutes les applications qui peuvent utiliser les fichiers concernés avant d’installer la mise à jour de sécurité. Pour plus d’informations sur les raisons pour lesquelles vous pouvez être invité à redémarrer, consultez l’article de la Base de connaissances Microsoft 887012. |
| Informations de suppression | Utilisez l’élément Ajouter ou supprimer des programmes dans Panneau de configuration. |
| Informations sur le fichier | Consultez l’article de la Base de connaissances Microsoft 2794707 |
| Vérification de la clé de Registre | Non applicable |
Autres informations
Remerciements
Microsoft remercie les personnes suivantes d’avoir travaillé avec nous pour aider à protéger les clients :
- Alexander Klink de n.runs AG pour avoir signalé la vulnérabilité de certificat de message (CVE-2013-3870)
Microsoft Active Protections Program (MAPP)
Pour améliorer les protections de sécurité pour les clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque mise à jour de sécurité mensuelle. Les fournisseurs de logiciels de sécurité peuvent ensuite utiliser ces informations de vulnérabilité pour fournir des protections mises à jour aux clients via leurs logiciels ou appareils de sécurité, tels qu’un antivirus, des systèmes de détection d’intrusion basés sur le réseau ou des systèmes de prévention des intrusions basés sur l’hôte. Pour déterminer si des protections actives sont disponibles auprès des fournisseurs de logiciels de sécurité, accédez aux sites web des protections actives fournis par les partenaires du programme, répertoriés dans Microsoft Active Protections Program (MAPP) Partenaires.
Support
Comment obtenir de l’aide et du support pour cette mise à jour de sécurité
- Aide à l’installation des mises à jour : Prise en charge de Microsoft Update
- Solutions de sécurité pour les professionnels de l’informatique : Résolution des problèmes et support de la sécurité TechNet
- Protéger votre ordinateur exécutant Windows contre les virus et les programmes malveillants : Solution antivirus et Security Center
- Support local en fonction de votre pays : Support international
Clause d'exclusion de responsabilité
Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie d’aucune sorte. Microsoft rejette toutes les garanties, expresses ou implicites, y compris les garanties de qualité marchande et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne peuvent être tenus responsables de quelque dommage que ce soit, y compris direct, indirect, accessoire, consécutif, perte de bénéfices commerciaux ou dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages. Certains États n’autorisent pas l’exclusion ou la limitation de la responsabilité pour les dommages indirects ou accessoires, de sorte que la limitation ci-dessus peut ne pas s’appliquer.
Révisions
- V1.0 (10 septembre 2013) : Bulletin publié.
- V1.1 (10 septembre 2013) : Ajout de solutions de contournement dans la section Informations sur les vulnérabilités qui expliquent comment désactiver le volet de lecture dans Outlook 2007 et Outlook 2010.
Construit à 2014-04-18T13:49:36Z-07:00